Интернет-банкинг: безопасность превыше всего (О. Илюхин, "Консультант", N 15, август 2010 г.)

Интернет-банкинг: безопасность превыше всего

Интернет-банкинг - с одной стороны, относительно новая технология обслуживания клиентов. Ее "стаж" насчитывает всего-то двадцать с небольшим лет, что на фоне многовековой истории финансовых отношений - совсем небольшой период времени. А с другой - трудно представить, как из современной банковской практики убрать дистанционное банковское обслуживание (ДБО), настолько прочно оно занимает свою нишу среди других видов услуг кредитных организаций. Рассмотрим вопросы безопасности клиентов корпоративного сектора как наиболее важный аспект работы систем обработки удаленных платежей.

Классические меры безопасности интернет-клиента

Безопасность любой системы начинается с пары логин - пароль. Это самое простое и вместе с тем уязвимое средство аутентификации пользователя. Уязвимость вызвана рядом причин, среди которых и привычка пользователей хранить пароль на листочке, приклеенном к монитору, и широкое распространение вредоносных программ - кей-логгеров, считывающих нажатие клавиш на клавиатуре и передающих эту информацию злоумышленнику. Для снижения уязвимости современные системы ДБО, как правило, предоставляют пользователю возможность регулярно менять пароль входа в систему.

Электронно-цифровая подпись (ЭЦП) была создана для того, чтобы сделать возможным обмен юридически значимыми электронными документами и совершение интерактивных сделок Механизм действия, при помощи которого цифровая подпись обеспечивает юридическую значимость электронного документа, относительно прост и очень эффективен. По сути, электронная подпись представляет собой определенную последовательность символов, полученную за счет преобразования исходного документа специальным программным обеспечением.

При его пересылке происходит добавление цифровой подписи к исходному документу, в результате чего авторство и неизменность информации, содержащейся в документе, получают свое подтверждение. При внесении любых изменений в исходный документ электронная подпись сразу становится недействительной.

Таким образом, получение ЭЦП позволяет быть уверенным в авторстве и содержании документов, которыми вы обмениваетесь через Интернет и другие каналы связи. Подделать электронную подпись невозможно. Благодаря ее надежности сегодня согласно действующему законодательству РФ документ, подписанный цифровой подписью, и тот, который был подписан собственноручно, признаются равнозначными.

Каждому пользователю, участвующему в обмене электронными документами, предоставляются уникальные секретный и открытый криптографические ключи.

Первый из них (закрытый) является элементом, с помощью которого производится шифрование документов и формируется электронно-цифровая подпись. Секретный ключ является собственностью пользователя - клиента банка, выдается ему на отдельном носителе (дискета, usb-flash, смарт-карта, touch memory - идентификатор) и держится в тайне от других пользователей.

Открытый (публичный) ключ используется для проверки ЭЦП получаемых документов-файлов. Владелец должен обеспечить наличие своего открытого ключа у всех, с кем он собирается обмениваться подписанными документами. Кроме того, дубликат этого ключа направляется в удостоверяющий центр (УЦ), где создана библиотека открытых ключей ЭЦП. В библиотеке центра обеспечивается регистрация и надежное хранение открытых ключей во избежание попыток подделки или внесения искажений. УЦ, как правило, создает каждый банк, хотя известны прецеденты передачи его функций на аутсорсинг.

При отправке документа в банк клиент создает для него электронную цифровую подпись. При этом на основе секретного ключа ЭЦП и содержимого документа путем криптографического преобразования вырабатывается некоторая символьная последовательность, которая и является электронно-цифровой подписью данного пользователя для конкретного документа. Она сохраняется в отдельном файле. В подпись записывается следующая информация: дата формирования подписи, информация о лице, сформировавшем подпись, имя файла открытого ключа подписи.

Банк, получивший подписанный документ и имеющий открытый ключ ЭЦП отправителя, выполняет обратное криптографическое преобразование, обеспечивающее проверку электронной подписи. Если ЭЦП под документом верна, то это значит, что он действительно подписан отправителем и в его текст не внесено никаких изменений.

До недавнего времени считалось, что пары логин - пароль и ЭЦП достаточно для обеспечения безопасной передачи документов от клиента в банк. Однако начиная с 2008 года количество злоупотреблений и мошенничеств в сфере ДБО начало неуклонно возрастать, и стало понятно, что в обеспечении безопасности электронных платежей надо что-то менять.

Типовые сценарии мошеннических действий

Можно выделить три основных типа угроз:

- фишинг;

- кража логина, пароля, закрытых ключей;

- выполнение мошеннических операций непосредственно с рабочего компьютера клиента.

1. Фишинг. Мошенник создает копию интернет-сайта системы ДБО и путем подмены ссылок заставляет клиента зайти на фальшивый сайт. Далее пользователь, думая, что он работает в системе банка, проводит платежи, а тем временем вводимая им информация перехватывается и используется злоумышленником по его усмотрению (например, подменяются реквизиты настоящего получателя платежа на реквизиты мошенника).

Этот вид интернет-атаки технически сложнее всего предотвратить, но при этом мошеннику практически невозможно создать точную копию сайта. Поэтому клиенты, проявляя определенную бдительность, особенно если заметны отклонения от обычного режима работы системы (например, появились дополнительные всплывающие окна с предупреждениями и т.п.), могут помешать злоумышленнику воспользоваться результатом атаки, просто прекратив пользоваться системой. При этом клиенту следует позвонить в банк, поменять закрытый ключ и до момента смены ключа блокировать возможность выполнения операций по счету через интернет-банкинг.

2. Кража логина, пароля, секретных ключей. На компьютере клиента внедряются вредоносные программы, так называемые "черви" и "трояны", которые воруют (переписывают, копируют) идентификационные данные клиента.

Внедрение может происходить несколькими способами: это и уже знакомый нам фишинг (когда одновременно с заходом на поддельную интернет-страницу в компьютер загружается шпионская программа), и загрузка вредоносного программного обеспечения при посещении сайтов, в основном развлекательного характера.

При этом активность хакеров направлена, как правило, не на конкретного клиента. Обычно предметом их атаки становится система интернет-клиент какого-либо банка, а жертвами - клиенты, которые в неудачное для себя время посетили какой-либо сайт.

3. Выполнение мошеннических операций непосредственно с рабочего компьютера клиента (получение удаленного управления ПК). В память компьютера загружается вирус, который подключает его к серверу, управляемому хакером. После этого с сервера можно отдавать команды по выполнению определенных действий на компьютере, в том числе и операций в системе интернет-банкинга. Много шума в последнее время наделал реализующий этот сценарий вирус BlackEnergy.

Со стороны банка данный платеж выглядит как ничем не отличающийся от обычного, санкционированного, и его крайне сложно выделить среди других платежей.

Из вышесказанного можно сделать один нелицеприятный вывод: для обеспечения надежной работы в сложившейся ситуации классических средств безопасности явно недостаточно. Какие дополнительные меры защиты можно предпринять? Рассмотрим их на примере нескольких типовых атак злоумышленников.

Противодействие мошенничеству: возможные варианты

1. Кража логина - пароля и секретного ключа. Как правило, происходит по халатности сотрудников корпоративных клиентов банка, которые зачастую не вынимают из системного блока носитель с секретным ключом или хранят его на рабочем столе, а еще иногда копируют его на диск рабочего компьютера или выкладывают в Сеть. Применение несложных защитных мер, которые исключают возможность таких случаев, способно серьезно снизить вероятность кражи секретного ключа.

Далее, злоумышленник со своего компьютера входит в систему под учетными данными клиента и от его имени производит платежи. Зачастую данный вид мошенничества сопровождается уничтожением компьютера клиента (полное удаление данных, зависание, DDoS-атака), а пока клиент восстанавливает свое рабочее место, от его имени проводятся несанкционированные операции. Таким образом злоумышленник заметает следы.

Для защиты от таких атак наилучшим выходом для клиента будет фиксирование в договоре с обслуживающим банком параметров компьютера (IP и MAC адреса), с которого клиент осуществляет финансовые операции в системе. В этом случае попытки входа в систему с другого компьютера будут заблокированы.

Другой способ защиты - это использование носителей секретных ключей, устроенных таким образом, что их содержимое нельзя куда-либо скопировать (E-token). С начала 2009 года банки в массовом порядке начали предлагать такие носители своим клиентам, но, к сожалению, уровень сознательности последних еще невысок. В среднем по рынку стоимость E-token в 2-3 раза выше, чем обычный USB-flash-накопитель, но многие гонятся за дешевизной в ущерб собственной безопасности.

2. Получение удаленного управления компьютером. Мы уже рассмотрели, как реализуется подобный сценарий. Спецификой такой атаки является то, что идентификационные данные клиента не крадутся, а просто используются, как и при штатной работе с системой. Хорошей практикой при этом является защита ключа E-token дополнительным паролем.

Еще более эффективной мерой защиты клиентов от подобного рода атак является так называемый OTP-token (от английского - One Time Password). Он представляет собой генератор одноразовых паролей, которые клиент может вводить либо при начале новой сессии работы в системе дистанционного обслуживания, либо при подписи каждого отправляемого документа, в зависимости от того, какой уровень безопасности он изберет.

Преимущество OTP-token в том, что злоумышленнику для отправки несанкционированного платежа в банк необходимо овладеть OTP-token клиента, то есть не только заразить компьютер вирусом и похитить логин/пароль/секретный ключ, но и вступить в сговор с сотрудниками клиента и выкрасть генератор одноразовых паролей.

Также стоит отметить, что уровень понимания проблем информационной безопасности в корпоративном секторе в настоящее время крайне низок. Поэтому, если злоумышленник нападает на компанию, использующую OTP-token, ему легче оставить свои попытки и найти клиента банка, который еще не имеет такой защиты.

Существует вариант OTP-token, совмещенный с USB-носителем. Подобное устройство, разумеется, стоит дороже, но при этом более удобно для использования.

3. "Отложенная" кража ключей клиента. В последнее время получили распространение необычные случаи кражи идентификационных данных клиентов - юридических лиц. При этом мошенник не спешит сразу пользоваться полученной информацией, а кража денежных средств происходит через 2-3 месяца. По-видимому, это связано с разделением сфер деятельности в преступном сообществе, когда крадет ключи один человек, потом продает украденную информацию другому, который и осуществляет несанкционированные операции.

Способ борьбы с такими атаками - это уже упоминавшийся OTP-token. На данный момент это вообще самый универсальный способ защиты. Кроме этого, многие банки предлагают клиентам периодически менять пароли доступа к системе, на что клиенты никак не реагируют, а зря. Ведь если пароль будет сменен, то украденные два месяца назад идентификационные данные просто-напросто устареют.

Снижение рисков информационной безопасности

Анализ выявленных в нашей стране и мире ситуаций показал, что хищения денежных средств с расчетных счетов осуществляются:

- как работающими, так и уволенными ответственными сотрудниками компании, имевшими доступ к секретным ключам ЭЦП для системы ДБО;

- штатными IT-сотрудниками компании, имевшими доступ к носителям ЭЦП (дискетам, USB-flash, жестким дискам и пр.), а также к компьютерам, с которых осуществлялось ДБО как физически, так и удаленно через локальную сеть;

- нештатными, приходящими по вызову, IT-специалистами, выполняющими профилактику и подключение к сети Интернет, установку и обновление бухгалтерских и справочных программ, другого программного обеспечения на компьютерах, с которых осуществлялось ДБО;

- злоумышленниками путем заражения вредоносными программами компьютеров предприятия ввиду уязвимости системного и прикладного ПО (операционных систем, Web-браузеров, почтовых клиентов и пр.) с последующим дистанционным похищением секретных ключей ЭЦП и паролей.

Со своей стороны банки принимают необходимые меры по защите систем ДБО, руководствуясь лучшими практиками по обеспечению информационной безопасности, стандартами и рекомендациями Центрального банка РФ. Для формирования ЭЦП используются средства, сертифицированные ФСБ, и сами ключи в настоящее время невозможно подделать.

В случае если ключи будут похищены мошенником (скопированы), то документы, направляемые злоумышленниками в банк, будут подписаны с использованием действующих секретных ключей ЭЦП клиента. Такие документы не вызовут подозрений у сотрудников банка, поскольку имеют корректную электронную подпись, те же реквизиты получателей и типовое назначение платежа. Поэтому полученные платежные документы признаются банком поступившими от клиента, владельца расчетного счета, и кредитная организация обязана их исполнить. При этом вся ответственность за убытки безусловно и полностью возлагается на клиента как единственного владельца секретных ключей.

Итак, что же банки рекомендуют своим клиентам в качестве мер защиты от мошеннических действий?

Рекомендации по организационному обеспечению безопасности

Определить в организации круг должностных лиц, ответственных за использование системы ДБО и хранение ключей ЭЦП.

Ключи хранить в запираемом сейфе и использовать только в момент работы с системой ДБО. Недопустимо для удобства оставлять их в компьютере или тем более копировать на жесткий диск. Извлекать из компьютера съемный носитель, содержащий секретный ключ, сразу после завершения работы с системой ДБО.

Недопустимо записывать на носитель, содержащий секретный ключ, какую-либо другую информацию.

Для защиты от копирования ключей рекомендуется применять специализированные устройства хранения (E-token).

Ограничить доступ к компьютеру (в том числе и по локальной сети), используемому для работы с системой ДБО. Обеспечить безопасность помещения, в котором установлен компьютер.

Осуществлять постоянный контроль отправляемых платежных документов при работе с системой ДБО, а также состояния расчетного счета предприятия.

Хорошие результаты дает разделение прав доступа в систему ДБО между двумя разными рабочими местами. Например, на одном из них осуществлять ввод документов в систему, а на другом - проверять, устанавливать ЭЦП и отправлять платежи в банк.

Регулярно производить смену паролей доступа в систему ДБО.

Регулярно производить смену закрытого ключа ЭЦП.

В обязательном порядке производить перегенерацию ключей ЭЦП и смену паролей в следующих случаях:

- при смене ответственных лиц, имеющих доступ к системе ДБО;

- при обнаружении фактов доступа неуполномоченных лиц к ключевой информации или подозрении о таком доступе, в том числе и удаленном по Сети;

- при наличии вирусной активности на персональном компьютере в период использования ДБО. Обнаружение и удаление вируса антивирусной программой не является гарантией того, что удалены все вирусы и до их удаления они не скопировали ключи и пароли.

Рекомендации по техническому обеспечению безопасности

На персональном компьютере, используемом для доступа в систему ДБО, необходимо создать "доверенную среду":

Все установленные программы должны поступать из заслуживающих доверия источников. На компьютере должны быть только необходимые программы.

Они должны регулярно обновляться. В обновление системных и прикладных программ входят "заплатки", предотвращающие распространение компьютерных вирусов. Необходимо устанавливать все официальные обновления к используемой операционной системе.

Хорошей практикой является работа на компьютере от имени пользователя, не имеющего полномочий администратора, причем настройки должны запрещать для этого пользователя возможность установки каких-либо программ и осуществления записи файлов в системные каталоги.

Все используемые учетные записи компьютера должны иметь сложные пароли (состоять из неповторяющихся и не идущих подряд цифр и букв и иметь не менее 8 символов). Неиспользуемые учетные записи должны быть отключены.

Необходимо отключить "автоматическое выполнение" для подсоединяемых к компьютеру флэш-карт и компакт-дисков, поскольку значительная часть вредоносных программ распространяется именно этим способом.

Необходимо установить антивирусную программу и поддерживать ее функционирование с актуальными базами.

Важно знать, что ни одна антивирусная программа и ни один межсетевой экран (Firewall) не обеспечивают 100% защиты. Поэтому необходимо ограничить информационный обмен с Интернетом и внутренней сетью организации.

Ограничить доступ в сеть Интернет с компьютеров, используемых для связи с системами банк - клиент только доверенными сайтами - системы ДБО банка, антивирусного ПО и сайта обновлений Microsoft.

Запретить удаленный доступ к компьютеру по Сети, включая локальную.

При работе с электронной почтой обращать особое внимание на отправителя сообщения. Если он неизвестен, открывать сообщение и присланные файлы категорически не рекомендуется, чтобы ни было написано в теме сообщения.

Банк ни при каких обстоятельствах и ни в какой форме не запрашивает у клиента конфиденциальную информацию о секретных ключах и паролях. Не отвечайте на подозрительные письма с просьбой выслать секретный ключ ЭЦП, пароль и другие конфиденциальные данные. Подобное письмо гарантированно создано злоумышленниками.

Не использовать в компьютере ДБО сервисы обмена мгновенными сообщениями (ICQ, Skype, Mail.Ru-Агент и т.п.).

Прочие рекомендации

При неожиданном зависании компьютера в момент работы с системой ДБО с последующим полным отказом в работе клиенту необходимо позвонить в банк и убедиться, что с его счета от его имени не был отправлен платеж.

При подозрениях на наличие вирусов на персональном компьютере (в частности, неожиданных зависаниях, перезагрузках, сетевой активности) следует полностью воздержаться от использования системы ДБО до исправления ситуации или до полной переустановки системы на данном компьютере.

Как банки помогают своим клиентам

Конечно же, кредитные организации, заинтересованные в сохранении и повышении лояльности клиентов, не исповедуют принцип "спасение утопающих - дело рук самих утопающих". Напротив, они предлагают своим клиентам - юридическим лицам целый комплекс решений в сфере безопасности.

В настоящий момент наибольшее распространение получили:

1. E-token и OTP-token (рассматривались выше).

2. Услуга SMS-информирования. Директор компании подписывается на уведомлениях о совершенных операциях по счету (как правило, из рассылки исключаются уведомления о списании комиссий, чтобы не засорять мобильный телефон руководства компании). Более того, многие банки предоставляют услугу рассылки сообщений об операциях свыше определенной суммы, размер которой согласован с клиентом. Когда он подключен к SMS-информированию, проведение несанкционированного платежа сильно затруднено, ведь, если ему пришло уведомление о платеже, который он не совершал, у клиента есть время на звонок в банк и его отмену.

3. Мониторинг мошеннических операций. Сейчас многие поставщики систем ДБО предлагают автоматические системы, которые по ряду признаков определяют вероятность подложности документа. Среди таких признаков - смена IP-адреса компьютера, необычные реквизиты платежа, в том числе и получателя. Информация о таких платежах поступает в операционное подразделение банка, где и принимается решение о проведении или блокировке платежного документа. Также практикуются звонки клиентам с целью уточнения, создавался ли ими такой платеж.

Подведем итог

В последние два года перед банками и их корпоративными клиентами в полный рост встала проблема защиты денежных средств от все более изощренных видов мошенничества. Технический прогресс не стоит на месте, и способы защиты, которые еще вчера давали 100-процентную гарантию от взлома интернет-банкинга, сегодня уже не имеют такой надежности. Будущее информационной безопасности в системах класса "интернет-банк" представляется мне как некая "гонка вооружений", в которой на каждый ход мошенников будут следовать ответные действия банков и разработчиков систем ДБО. И, конечно же, клиенты должны понять, что больше закрывать глаза на проблемы информационной безопасности вряд ли получится. Только в случае неукоснительного соблюдения необходимых мер безопасности можно свести риск потери своих же денег к минимуму.

О. Илюхин,

директор департамента информационных

технологий СДМ-БАНКа

"Консультант", N 15, август 2010 г.