Атака на дистанции
Атака на дистанции




"Инфобезопасность 2010": в большинстве нападений хакеров на системы дистанционного банковского обслуживания виноваты клиенты

11:55 18.10.2010   |  Валерий Коржов |  Computerworld Россия

Рубрика События |   444 прочтения



 

На выставке «Инфобезопасность 2010» среди прочих проблем обсуждались пути решения проблемы мошенничества с системами дистанционного банковского обслуживанияРаспространение в российских банках систем дистанционного банковского обслуживания обеспечило хакерам новые возможности для применения их "талантов". К примеру, кибервзломщики могут задействовать троянские программы и, вмешавшись в работу систем ДБО, подделать банковские поручения клиентов. Проблемы, связанные с увеличением подобного типа преступлений, обсуждались на круглом столе "Проблемы систем ДБО", состоявшемся 6 октября в рамках выставки "Инфобезопасность 2010".

По данным компании Group-IB, которые привел на круглом столе заместитель генерального директора компании Александр Писемский, ежемесячно в России происходит около 20 атак на системы ДБО, при этом средний ущерб от одного инцидента составляет 1,5 млн руб. Таким образом, годовые потери только от этого вида покушений на собственность превышают 300 млн руб. В 2010 году Group-IB зафиксировала уже 43 случая незаконного вмешательства в работу ДБО, что составляет примерно половину всех инцидентов, связанных с банковским сектором. При этом подавляющее большинство атак (около 80%), по оценкам Писемского, было нацелено на клиентов банков. Для этого на компьютеры, которые клиенты используют для доступа к ДБО, хакеры устанавливают специальные троянские программы. В момент, когда клиент банка готовит или передает поручение банку, троянская программа перехватывает управление системой и модифицирует подготовленный платежный документ в интересах злоумышленников. Зафиксированы случаи, когда троянская программа успевала перехватить контроль над документом перед тем, как тот скреплялся электронной цифровой подписью.

Наличие проблем с защитой удаленных пользователей банковских систем подтвердил и Алексей Синцов, ведущий аудитор компании Digital Security, которая провела исследование на уязвимость нескольких систем ДБО. «Уязвимости в таких системах есть, и они легко обнаруживаются, — утверждает Синцов. — Производители решений ДБО могли бы легко их исправить, но не делают для этого даже самых простых вещей». Дело в том, что система защиты не является неотъемлемой частью решения ДБО и обычно предлагается банкам отдельно за дополнительную, причем достаточно высокую, плату. Стараясь сэкономить, банки внедряют незащищенные системы ДБО на свой страх и риск, и клиенты используют их на тех же условиях. Когда же случаются инциденты, банки стараются переложить ответственность на клиентов — якобы это они допустили установку на своих компьютерах вредоносного ПО или утечку конфиденциальной информации.

Не исключено, что в скором времени эта плачевная ситуация изменится в лучшую сторону: комитет по безопасности при Ассоциации российских банков уже запустил процесс разработки стандартов защиты ДБО. Они будут основаны на требованиях PA-DSS (The Payment Application Data Security Standard), разработанных международными платежными системами. Распространение этих требований на программное обеспечение для ДБО позволит снизить риски клиентов и банков при дистанционном обслуживании.

Следует отметить, что финансовая эффективность систем ДБО достигается прежде всего за счет их массового использования. Если такие системы будут перегружены дорогостоящими средствами защиты, то дистанционное обслуживание может оказаться просто невыгодным как банкам, так и их клиентам. В отношении систем ДБО банки и клиенты должны постепенно выработать такие решения, которые, с одной стороны, будут удобны в использовании, а с другой — минимизируют риски подвергнуться атакам хакеров. В пример можно привести ситуацию с банковскими картами. Этот финансовый инструмент, хотя и является довольно популярным, нередко используется мошенниками для доступа к чужим деньгам. Замена в пластиковых картах магнитной полосы на встроенный микропроцессор позволила в тысячу раз уменьшить вероятность мошенничества в этой сфере.


Теги: