- •Содержание:
- •Глава 1. Теоретические аспекты Интернет-Банкинга.
- •1. 1. Услуга Интернет-банкинг.
- •1.2. Создание Интернет-банкинга за рубежом.
- •1.3. Российский интернет-банкинг
- •Глава 2. Инновационные явления в банковской системе рф.
- •2.4. Тенденции Интернет-банкинга.
- •2.2. Исследование рынка интернет-банкинга в России.
- •2.3. Система «Телебанк» Банка «втб 24».
- •Глава 3. Интернет-Банкинг: проблемы и перспективы.
- •3.1. Риски Интернет-банкинга: меры безопасности.
- •Специфика нападения
- •Меры безопасности
- •3.2. Перспективы развития Интернет-банкинга.
- •Заключение.
Глава 3. Интернет-Банкинг: проблемы и перспективы.
3.1. Риски Интернет-банкинга: меры безопасности.
С высокой долей вероятности можно предположить, что как минимум половина из зарегистрированных на начало 2010 г. 4,3 млн российских юр.лиц используют системы дистанционного банковского обслуживания регулярно – бумажных платежных поручений больше нет. По мнению руководителей крупных банков, средства ДБО стали неотъемлемой частью банковского обслуживания еще два-три года назад, а сейчас переживают свой золотой век. Между тем одна из серьезнейших проблем подобного сервиса – высокий риск хищения средств клиентов с помощью компьютерных технологий. И в подобной ситуации финансово-кредитные учреждения проводят слишком слабую разъяснительную работу в клиентской среде, нацеленную на усиление мер безопасности.
Злоумышленники будущего – это в меньшей степени программисты и специалисты по сетевым атакам. В основном, они – психологи и иллюзионисты, умеющие тонко копировать электронную реальность и подделывать схемы взаимоотношения между людьми, с целью получения доступа к конфиденциальной информации.
Основные технологии обеспечения безопасности в современных платежных системах:
Шифрование данных при помощи SSL-протокола.
Использование запутанной и перекрестной системы логинов и паролей (постоянная их смена).
Использование виртуальной клавиатуры в системах интернет-банкинга.
Использование электронной цифровой подписи, удостоверяющей личность владельца счета. Но эта технология противоречит методологии анонимности в ряде платежных систем.
Использование системы временных паролей для подтверждения финансовых операций.
Специфика нападения
Нет сомнения в том, что наиболее интересный объект для атаки со стороны электронных кибервзломщиков – юридические лица. «Частники» мошенников, как правило, не интересуют – их остатки по счетам недостаточно велики. Впрочем, отдельные счета обеспеченных граждан атаке подвергаются – но по конкретной наводке. К тому же «работа» с юридическими лицами хороша тем, что бухгалтерия по рабочим дням обязательно активна. Следовательно, есть шанс для взлома.
По числу подобных атак положение еще нельзя назвать эпидемией, но десятки инцидентов в месяц в правоохранительных органах уже фиксируются. По объему нанесенного ущерба они могут быть весьма значительными – в реальной практике большинство хищений по системам ДБО находится в районе 250 тыс. руб. Впрочем, случаи с 500 тыс. – 1 млн долл. тоже имеют место быть.
В подавляющем большинстве случаев хищение денег организуется с несанкционированным использованием даже неизвлекаемых секретных ключей при онлайновых атаках (когда USB-токен установлен в рабочем компьютере). Наибольшее число проблем возникает, если бухгалтерский компьютер не только постоянно оснащен однажды установленным USB-токеном, но и системный блок не выключается на ночь, а только переводится в «спящий» режим, оставаясь подключенным к каналу доступа в Интернет.
Первые массовые инциденты атак в режиме онлайн на пользователей ДБО стали проявляться с начала 2010 г. Проникающие на компьютер вирусы выделяют период перерыва в работе системы ДБО (к примеру, обед у персонала, работа с внутренней документацией) и, после адаптации к установленному на компьютере жертвы клиентскому ПО и считывания основных параметров проведения подобных операций, начинают создавать свои платежки для отправки в банк.
Обычно это вирусы-трояны с функцией удаленного доступа к консоли ДБО. На компьютер пользователя сначала проникает загрузчик, который после «укоренения» на компьютере-жертве и детектирования компании-разработчика клиентского модуля ДБО загружает на машину дополнения для работы именно с этой версией системы. Поскольку они не выходят в «открытую» сеть Интернет, антивирусы часто их не отслеживают. Сами трояны такого типа – поделки конструкторов, которыми кишит Интернет. При этом конструкторы сделаны хорошо, добротно. А вот качество вредоносного ПО, которое они производят, очень зависит от квалификации пользователей и варьируется от уровня студенческих поделок до качественных экземпляров, пригодных для целевых атак.
Еще одно из «изобретений» злоумышленников – перехват команд на запрос электронной цифровой подписи (ЭЦП) с USB-портов компьютера в сочетании с туннелированием трафика с хоста злоумышленника через компьютер клиента сразу до банковского сервера (чтобы IP-адрес отправителя был клиентский). Таким образом, во время сеанса работы с ДБО клиент фактически использует свой компьютер «за компанию» с мошенником, который в удаленном режиме свободно работает с его системой ДБО. Соответственно, оператор бухгалтерского компьютера может просто не уследить за формированием «левых» платежей, которые формально подписаны его ЭЦП и уходят в банк в числе прочих.
Правда, для защиты клиентов от новых вирусных угроз банк тоже может улучшить свою систему безопасности. Например, можно настроить индивидуально по каждому юридическому лицу или ИЧП пороговую сумму для платежки, при превышении которой к стандартной ЭЦП потребуется дополнительное подтверждение по авторизованному каналу связи с использованием OTP-токенов или одноразовых паролей через SMS или, как вариант, голосом по определенному номеру мобильного телефона (причем подобный разговор должен записываться).