Брелок от хакерства

"Фактурная" история

Совершающие электронные операции клиенты банков все чаще становятся жертвами виртуальных мошенников. Исключением не стала и Россия. Во второй половине прошлого года в России участились попытки хищения денежных средств банковских клиентов при использовании систем дистанционного управления счетом - интернет-банк. Момент хищения при этом маскируется путем организации массированных DDоS-атак на сайт банка, существенно затрудняющих клиентам возможность проверки состояния счета в реальном времени. Причем, как обещали эксперты, эти атаки - только начало других, которые стоит ожидать в ближайшем будущем.

Напомним: в сентябре мощной распределенной атаке на отказ в обслуживании (DDoS) были подвергнуты домены, принадлежащие ГК "Центр финансовых технологий" (ЦФТ). Основной мишенью хакеров стала межбанковская система интернет-банкинга Faktura.ru. В распространенном пресс-релизе говорилось о том, что "организация столь серьезной массированной DDoS-атаки была спровоцирована с целью проведения мошеннических операций".

Тогда только за одни сутки специалисты ЦФТ зафиксировали 27 попыток проведения мошеннических операций в системе, при этом 17 удалось предотвратить, но 10 из них оказались удачными. Итог печален: общая сумма ущерба составила 2,18 млн. рублей.

Как это происходит?

Как же происходит несанкционированное хищение средств со счетов клиентов? Специалисты в области IT-технологий делят атаки, используемые кибер-ворами, на крупные и мелкие. Ко вторым относятся атаки с помощью вредоносных программ - так называемые трояны. Они похищают у пользователей системы интернет-банкинга файлы с секретными ключами электронно-цифровой подписи (ЭЦП) и пароли, вводимые с клавиатуры. Недавно появилась разновидность программы, позволяющая отслеживать даже движения управляемого мышью курсора. Не брезгуют мошенники и спамом, через который рассылаются "жучки". Смысл один - похитить ваши пароли.

Мошенник, заполучивший секретный ключ и пароль, направляет в банк платежные поручения с корректной ЭЦП. Для маскировки противоправных действий в этот момент нельзя допустить владельца электронного ключа к расчетному счету через систему интернет-банк. И к "игре по-крупному" подключаются вышеупомянутые DDoS-атаки. Злоумышленник заказывает DDoS-атаку на сервер банка, в то время как клиент думает, что сбой произошел из-за технических проблем в самом банке. При этом сервер интернет-банка перестает быть доступен всем клиентам данной финансовой организации. Такая атака может продолжаться до нескольких суток.

При этом хакеры охотятся преимущественно не на крупные корпорации с большими оборотами, поскольку серьезная компания, как правило, имеет соответствующие IT-структуры, оберегающие систему. Они, как правило, воруют у физических и небольших юридических лиц - малых предприятий и частных предпринимателей, ведь их компьютеры защищены меньше всего.

Кто виноват?

Главная сложность в этой ситуации - донести до пострадавшего клиента, что банк в атаке не виноват. Действительно, представьте себя на месте рядового предпринимателя, приобщившегося к системе управления счетом посредством Интернет. Что бы вы подумали, если бы вдруг узнали, что кто-то украл ваши секретные ключи и провел легитимный платеж от вашего имени? Скорее всего, обвинили бы некоего инсайдера, имевшего доступ к базе данных - вот и невозможность соединиться с сервером банка для отмены операции тому подтверждение. На самом же деле речь идет именно о том самом хакерстве с использованием DDoS-атаки. Так происходит современное циничное воровство.

После можно сколько угодно возмущаться и сотрясать воздух угрозами - доказать что-то будет уже чрезвычайно сложно. Ведь банк получил легитимный платежный документ с настоящей цифровой электронной подписью - он обязан выполнить распоряжение клиента, данное через интернет-систему. При всей печальности ситуации эксперты призывают искать причину все-таки в собственной неосторожности. Несмотря на то, что банк первым предостерегает клиентов от разглашения данных и в договорах, и в специальных информационных сообщениях, не все клиенты прислушиваются к советам специалистов.

Однако после обрушения Faktura.ru многие финансовые организации озадачились поиском принципиально нового решения, позволяющего обезопасить клиентов от поползновений интернет-мошенников.

Что делать?

АКИБАНК, входящий в пятерку крупнейших татарстанских банков, стал одним из первых применять новое решение в сфере безопасности интернет-платежей - устройство для генерации и хранения ключей USB-токен "iBank 2 key". Программное решение разработано российской компанией "БИФИТ" в результате анализа способов хищения денежных средств с расчетных счетов корпоративных клиентов с использованием электронного банкинга.

"С прошлого года мы ведем перевод всех клиентов на USB-токен - небольшое устройство, внешне похожее на брелок для ключей, но внутри это микрокомпьютер с функциями шифрования данных", - рассказывает начальник департамента информационных технологий ОАО "АКИБАНК" Владимир Глухов.

USB-токен "iBank 2 key" - это принципиально новый уровень безопасности в расчетах по электронной системе удаленного обслуживания. Хранение ключей на токене во много раз безопаснее, чем использование других сменных носителей: флешек, дискет, компакт-дисков и т.д. Дело в том, что формирование секретного ключа и электронной цифровой подписи (ЭЦП) осуществляется непосредственно внутри USB-токена встроенным микропроцессором. Токен принимает на вход подписываемый документ и возвращает на выходе ЭЦП для этого документа, таким образом, секретный ключ на протяжении всего срока своего существования не покидает токена. Время формирования ЭЦП менее 0,5 сек. Устройство обеспечивает генерацию и хранение до 64 ключей.

Неоспоримым преимуществом USB-токена (входящего, кстати, в пятерку наиболее перспективных технологий в области информационной безопасности по версии Microsoft) является то, что он ни при каких обстоятельствах не позволяет скопировать электронный ключ - сделать это невозможно технически. А если невозможно скопировать ключ, то никто не сможет им воспользоваться без согласия клиента. "На сегодня USB-токен - самое эффективное решение, и клиенты "АКИБАНКА" им будут обеспечены полностью, - поясняет Владимир Глухов. - Для пользователей интернет-банкинга других банков я бы посоветовал также перевести ключи на USB-токен, а также подключить услугу SMS-информирования, либо использовать практику одноразовых паролей. А в целом - выполнять все то, что рекомендуют для вашей безопасности банки и разработчики IT-решений".

Для справки: DDoS-атака представляет собой массовое обращение компьютеров к серверу, который от чрезмерной нагрузки перестает отвечать на запросы. Для DDoS-атаки используются зараженные вредоносными программами компьютеры, координируемые с одного или нескольких управляющих компьютеров.

На правах рекламы.