Информационные атаки на банки

Однако сегодня наметилась четкая тенденция: рост числа банков, использующих двухфакторную систему аутентификации, привел к увеличению количества вредоносного ПО, способного обойти и этот способ защиты. Это значит, что повсеместное применение двухфакторной аутентификации не даст долгосрочного эффекта, а лишь поднимет планку для писателей вредоносного финансового ПО.

С другой стороны, следует отметить, что большинство банков, использующих в настоящее время двухфакторную систему аутентификации, до сих пор не настроили ее так, чтобы она обеспечивала максимальную степень защиты. Это значит, что создатели систем IT-безопасности могут повысить уровень защиты финансовых организаций, оптимизируя настройки установленной системы.

Тем не менее, у двухфакторной аутентификации существует серьезный недостаток: несмотря на то что сама сессия интернет-банкинга защищена, контроль над тем, что именно происходит во время сессии, отсутствует. Для усиления защиты требуются дополнительные способы контроля, такие как использование криптографического устройства аутентификации (токена) или SMS-сообщений (которые уже применяются некоторыми финансовыми организациями). С помощью SMS-сообщений можно устанавливать ограничение на срок действия кодов авторизации, на доступные для совершения транзакции номера счетов, на максимально допустимую сумму транзакции.

Очевидно, что у последнего метода есть потенциальные недостатки – его широкое использование приведет к тому, что вирусописатели будут создавать вредоносные программы для устройств, которые принимают SMS-сообщения. И в этом случае криптографическое устройство доступа – хорошее решение, поскольку установить какое-либо дополнительное программное обеспечение на него невозможно. В идеале такое устройство должно иметь отдельные алгоритмы для входа на сайт и для подтверждения транзакции.

В настоящее время при подтверждении транзакции от пользователей требуется криптографическая верификация. Но проблема в том, что коды верификации не несут для пользователя никакой смысловой нагрузки. Поэтому для каждой транзакции нужно проводить дополнительную верификацию. Использование для этого суммы транзакции –не самый безопасный способ, поскольку некоторые троянские программы уже "справляются" с этим механизмом, изменяя номер счета вместо проведения дополнительных транзакций.

Верификация, обеспечивающая должный уровень безопасности, могла бы включать в себя требование к пользователю ввести реквизиты счета, на который он хочет перевести деньги, т.е. ту информацию, которой нет у вредоносных программ и у киберпреступников. Преимущество такого сценария в том, что пользователь самостоятельно вводит номер счета. Теоретически это означает, что у него больше шансов обнаружить подложную транзакцию, чем в том случае, если бы он просто вводил данные, присланные в SMS-сообщении.

Кроме того, подобный механизм можно сделать более удобным для пользователя, предусмотрев возможность создания белого списка номеров счетов, для доступа к которым не требуется дополнительная аутентификация. Однакоэто потребует защиты как самого белого списка, так и для процедуры доступа к нему.

Очевидно, что многое зависит от самих финансовых организаций и банков, от их желания принимать надлежащие меры защиты. Обеспечение безопасности интернет-банкинга – сравнительно новая проблема, и на создателей антивирусного ПО в этой связи ложится дополнительная ответственность: способны ли решения для защиты от информационных угроз обнаруживать последние варианты современных вредоносных финансовых программ, в состоянии ли они заблокировать фишинг-атаки?

И последнее, но не менее важное: любая система или процедура безопасности в конечном счете проверяется по тому, насколько эффективно работает ее самое слабое звено. В данном случае это пользователь. Станет ли он проходить по ссылке или запускать приложение? Установлены ли в его системе все необходимые обновления? Часть финансовых организаций уже учитывают эти факторы, а некоторые (например, в Новой Зеландии) даже отказываются возмещать убытки, если в системе, подвергшейся атаке, не были установлены все необходимые обновления.

К сожалению, опыт показывает, что попытки обучения пользователей не слишком продуктивны и что меры безопасности, принимаемые организациями, часто бывают бессистемными. Следовательно, когда дело доходит до атак на банки, антивирусная индустрия вновь оказывается на передовой, защищая как пользователей, так и финансовые организации.

Литература

1 ФСТЭК России. РД. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования по защите информации. - М.: Военное изд-во, 1992.

2 ФСТЭК России. РД. Средства вычислительной техники. Защита от несанкционированного доступа к информации. – Там же.

3 ГОСТ Р ИСО/МЭК 15408. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. - М.: ИПК Изд-во стандартов, 2002. - Ч. 1-3.

4 Карпов В.В. Вероятностная модель оценки защищенности средств вычислительной техники с аппаратно-программным комплексом защиты информации от несанкционированного доступа. // Программные продукты и системы. - 2003. - №1.

5 Карпов В.В. Критерии и показатели защищенности автоматизированных систем от несанкционированного доступа. // Там же. - 2001. - №1.

6 http://www.plusworld.ru/journal/page219_1835.php

2