Эксперт Эксперт - Эксперт № 47 (2013)

Сами банки по понятным причинам не очень охотно говорят об этой проблеме и нередко занижают ее значение. Однако, согласно данным независимой компании Group-IB, ежедневно в московских банках происходит до нескольких десятков хищений со стороны интернет-мошенников. Общие объемы мошенничества в российских системах интернет-банкинга по итогам прошлого года оцениваются той же компанией в 446 млн долларов. Правда, обнадеживает то, что в последнее время, несмотря на рост числа пользователей интернет-банкинга, размер украденных таким путем средств несколько снизился: в 2011 году в России из электронных кошельков граждан было похищено 490 млн долларов.

Снижение объемов виртуальных банковских краж объясняется несколькими факторами. С одной стороны, за последний год сами банки сделали немало, чтобы внедрить системы защиты от атак мошенников. Например, многие из них перешли на использование систем двухфакторной аутентификации, когда клиент интернет-банка помимо своего пароля вводит в систему дополнительный пароль, поступающий ему на мобильный телефон в SMS. С другой стороны, стоит признать, что в последнее время правоохранительные органы заметно активизировали борьбу с киберпреступностью. Так, за последний год был проведен ряд успешных операций по ликвидации действующих в этой сфере крупных преступных групп.

Тем не менее все эти меры, к сожалению, далеки от того, чтобы сделать проблему безопасности интернет-банкинга в нашей стране менее острой. В ответ на хитроумные механизмы защиты злоумышленники придумывают все новые трюки, чтобы через сеть добраться до банковских счетов граждан и компаний.

Вирусная атака

Самая распространенная схема виртуального банковского ограбления — использование преступниками вредоносного программного обеспечения, или вирусов. Проникнув в компьютер жертвы, так называемая троянская вирусная программа способна похитить пароли, ключи электронной подписи и прочую секретную информацию, которая дает доступ к банковскому счету их владельца.

Ужас банковских систем последнего времени — подмена электронного документа для пользователя. Человек на зараженном компьютере может видеть на экране привычную веб-страницу своего банковского интернет-сервиса. Но на самом деле это может быть подложная веб-страница. Вводя в нее, например, логин и пароль от своего виртуального счета, пользователь отсылает эти данные не в свой банк, а злоумышленникам.

Крайним в подобной ситуации часто оказывается клиент. Банки в договоре об интернет-услугах прописывают столь строгие требования, что клиентам крайне сложно их выполнить. Взять хотя бы условие использовать на компьютере только лицензионное программное обеспечение. Российская реальность такова, что редкий пользователь сегодня имеет на своем компьютере полностью лицензионный софт. И банки в случае кражи указывают на этот факт и отказываются компенсировать клиентам потери.

Проблема осложняется и тем, что в последнее время все больше пользователей интернет-банкинга совершают банковские онлайн-операции с помощью мобильных устройств. А как раз эта техника сейчас наиболее уязвима для хакерских атак.

«Сейчас интернет-банкинг использует каждый десятый пользователь интернета, и угрозы, разумеется, возросли в несколько раз, — говорит Павел Сакадынский, директор московского филиала КБ “Энерготрансбанк”. — Прежде всего стоит отметить бум вредоносного ПО для устройств на базе Android. По нашим данным, за последние месяцы количество вредоносных программ, написанных под Android, выросло почти на 37 процентов. При этом хакеры могут нанести вред не только непосредственно владельцу смартфона. Если гаджет, например, подключен к офисной точке Wi-Fi, хакер может проникнуть и в корпоративную сеть предприятия».

Злоумышленники уже научились взламывать упомянутые выше новые системы двухфакторной защиты. «Классические SMS с одноразовыми паролями уже не могут обеспечить хороший уровень защищенности, — подчеркивает Алексей Тюрин, директор департамента аудита компании Digital Security. — Проблема в том, что пользователи часто ставят на смартфоны множество приложений и разрешают им доступ к SMS. Этим и пользуются вирусописатели. Уже существуют продвинутые банковские вирусы, которые работают совместно: и на компьютере, и на смартфоне. Вирус на компьютере позволяет создать и отправить платежное поручение, а SMS с паролем для подтверждения платежа приходит на смартфон, откуда через соответствующее приложение переправляется злоумышленнику. Чтобы увеличить количество зараженных смартфонов и компьютеров, разрабатываются технологии, когда вирус может перебираться с устройства на устройство».

Внутренняя угроза

Понятно, что индустрия защиты от киберпреступников тоже не стоит на месте. Наиболее перспективные сейчас способы защиты от банковских интернет-мошенников — персональные средства аутентификации в виде USB-брелоков (так называемые токены) или смарт-карт.

На такие устройства вирусам проникнуть очень сложно, так как они хранятся отдельно от компьютера. При необходимости совершения сделки устройство подключается к компьютеру, и в нем генерируется нужный разрешающий код для доступа к банковскому счету. «Мы считаем перспективным применение токенов, причем моделей с экранами вместо обычных токенов, — говорит Алексей Тюрин. — Дело в том, что клиент, подписывая платежное поручение с помощью обычного токена, получает информацию о том, что подписывает, только через свой компьютер. Злоумышленник различными способами может подменить информацию на ПК клиента, и тот подпишет и отправит деньги злоумышленнику. Здесь могут спасти токены с экранами, которые являются дополнительным доверенным каналом получения информации о будущем платеже».

Одновременно наблюдатели критикуют позицию многих банков, которые совершенствуют свои системы защиты без особого рвения. «У ряда банков простая арифметика: если сумма убытков от мошенничества меньше, чем затраты на внедрение дополнительных мер безопасности, не имеет смысла что-то менять, — продолжает Алексей Тюрин. — Если банк составляет “правильный” договор, который перекладывает на клиентов всю ответственность за инциденты мошенничества, то, согласно российскому законодательству, клиентам очень трудно вернуть свои деньги даже в том случае, если хищение осуществлялось через уязвимости в системе самого банка. Наши исследования в области анализа защищенности систем дистанционного банковского обслуживания показывают, что примерно в 80–90 процентах случаев потенциальные возможности хищения денежных средств у клиентов существуют из-за проблемы с информационной безопасностью в самих банках. К сожалению, клиентам очень сложно доказать, что виноват именно банк».