+7(499)495-49-41

ДБО: как защититься от мошенничества

Защита систем дистанционного банковского обслуживания (ДБО) — CSM

ДБО: как защититься от мошенничества

Это может быть классический интернет-банк, телефонный банк (call-центр), мобильный банк.

Услуги дистанционного банковского обслуживания  востребованы и популярны, они существенно упрощают жизнь клиентов банка, одновременно снижая затраты банка на транзакционную деятельность, освобождая персонал отделений и ресурсы банка для проведения таких операций, которые трудно провести без непосредственного присутствия клиента, например, автокредитование, ипотечное кредитование  и подобные операции. К сожалению,  системы дистанционного банковского обслуживания (ДБО) стали излюбленным местом атак  для различного рода мошенников, которые используют уязвимости в системах аутентификации, применяемых в системах ДБО. 

Применяются весьма изощренные схемы незаконного получения аутентификационных данных и искажения легитимных транзакций для воровства денег с банковских счетов клиентов: 

  • фишинг; 
  • подставные сайты; 
  • специально разработанные вирусы, трояны, кейлоггеры и т.д.; 
  • постоянно совершенствуются схемы атак «man-in-the-middle» (MITM),  «man-in-the-browser» (MITB); 
  • используются методы социальной инженерии; 
  • существуют угрозы и для серверной части (инсайд, коммерческий подкуп, шантаж).

Использование статического пароля  стало просто опасным. Требуемую защиту сегодня могут обеспечить только решения, поддерживающие строгие механизмы многофакторной аутентификации.

Способы аутентификации пользователей и обеспечения безопасности транзакций:

  • одноразовые пароли на основе времени/события;
  • одноразовые пароли на основе механизма «запрос – ответ»;
  • различные механизмы подписи транзакции на базе симметричных криптографических механизмов (например,  технологии EMV-CAP, OATH, проприетарных  механизмов);
  • механизмы на основе несимметричных алгоритмов (PKI);
  • специфические механизмы привязки к мобильным устройствам;
  • биометрия.

Выбор аутентификационного решения определяется тремя ключевыми факторами: требованием к защищенности системы, удобством использования и общей стоимостью владения.

При этом всегда следует помнить:

  • степень потенциальной угрозы зависит от функциональных возможностей системы и объема обращающихся в ней средств;
  • защита должна быть адекватна угрозе и одинаково надежна в каждой точке.

Решение

Сегодня на российском рынке представлен ряд продуктов, позволяющих с различной степенью успеха добавлять один-два механизма аутентификации в решение для систем ДБО и электронной коммерции.

Компания CSM предлагает универсальное решение по многофакторной аутентификации для систем дистанционного банковского обслуживания «Аутентификационный центр».

 Решение может быть создано с использованием сервера аутентификации ведущих поставщиков – Gemalto, VASCO Data Security, Thales e-Security.

«Аутентификационный центр» надежно решает вопросы аутентификации, контроля целостности информации и обеспечения безотзывности операций для любых типов аутентификационных устройств и множества различных приложений.

Решение «Аутентификационный центр» обеспечивает:

  • реализацию разнообразных механизмов строгой многофакторной аутентификации;
  • контроль целостности транзакций/информации;
  • ведение аудит-журналов для юридического подтверждения операций.

Взаимодействие клиента с защищаемым ресурсом происходит в такой последовательности:

1. Пользователь вводит аутентификационные данные и отправляет запрос на доступ к своей странице интернет-банка. 2. Фронтальное приложение (ФП) перехватывает запрос и передает аутентификационную информацию на проверку серверу аутентификации SafeSign. 3. Сервер SafeSign выполняет проверку подлинности аутентификационной информации и передает результаты проверки приложению. Проверка осуществляется с использованием аппаратного криптографического модуля SafeSign Crypto Module.

4. В случае успешного прохождения процедуры аутентификации пользователь получает доступ к своей странице в интернет-банке.

Свойства

Аппаратная безопасность

В решении «Аутентификационный центр» реализованы меры, полностью исключающие мошенничество, в том числе, со стороны сотрудников, обслуживающих систему:

  • все криптографические преобразования и операции выполняются внутри аппаратного криптографического модуля, сертифицированного в соответствии с жесткими требованиями стандарта FIPS 140-2 Level 3;
  • критически важные внутренние операции сервера аутентификации и взаимодействие с внешними приложениями защищены криптографическими механизмами;
  • выполняемые операции протоколируются для целей аудита, а целостность каждой записи журнала контролируется криптографическими средствами.

Юридическая достоверность, аудит операций

Решение ведет юридически значимый взломоустойчивый аудит-лог, содержащий записи всех аутентификаций, верификаций подписей и проверки MAC-кодов.
Кроме того, решение прослеживает историю транзакции, что позволяет:

  • убедиться в завершенности транзакции;
  • знать, кто провел транзакцию;
  • убедиться в том, что данные по транзакции не были изменены.

Широкая гамма токенов и механизмов аутентификации

Решение поддерживает разнообразные механизмы аутентификации и токены большинства мировых производителей. Это позволяет подобрать свои механизмы аутентификации для разных пользователей и приложений на основе анализа имеющихся для них рисков и предпочтений.

Поддерживаемые технологии:

  • автономные аппаратные токены (токены OATH,  VASCO,  ActivIdentity, Aladdin);
  • автономные и подключаемые кардридеры EMV/CAP/PLA;
  • PKI-карты, цифровые сертификаты или USB-токены;
  • аутентификация с использованием мобильного телефона (эмуляторы аппаратных токенов, SMS-аутентификация).

Простая интеграция «Аутентификационный центр» легко интегрируется с внутренними системами банка.

«Аутентификационный центр» легко интегрируется с решениями полного цикла банковского обслуживания клиентов. Гибкость и легкость встраивания вызовов сервера достигается исчерпывающим набором API:

  • Java RMI, JNDI или JavaBean интерфейс;
  • Web Services XML или SOAP с поддержкой для Web Services Security (WS-S);
  • Microsoft.NET интерфейс.

Встроенные инструменты управления и мониторинга сервера SSAS прозрачно интегрируются с общеизвестными продуктами IBM Tivoli и HP OpenView для обеспечения централизованного контроля и управления ИТ-инфраструктурой.

Масштабируемость и высокая надежность

Решение хорошо масштабируется и легко адаптируется к меняющимся потребностям бизнеса.

Различные варианты комплектации «Аутентификационного центра» позволяют использовать это решение для аутентификации как в небольших проектах, так и в проектах масштаба страны и континента (например, единая система Европейских электронных платежей, или объединенная система банковского обслуживания Швеции). 

Серверная архитектура спроектирована с учетом высоких требований по надежности, включающих аппаратную и программную балансировку нагрузки и отказоустойчивую кластеризацию.

Источник: http://csmteam.ru/services/it-bezopasnost-dlya-bankov/

Кража со взломом. Как защитить банковскую карту от мошенников нового типа | Финансы и инвестиции

ДБО: как защититься от мошенничества

Опрошенные эксперты отмечают, что традиционно мишенью для хакеров выступали прежде всего корпоративные клиенты банков.

Кражи на крупные суммы, которые могут составлять от нескольких сот тысяч до десятков миллионов рублей, интереснее злоумышленникам и в большей степени оправдывают риски, связанные с незаконной деятельностью, объясняет региональный представитель компании «Уральский центр систем безопасности» Алексей Комаров.

Генеральный директор компании SafeTech Денис Калемберг добавляет, что в 87% случаев у юридических лиц крадут суммы в пределах от 100 000 рублей до 10 млн рублей за раз, но случаются кражи и масштабнее. Так, в 2016 году у одной крупной логистической компании похитили сразу 236 млн рублей, приводит пример эксперт.

По его словам, активно похищать деньги у юрлиц через дистанционное банковское обслуживание (ДБО) хакеры начали еще в 2006 году, и с тех пор технологии стали более продвинутыми.

«Первая технология мошенников была абсолютно примитивной: они заражали компьютер и копировали ключи электронной подписи, которые все тогда хранили на флэшках или дискетах, — рассказывает Денис Калемберг. — С помощью этих ключей от имени клиента подписывались платежные поручения».

В ответ на это крупные банки с 2007 года начали продавать клиентам аппаратные токены (специальные устройства, используемые для получения доступа к счету) — с них украсть ключ подписи было намного сложнее. В результате рост убытков у клиентов замедлился, но только на время, вспоминает эксперт.

В 2009 году появились токены «с неизвлекаемым ключом», и специалисты по информационной безопасности банков оптимистично назвали их «панацеей от краж в ДБО».

Однако уже в 2010 году хакеры сменили тактику и начали воровать деньги с использованием удаленного подключения к компьютеру бухгалтера — от этого токены уже не спасали. Поэтому банковским клиентам предлагалось на каждую операцию вводить дополнительный одноразовый пароль (он генерировался в отдельном устройстве или приходил по SMS).

«Это было очень неудобно, и помогало недолго, так как в 2011 году появилась самая совершенная технология атаки — «автоматическая подмена реквизитов», или «автозалив», — уточняет Денис Калемберг.

Технология работает так: когда компьютер клиента заражается, троян автоматически меняет данные платежа, которые уходят на подпись в токен. При этом пользователь видит на экране своего компьютера платежку, вводит все необходимые коды и даже не подозревает, что перечисляет деньги мошенникам.

Генеральный директор компании Group-IB Илья Сачков добавляет, что при совершении атак на юридических лиц злоумышленники могут подменять реквизиты 1С или использовать удаленное управление, чтобы совершать необходимые транзакции в ручном режиме

Финансы под угрозой

Сокращение объема краж в корпоративном сегменте за последний год Сачков связывает с тем, что хакеры стали тщательнее выбирать жертв (средняя сумма одной кражи выросла до 1,25 млн рублей).

Кроме того, резко сократилось число преступных групп, занимающихся работой с юрлицами, а банки начали активно внедрять системы класса антифрод, которые блокируют подозрительные операции по выводу средств со счета.

Таким образом, опрошенные эксперты сходятся во мнении, что усилия хакеров теперь сконцентрированы на частных пользователях, управляющих своими счетами с домашнего компьютера или смартфона.

Согласно данным Group-IB, больше всего клиенты-физлица пострадали от атак на смартфоны на базе Android. Эксперты компании объясняют это тем, что почти 85% смартфонов в мире работают на этой платформе. В отличие от iOS, это открытая экосистема с незначительной цензурой, поэтому неудивительно, что большинство вирусов пишутся именно под нее, подчеркивается в исследовании Group-IB.

Денис Калемберг считает, что основной причиной роста успешных атак на счета физлиц является технологическая легкость кражи паролей и кодов подтверждения операций.

«Практически все банки отправляют их через SMS, а этот канал изначально не был предназначен для передачи конфиденциальной информации», — разъясняет эксперт.

Злоумышленникам не составляет особого труда перехватить такое SMS-сообщение техническим способом — например, заразив смартфон клиента «трояном», либо перевыпустив SIM-карту по поддельной доверенности, добавляет Калемберг.

Впрочем, по мнению Ильи Сачкова, именно ориентация новых групп хакеров на получение данных банковских карт, а не на перехват SMS, позволила повысить средний ущерб от одной атаки.

К примеру, злоумышленники заражают устройство на Android и получают из него данные банковской карты либо логин/пароль от интернет-банка, а также информацию о текущем балансе. Если баланс пользователя вызовет интерес, то мошенники привязывают на своем iPhone банковский счет жертвы к Apple Pay.

Для этого они используют полученные данные карты или логин/пароль, а также смс-подтверждения, которые успешно перехватывает Android-троян. После этого они могут совершать покупки, не имея физической карты.

Впрочем, мошенники вынуждены отовариваться в определенных точках — если суммы большие, платежный терминал может запросить ПИН-код.

К тому же только у части банков есть список доверенных точек, в которых ПИН-код никогда не требуется.

Можно ли вернуть деньги

Все опрошенные специалисты отметили, что если злоумышленники успели вывести деньги со счета, а внутренние системы банка пропустили платеж, то отменить его уже невозможно.

Теоретически можно оспорить транзакцию, или попытаться заблокировать деньги на счете получателя на основании N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», но, скорее всего, уже через несколько часов деньги будут обналичены в банкоматах.

В этой ситуации остается лишь одна опция — доказать, что банк не сделал все возможное для обеспечения безопасных платежей, и получить с него возмещение убытков, считает эксперт компании RTM Group Евгений Царев. Он советует сразу же обращаться в правоохранительные органы и требовать возбуждения уголовного дела.

Кроме того, необходимо привлечь эксперта по информационной безопасности. Его основной задачей будет сбор доказательств невыполнения банком существующих требований по защите информации и бездействия по предотвращению инцидента. Также необходимо убедить суд, что сам клиент выполнил все требования по информационной безопасности, а также проявил должную осмотрительность.

«Если в 2016 году практически не было дел, где была бы доказана прямая вина банка в хищении через ДБО, то судебная практика по делам 2017 года дает возможность надеяться на полное или частичное возмещение убытков. Кроме того, заключен ряд мировых соглашений, которые также подразумевают выплату компенсаций», — комментирует Евгений Царев.

Небольшому или региональному банку крайне сложно выполнить весь спектр отраслевых и законодательных требований по защите информации, поэтому нарушения в любом случае будут. Также следствие обычно запрашивает экспертизу безопасности самописных систем, например, ДБО, где тоже можно выявить нарушения, добавляет эксперт.

Как защититься

Для противодействия мошенникам специалисты советуют не полагаться на один способ защиты, а использовать комбинацию технических и организационных мер.

Корпоративная защита

Чаще всего бухгалтерский ПК находится в общей корпоративной сети. Поэтому меры защиты должны быть обеспечены в масштабе всей организации;

  • В дополнение к антивирусной защите (ее необходимость не обсуждается), необходимо применять дополнительные средства безопасности сети: межсетевые экраны, обнаружение вторжений, антиспам, системы класса «песочница»;
  • Необходимо следить за своевременной установкой обновлений всех операционных систем и приложений;
  • Надо постоянно проводить обучение пользователей принципам «цифровой гигиены»: не переходить по подозрительным ссылкам, не открывать почтовые вложения от непроверенных адресатов, не использовать неизвестные носители информации, тщательно хранить пароли;
  • При проведении платежей можно использовать так называемые «трастскрины», аппаратные устройства с «доверенной средой», которые отображают настоящие реквизиты платежа и блокируют его подписание до тех пор, пока клиент не подтвердит операцию нажатием кнопки на корпусе устройства;
  • Внимательно изучите договор с банком на предоставление услуг ДБО. Если там прописано применение определенных мер защиты — использовать их надо обязательно.

Защита личного ПК

Если вы проводите операции с личными финансами через свой персональный компьютер или ноутбук, то необходимо соблюдать следующие принципы:

  • Обязательно используйте не просто антивирусную программу, а продукт класса Internet Security, который содержит встроенный файервол. Обычно это платные продукты, даже если базовая версия антивируса бесплатна.
  • Скачивайте и сразу устанавливайте все обновления операционной системы и приложений;
  • Никогда не используйте публичную сеть wi-fi для доступа к интернет-банку;
  • Не переходите по подозрительным ссылкам, не открывайте почтовые вложения от непроверенных адресатов, не используйте неизвестные носители информации, тщательно храните и периодически меняйте пароли.

Защита смартфона

Злоумышленники очень активно разрабатывают новые технологии троянов для Android, поэтому использовать интернет-банкинг на смартфоне нужно крайне осторожно:

  • установите антивирусное приложение;
  • используйте для общения с банком, приема или передачи подтверждающих смс-сообщений другой телефон, лучше всего, не смартфон;
  • никогда не используйте публичную сеть wi-fi для доступа к интернет-банку;
  • не переходите по подозрительным ссылкам, не открывайте почтовые вложения от непроверенных адресатов, не устанавливайте малоизвестные приложения;
  • используйте программу класса «подпись в смартфоне» или программный «трасткрин в смартфоне».

Источник: http://www.forbes.ru/finansy-i-investicii/352379-krazha-so-vzlomom-kak-zashchitit-bankovskuyu-kartu-ot-moshennikov-novogo

Как защититься от ограбления в интернет-банкинге

ДБО: как защититься от мошенничества

Для клиента банка дистанционное банковское обслуживание (ДБО) изрядно экономит время. Нет необходимости ездить в филиал банка, все или почти все нужные операции можно сделать с домашнего или рабочего компьютера, а то и с планшета или смартфона.

Для мошенников же ДБО прежде всего обеспечивает безопасность деятельности — не нужно приходить в банк, предъявлять поддельные документы и «светить» лицом перед камерами.

Кроме того, дистанционные ограбления можно выполнять массово, собирая миллионы рублей с чужих счетов за очень ограниченный срок и без особого риска.

Бизнес дистанционного фрода хорошо организован. Как и в случае скимминга, каждым этапом мошеннической операции занимаются люди, ничем, кроме финансовых потоков, друг с другом не связанные.

Такое разделение труда обеспечивает злоумышленникам безопасность и эффективность их деятельности.

Одни люди разрабатывают вредоносное ПО и продают его всем желающим, другие занимаются распространением вирусов, их товар — зараженные компьютеры, доступные через Интернет, а третьи, закупающие сведения о таких компьютерах, уже выполняют атаку на чужие банковские счета.

Директор по продажам компании BIFIT (разработчика систем ДБО) Станислав Шилов рассказал о масштабе проблемы: «Управление «К» делилось статистикой происшествий такого рода по юридическим лицам: по Москве каждый месяц фиксируется около десятка инцидентов крупных краж с использованием ДБО.

Мы собирали статистику с 2009 по 2013 год по завершенным делам Московского арбитражного суда о несанкционированном списании средств с помощью ДБО, по нашим подсчетам средний объем превышает 4 миллиона рублей, и это с учетом множества относительно мелких инцидентов от 200 тысяч рублей».

И это только данные по юридическим лицам, кражи, совершенные у физических лиц, чаще всего решаются на уровне банков и гражданских исков».

Как нас грабят

Практикующиеся атаки условно можно разделить на три способа — фишинг, «человек посередине» и захват управления компьютером. Первый, наиболее простой, заключается в подмене сайта банка или интернет-магазина на очень похожий сайт злоумышленников.

Если ваш компьютер заражен специальной троянской программой, она может подменить IP-адрес вашегоинтернет-банкинга. В адресной строке вы будете видеть привычный адрес, а в браузер загрузится мошеннический сайт.

Есть и другой вариант, не требующий заражения компьютера: пользователю присылается письмо якобы от банка с просьбой зайти в интернет-банк по указанной ссылке и проделать якобы необходимые действия.

Пользователь, ничего не подозревая, вводит свои логин и пароль, и они попадают к злоумышленникам. Для совершения каких-либоопераций этого недостаточно, ведь банк потребует TAN — одноразовый пароль. И тут вступают в дело методы социальной инженерии.

Чаще всего это делается так: поддельный сайт интернет-банкинга после ввода логина и пароля сообщает о технических проблемах при входе и просит ввести TAN, присланный вам по СМС, указанный на специальной пластиковой карточке, или созданный выданным вам в банке генератором паролей.

В это же время злоумышленник заходит в интернет-банк, воспользовавшись украденными логином и паролем, и создает нужную ему операцию (к примеру, перевод всех средств на стороннюю карту Visa.

Пользователь послушно вводит TAN в окно поддельного сайта, а мошенник сообщает его банку и мошенническая трансакция выполняется.

Второй метод, называемый специалистами «человек посередине», чуть сложнее. В этом сценарии пользователь заходит с зараженного компьютера в свой интернет-банкинг и совершает какую-либо операцию.

Для него все выглядит как обычно, но троянская программа перехватывает и изменяет данные, которыми обмениваются пользователь и банк.

Реквизиты подменяются на нужные мошенникам, сумма изменяется так, чтобы перевести со счета все доступные средства, но пользователь этого не видит, ему троянец показывает только те данные, которые он вводит сам.

И, наконец, третий метод позволяет злоумышленнику получить управление компьютером, с которого выполняется работа с системой ДБО.

Чаще всего так обкрадывают компании — системы ДБО для юридических лиц, выполняющих десятки и сотни операций со счетами в день, обычно используют не одноразовые пароли, а разного рода аппаратные ключи: USB-токены, смарткарты и т. д. Это облегчает жизнь не только бухгалтерам, но и мошенникам.

Определив по косвенным признакам, что в данный момент компьютер не используется, мошенник подключается к нему и пользуется им точно так же, как если бы физически сидел за этим компьютером. Если сотрудник бухгалтерии, отойдя от компьютера, не извлек свой ключ, деньги компании уйдут в неизвестном направлении за очень короткий срок.

Защита со стороны клиента

Есть несколько способов защиты против дистанционного фрода: технические средства защиты, дополнительные факторы аутентификации, выполнение рекомендаций по информационной безопасности и знание клиентом внешних признаков мошенничества.

Технические средства защиты — это прежде всего антивирусные программы, защищающие компьютер от заражения троянскими программами. Хорошие антивирусы стоят денег, причем ежегодно, но только они позволят своевременно выявить факт заражения и вылечить компьютер.

Некоторые банки предлагают оформление подписки на антивирус всем пользователям интернет-банкингас ежемесячным списанием оплаты.

Важно помнить, что просто купить и установить антивирус недостаточно — нужно следить за его своевременным обновлением, особенно если вы пользуетесь интернет-банкингом с ноутбука, не постоянно подключенного к Интернету.

Внешние признаки дистанционного фрода сводятся к нетипичному поведению интернет-банка.

К примеру, подключение к интернет-банку про протоколу HTTP свидетельствует о фишинге, все системы ДБО используют защищенные протоколы (адрес в адресной строке браузера должен начинаться с https://).

Сообщение браузера о некорректном сертификате интернет-банка — еще один верный признак фишинга, таких ошибок IT-службы банков не совершают.

Дополнительные факторы аутентификации бывают разные: одноразовые пароли, аппаратные ключи или же звонок клиенту из банка. Если говорить о физических лицах, то в данный момент для них наиболее актуальны одноразовые пароли. Увы, мошенники отлично научились обходить этот способ защиты.

СМС-дыра в защите

Самый часто используемый способ доставки TAN клиенту — СМС-сообщения. Более того, некоторые банки и альтернатив не предлагают: СМС — и только они! К сожалению, в настоящее время это уже не столько средство защиты, сколько источник рисков. Злоумышленники освоили множество методов перехвата СМС-сообщений.

Заражение смартфона мобильным вирусом. Широкое распространение смартфонов сделало возможным получение TAN с помощью мобильного вредоносного приложения.

Делается это очень просто: получив доступ к интернет-банку с помощью фишинга, мошенник узнает телефонный номер пользователя и отправляет на него СМС с фишинговой ссылкой.

Если беспечный пользователь кликнет по этой ссылке — дело сделано, смартфон заражен, и все TAN незамедлительно будет получать преступник.

Замена сим-карты в салоне связи. Во многих случаях сотрудники салона связи выпустят вам новую сим-карту на указанный вами номер даже без предъявления документов. Чаще всего достаточно просто знать имя владельца. Автору и самому как-то удалось поменять так карту в фирменном салоне МТС.

Да, по правилам это делается строго с предъявлением паспорта, но за такое нарушение сотрудники салона зачастую не несут никакой ответственности. Им проще сделать перевыпуск карты, чем спорить с возмущенным клиентом, «забывшим» принести с собой паспорт. Многие банки, но не все, защищаются от этого привязкой к идентификатору сим-карты.

В этих случаях замена сим-карты вызовет блокировку интернет-банка до получения подтверждения от клиента по телефону или личным визитом в филиал.

Включение переадресации СМС. Многие легкомысленно относятся к безопасности своего личного кабинета в системе оператора связи, устанавливая пароли, которые легко подбираются. Практически все операторы предлагают услугу переадресацииСМС-сообщений, что позволяет злоумышленникам перехватывать одноразовые пароли.

На данный момент именно фишинг с перехватом СМС — самый популярный способ дистанционного ограбления физических лиц. «Народный рейтинг» показывает поистине ужасающую картину: большинство банков не могут защитить своих клиентов от мошенничеств такого рода, более того, стремятся переложить ответственность на клиента.

Клиент Сбербанка лишился 90 тыс. рублей, причем факт перевыпуска сим-карты не был им даже замечен — пострадавший посчитал, что карта вышла из строя.

Случай, произошедший в сентябре этого года с клиентом «Русского Стандарта», стоил клиенту 300 тыс. рублей.

Доступ к СМС-сообщениям мошенники получили, перевыпустив сим-карту в одном из офисов «МегаФона» по фальшивой доверенности.

По той же доверенности, судя по всему, злоумышленники выпустили и получили в банке новую пластиковую карту, перевели на нее все средства пострадавшего и сняли через банкоматы.

Похожий инцидент произошел годом ранее с клиентом Сбербанка. Сим-карта MTC была перевыпущена без каких-либо документов, пострадавший лишился 100 тыс. рублей. Несмотря на наличие в ДБО Сбербанка привязки к сим-карте, в этом случае, как и во многих других, она не сработала.

Защита со стороны банка

К счастью, многие банки стремятся помочь пользователю защититься от дистанционного фрода. Что может сделать банк, помимо снабжения пользователя техническими средствами защиты и дополнительными факторами аутентификации? Последней линией обороны являются экспертные антифрод-системы.

Задача такой системы проста — определить нетипичное поведение пользователя. Для этого используется комплекс из нескольких десятков критериев, в соответствии с которым оценивается подозрительность операции.

К примеру, если пользователь внезапно решил перевести все имеющиеся средства на реквизиты, на которые раньше никаких оплат не совершал, система приостановит выполнение операции и даст сигнал оператору.

Оператор проконтролирует операцию и при необходимости позвонит клиенту с запросом подтверждения.

К сожалению, это тоже не панацея, так как приходится очень точно соблюдать баланс между безопасностью и удобством.

Если установить слишком жесткие критерии — будет много ложных срабатываний, из-за чего многие легитимные операции будут выполняться со значительной задержкой, а клиента замучают звонками из банка.

Обычный клиент, не слишком озабоченный безопасностью, от таких трудностей вскоре просто сбежит в другой банк.

Слишком мягкие критерии понизят эффективность системы — клиент не получит полагающейся защиты от фрода. Кроме того, для эффективной работы такая фрод-система требует от банка содержания соответствующего штата операторов. Излишне говорить, что эти расходы в конечном итоге ложатся на плечи клиентов банка.

Шилов рассказал о последней новинке в этой области: «Будущее, без сомнения, за системами адаптивной аутентификации. Наши банки такого пока не практикуют, но многие крупные мировые банки уже внедрили новый подход». В отличие от классических систем аутентификации, адаптивные могут варьировать количество факторов в зависимости от подозрительности операции.

В большинстве случаев от клиента будет требоваться однократный элементарный ввод логина и пароля, что позволит легко и просто совершать простые типовые операции (оплата квартплаты и т. д.). При получении сигнала от антифрод-системы адаптивная система тут же запросит аутентификации по дополнительным факторам — одноразовый пароль, звонок в банк и т. д.

 За счет этого соблюдается оптимальный баланс между безопасностью и удобством.

Так или иначе, а панацеи от мошенничества не существует. Где тонко, там и рвется, — для уверенности в безопасности ваших средств необходима оборона на всех уровнях — от вашего банка до вашего компьютера. И, главное, никогда не теряйте бдительности.

Источник: http://www.bankchart.ru/internet_banking/stati/kak_zaschititsya_ot_ogrableniya_v_internet_bankinge

Защита систем дистанционного банковского обслуживания

ДБО: как защититься от мошенничества

Скачать статью в PDF

Защита систем дистанционного банковского обслуживания

(Интернет-Банк, Клиент-Банк)

Число преступлений, связанных с системами ДБО, за последние несколько лет выросло многократно. При этом используемые банками меры защиты не являются непреодолимым препятствием для злоумышленников. Практика показывает, что кибермошенники могут вмешаться в процесс обработки платежных операций на любом этапе.

1. С кем боремся?

За истекший год специалистами компании «Доктор Веб» было выявлено множество вредоносных программ, предназначенных для кражи пользовательской информации, в том числе данных для доступа к системам «Банк-Клиент» и электронным кошелькам.

Наиболее распространены и опасны Trojan.Winspy, Trojan.Carberp,  Trojan.PWS.Ibank,Trojan.PWS.

Panda, которые передают злоумышленникам данные, необходимые для доступа к банковским сервисам, умеет красть ключи и пароли от различных программ, отслеживать нажатия клавиш, делать снимки экрана, объединяться в сети, обрабатывать поступающие от удаленного командного центра команды и выполнять на зараженном компьютере,  перенаправлять пользователя на поддельные(фишинговые) сайты для кражи пользовательских паролей и ключей.

В настоящее время банковские троянцы существуют для ВСЕХ операционных систем.

Заражение компьютера может происходить различными способами:

·        Посещение зараженного сайта

·        Перенос вирусов на внешнем носителе(флешка, внешний диск, плеер, телефон и т.д.)

·        Заражение по локальной сети

·        Скачивание и запуск зараженных файлов из сети Интернет

·       Заражение через систему автообновления популярных программ

Для получения доступа к системам ДБО активно используются средства социальной инженерии.

Например, рассылка от имени банков  писем по электронной почте с требованием(под разными предлогами) перейти по предлагаемой ссылке, где требуется ввести логин и пароль от системы ДБО.

Ссылка ведет на поддельный сайт со схожим дизайном, а логин и пароль оказываются в руках злоумышленников. Зафиксированы и адресные атаки мошенников на конкретные предприятия.

2. Как это происходит?

После заражения компьютера и получения доступа к нему  производится поиск следов использования ДБО и сбор информации. Собранные данные передаются на управляющий сервер, где проверяются на полноту и достаточность для совершения мошеннической операции.

Если фальшивое платежное поручение не может быть отправлено с другого компьютера, то  используются средства удаленного администрирования, что позволяет отправлять платежные поручения непосредственно с компьютера бухгалтера. Троянами может производиться подмена легитимных платежных поручений на мошеннические при отправке их на подпись, при этом пользователь видит на экране и подписывает свое платежное поручение,

Как только мошенническая операция проведена, и платежное поручение отправлено, главная задача злоумышленников – ограничить доступ пользователя к системе ДБО. Для этого компьютер пользователя приводят в неработоспособное состояние путем удаления компонентов Windows или форматированием жесткого диска. Для дополнительного отвлечения внимания часто удаляются данные бухгалтерских программ.

3. На что следует обращать внимание?

·        необычно медленная работа компьютера, зависания во врем сеансов ДБО или при попытке входа,  произвольная перезагрузка

·        перебои с доступом в систему ДБО

·        невозможность авторизации в системе ДБО

·        несоответствие порядковых номеров платежных поручений

·        попытки авторизации в ДБО с других IP-адресов или в нерабочее время.

·        неоднократное удаление антивирусным монитором одного и того же вируса

·        выход из строя ПК, на котором установлена система ДБО

·        DDoS-атака на вашу ИТ-инфраструктуру

В случае обнаружении вирусов или сбоев в работе компьютера следует немедленно приостановить работу с ДБОи провести полную проверку компьютера антивирусным сканером.

Повторяющееся заражение одним и тем же или схожими вирусами может свидетельствовать о том, что вирус уничтожается не полностью, какая-то его часть продолжает функционировать  и загружает из Интернета обновленные вредоносные программные модули. В такой ситуации следует провести более детальный анализ вирусной активности.

Если самостоятельно не удается установить источник заражения, необходимо обратиться в Службу поддержки пользователей разработчика антивирусной программы.

При работе с системой ДБО следует исходить из соображений, что данный сервис должен функционировать абсолютно бесперебойно, поэтому всякое отклонение от нормальной работы следует воспринимать как сигнал тревоги.

К примеру, если Вы не можете войти в систему ДБО в течении 5- 10 минут, обязательно свяжитесь с банком и установите источник проблемы(в банке или в вашей сети). Если проблема в вашем оборудовании или программах и Вы не можете  её быстро разрешить или локализовать, обязательно свяжитесь с банком, проверьте последние отправленные поручения и сообщите сотрудникам банка об имеющихся проблемах.

4. Как с этим бороться?

Анализ происшедших инцидентов с ДБО позволяет сделать однозначный вывод о том, что успеху злоумышленников способствует пренебрежение пользователями (а иногда и сотрудниками банка) элементарных правил безопасной работы с  системами ДБО. Типичный пример такого поведения – хранение ключей ЭЦП на жестком диске или постоянно подключенных к компьютеру флешках, токенах, отказ от дополнительных мер безопасности, предлагаемых банком.

Основные правила безопасной работы с ДБО.

·        Хранить ключи ЭЦП на съемных носителях и извлекать их по окончании сеанса

·        Не оставлять включенным сеанс ДБО сверх необходимого времени.

·        На компьютере с системами ДБО ограничить работу в сети Интернет минимальным необходимым количеством сайтов.

·        Не использовать на компьютере с ДБО средств удаленного доступа и администрирования.

·        Доступ к ресурсам компьютера с системами ДБО из локальной сети должен быть закрыт, папок общего доступа быть не должно.

·        Не устанавливать без особой необходимости системы ДБО на мобильные устройства, которые могут покидать офис и подключаться к другим сетям.

·        На компьютере с системами ДБО желательно не использовать сетьWi-Fi. В случае необходимости – устанавливать максимально возможный уровень защиты сети.

·        Поддерживать систему антивирусной защиты в работоспособном  и актуальном состоянии

·        Не пользоваться ДБО в случае возникновения проблем с антивирусной защитой

·        Не пользоваться ДБО при повторяющихся сбоях в работе компьютера

Технические аспекты защиты

·        Должны быть установлены все актуальные обновления безопасностиWindows

·        Антивирусная защита должна включать, кроме обычных функций, модули проверки почты, входящего http трафика, Брандмауер, СПАМ фильтр и обновляться не реже одного раза в час. Желательно использовать Централизованное управление антивирусной защитой. Пользователь ДБО должен быть лишен возможности управления антивирусной защитой и возможности её отключения. 

·        На компьютере с ДБО не должно быть установлено программ не являющихся необходимыми на данном рабочем месте

·        Обновление программ(AdobeReader, браузеры и т.д)  должно проводиться только вручную с официальных сайтов. Автообновление необходимо отключить.

·        Пользователь не должен работать с правами Администратора

·        Исключить прямой доступ в Интернет без использования межсетевого экрана

·        Пользовательские пароли должны быть сложными и периодически изменяться

·        Доступ к ресурсам сети Интернет должен быть ограничен фиксированным списком доверенных сайтов, не допускать использование месседжеров типа ICQ, Skype и др.

·        Не допускать использования социальных сетей

·        Использовать только корпоративную почту через почтового клиента.

·        Использовать СПАМ фильтр с жестким ограничением

·        Отключить службы сервера, удаленного доступа и др.  связанные с удаленным администрированием.

·        Применение внешних устройств должно быть ограничен набором флешек (Токенов) с ключами ЭЦП.

В случае если требования безопасности не могут быть выполнены в полном объеме на компьютере бухгалтера, необходимо взвесить риски и, возможно, принять решение о выделении отдельного компьютера для работы с ДБО. Именно такой вариант рекомендуется многими банками.

Учитывая тот факт, что работники бухгалтерий не являются специалистами в области информационной безопасности, они бывают недостаточно информированы о рисках и могут недооценивать необходимость дополнительных мероприятий по защите систем ДБО.  Поэтому разъяснение правил безопасной работы является одним из важнейших составляющих общей системыбезопасности.

Для повышения уровня ответственности и дисциплины, общие правила безопасной работы с ДБО следует оформить соответствующим приказом руководителя предприятия.

5.  Если произошел инцидент

В случае обнаружения факта (или попытки) мошенничества необходимо максимально быстро сообщить о происшествии в банк с целью остановки платежа и  блокирования доступа к системе ДБО.

Компьютер с системой ДБО необходимо выключить. Если в компании имеется межсетевой экран или прокси-сервер, на котором ведутся логи, то необходимо сохранить их на внешнем устройстве.

В случае проведения самостоятельного расследования или привлечения для этих целей консультантов,  следует иметь в виду что работа с оригиналами носителей информации может повредить целостности доказательств, хранящихся на них.

Даже если мошенничество не было завершено, и вы успели остановить его, инцидент остается уголовным преступлением, которое попадает под ряд статей, начиная с создания и распространения вредоносного программного обеспечения и заканчивая попыткой хищения в особо крупном размере. Поэтому следует обязательно написать заявление в правоохранительные органы с требованием возбудить уголовное дело.

Подготовлено с использованием материалов Компании Доктор Веб.

Источник: http://www.dr-web.su/help/dbo.htm

Защита сервисов ДБО от мошенничества

ДБО: как защититься от мошенничества

ПАО АКБ Связь-Банк (группа Внешэкономбанка) является универсальным кредитно-финансовым учреждением. Головной офис Банка расположен в Москве. Региональная сеть Связь-Банка насчитывает более 100 точек продаж в 53 регионах РФ. По данным Центрального Банка Российской Федерации, Связь-Банк входит в список 30 крупнейших банков России.  

Система фрод-мониторинга операций в каналах дистанционного банковского обслуживания (ДБО) физических лиц позволяет Банку обнаруживать подозрительные операции в системе интернет-банкинга и своевременно предотвращать неправомерные действия со счетами клиентов. При этом значительно уменьшилось количество транзакций, требующих анализа в ручном режиме.

Комфортная безопасность

Система фрод-мониторинга операций в системе интернет-банкинга «МЕГАПЭЙ» (СМ ДБО) – результат тесной интеграции продукта Oracle Adaptive Access Manager и существующей в Банке системы ДБО.

Таким образом было выполнено принципиальное требование Банка: обеспечить эффективное выявление попыток мошенничества при сохранении высокой скорости обработки операций клиента, а также полную прозрачность решений, принимаемых СМ ДБО, для всех операционных сотрудников Банка. 

«Для нас важно, чтобы при повышении защищенности каналов дистанционного обслуживания клиент не испытывал никаких существенных ограничений. Мы ориентированы на клиента и должны обеспечивать максимально комфортный сервис при высоком уровне защиты от мошенничества.

В результате проекта мы этого добились, – подчеркивает заместитель директора Департамента безопасности Связь-Банка Сергей Курочкин. – Антифрод-система на базе Oracle Adaptive Access Manager анализирует все ключевые события в системе ДБО и выдает результаты фрод-анализа в режиме реального времени.

Это позволяет нам быстро реагировать на попытки несанкционированных действий, сводя к минимуму риски финансовых потерь для наших клиентов. Мы также получили возможность оперативно выявлять уязвимости системы интернет-банкинга, а следовательно повышать ее безопасность.

Для банка это существенный фактор укрепления деловой репутации и повышения привлекательности услуг для потребителей».  

Совместно с экспертами Банка аналитики компании «Инфосистемы Джет» проанализировали существующие процессы дистанционного банковского обслуживания и определили необходимые точки контроля.

Команда разработчиков антифрод-решения определила требования к информационному обмену между OAAM и системой ДБО и разработала модуль интеграции.

В результате были сохранены высокие показатели производительности системы ДБО и существенно повышены показатели ее надежности.

Адаптивный контроль

Эксперты компании «Инфосистемы Джет» разработали алгоритмы анализа параметров платежных и неплатежных операций в системе ДБО с учетом особенностей Связь-Банка.

СМ ДБО работает не только на основе фиксированных правил, она также позволяет проводить профилирование клиентов, контролировать цепочки событий и многое другое.

Полученные результаты антифрод-система передает в систему ДБО, определяя режим дальнейшей обработки платежной транзакции. 

«Мы работали в тесном контакте с бизнес-подразделениями и Департаментом безопасности Банка.

На основании лучших практик Oracle и нашего опыта работы в банковском секторе была разработана базовая модель анализа событий в каналах ДБО – правила обработки событий и пороговые значения скоринговых баллов, а сотрудники заказчика помогли нам ее уточнить и адаптировать к особенностям бизнес-процессов Связь-Банка.

Активное сотрудничество позволило с первого же дня эксплуатации обеспечить высокую эффективность внедренной системы и минимальное количество ложных срабатываний», – говорит руководитель направления по борьбе с мошенничеством Центра информационной безопасности компании «Инфосистемы Джет» Алексей Сизов

Для обеспечения корректности работы СМ ДБО предусмотрены механизмы регулярного обновления справочников, содержащих сведения о клиентах, структуре банка и др. История действий в антифрод-системе хранится в течение трех лет – это позволяет анализировать статистику и при необходимости корректировать правила обработки событий и критерии отнесения транзакций к мошенническим.  

«Задача обеспечения безопасности данных и сервисов клиентов всегда была и остается приоритетной для Oracle. И мы рады поздравить Связь-Банк с решением важнейшей задачи, – отмечает руководитель группы информационной безопасности технологического консалтинга Oracle СНГ Андрей Гусаков.

– Благодаря тесному взаимодействию в этом проекте был реализован функционал выявления мошеннических действий и адаптивного контроля доступа без внесения серьезных изменений в систему интернет-банкинга.

Этот инновационный подход позволяет значительно сократить сроки реализации проекта, особенно при обеспечении защиты нескольких систем или каналов доступа, и мы уверены в расширении этого положительного опыта в России». 

Это яркий пример использования продукта Oracle Adaptive Access Manager (OAAM) как основного компонента системы противодействия мошенничеству в каналах ДБО.

OAAM является частью платформы Oracle Access Management – промышленного решения для защиты приложений, данных, web- и облачных сервисов.

Наличие у компании «Инфосистемы Джет» значительного опыта внедрения систем фрод-мониторинга в банках и на предприятиях других сфер экономики, а также подтвержденные компетенции в области технологий Oracle обусловили выбор интегратора в качестве исполнителя данного проекта. 

Перспективы развития

Тенденции возрастания количества мошеннических атак и появления новых способов мошенничества, а также расширение кредитной организацией спектра банковских услуг, предоставляемых клиентам, предполагают логичное развитие СМ ДБО.

Связь-Банк планирует дальнейшее совершенствование внедренной в банке технологии. 

«Мы понимаем риски наших клиентов и надеемся расширить существующую платформу для повышения защищенности в других каналах. Сегодня мошенники хитры и изобретательны. Только комплексный контроль обслуживания клиентских счетов и услуг позволяет добиться противодействия хищениям денежных средств со счетов клиентов», – резюмирует Сергей Курочкин

Система фрод-мониторинга операций в каналах дистанционного банковского обслуживания физических лиц позволяет Банку обнаруживать подозрительные операции в системе интернет-банкинга и своевременно предотвращать неправомерные действия со счетами клиентов.

Значительно уменьшилось количество транзакций, требующих анализа в ручном режиме.

При реализации проекта было выполнено принципиальное требование Банка: обеспечить эффективное выявление попыток мошенничества при сохранении высокой скорости обработки операций клиента, а также полную прозрачность решений, принимаемых системой, для всех операционных сотрудников Банка.

Источник: https://jet.su/services/informatsionnaya-bezopasnost/proekty/zashchita-servisov-dbo-ot-moshennichestva/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.