• 1

Новини

  • Стандартно
  • По назві
  • По даті
  • Довільно
Ще новини SHIFT-усі новини load all

Атаки на системи Дистанційного банківського обслуговування (ДБО)

В даний час існує досить велика кількість класифікацій атак на інтернет-банки з різними підходами і виходячи з різних цілей.

Основна кількість випадків шахрайства в системах інтернет-банкінгу припадає на шахрайство за допомогою шкідливого програмного забезпечення, соціальної інженерії і фішингових атак. Причому, якщо за прогнозом масштаби використання програмного забезпечення (троянів) на комп'ютерах поступово будуть зменшуватися, то використання троянів на платформі Android буде тільки зростати. Одночасно вірусописьменники для комп'ютерів будуть все більше орієнтуватися на західні банки, а фішингові атаки будуть автоматизуватися.

Що ж стосується соціальної інженерії і фішингових атак – атак, коли зловмисники намагаються змусити клієнта несвідомо розголосити основні реквізити, що дозволяють аутентифікувати шахрайську операцію, то такі атаки є трендом в інтернет-банку для фізичних осіб.

В більшості випадків перелічені атаки є спрямованими (Advanced Persistent Threat, APT), тобто атаками, метою яких стає конкретний інтернет-банк, а іноді і конкретні клієнти. Зловмисники за допомогою різних методів встановлюють на комп'ютер клієнта троян, який замість клієнта формує платіжні доручення або підміняє в ньому реквізити платежу.

При відновленні обставин інцидентів в ході криміналістичних досліджень робочих станцій, на яких працювали з ДБО, ретельному аналізу піддаються журнали міжмережевих екранів і проксі, а також інші джерела інформації. Нашими експертами визначаються причини інциденту, методи і засоби, якими користувалися зловмисники, хронологія їх дій. Найбільш частий сценарій вчинення злочину складається з трьох основних етапів: отримання інформації для доступу в систему ДБО, проведення шахрайської операції, переведення в готівку грошей.

Протидія шахрайству

Як же можна захистити гроші від неправомірних посягань третіх осіб. Насамперед варто розібратися, які засоби захисту є в самій системі ДБО, і як їх можна використовувати. Часто клієнти банків навіть не знають про можливості контролю доступу до системи ДБО за IP-адресами або про використання токенів для зберігання ключів ЕЦП. Іншою проблемою є небажання клієнта платити за додаткові засоби забезпечення безпеки, так як у нього немає розуміння ступеня критичності ризику шахрайства. При можливості вибору банку варто віддати перевагу тій кредитної організації, яка пропонує своїм клієнтам безпечний сервіс по роботі з системою ДБО: засоби надійного зберігання ключів, одноразові паролі, систему протидії шахрайству, вбудовану в ДБО.

У будь-якому випадку, необхідно розуміти, що наявність засобів захисту на стороні банку не гарантує абсолютної безпеки. Наш досвід показує, що у 80% випадків причиною інциденту є недотримання вимог безпеки на стороні клієнта банку.

При організації робочого місця, на якому будуть працювати з системою «Банк-Клієнт» або «Інтернет-банк», необхідно передбачити можливі шляхи компрометації даних авторизації та забезпечити їх надійний захист. Ідеальним варіантом є виділена робоча станція, призначена виключно для роботи з банком. На ній необхідно обмежити мережеві взаємодії списком IP-адрес і доменних імен довірених вузлів: сервер ДБО банку, корпоративний сервер 1С, сервер податкової інспекції. Дана машина повинна мати оновлений антивірус і встановлені оновлення безпеки програмного забезпечення.

Не забувайте про організаційні заходи, які в більшості випадків є набагато ефективніше технічних заходів. Необхідно регулярно міняти паролі у всіх системах, надавати користувачеві тільки необхідні для роботи права, приділяти увагу зберігання ключів ЕЦП, мати відпрацьовані процедури реагування на інциденти. Наявність добре налагоджених схем своєчасної реакції на події дозволить знизити збитки у разі шахрайства і запобігти розкраданню. Своєчасне виявлення факту злочину та оперативне реагування протягом 4 годин з моменту відправлення платіжного доручення гарантують повернення грошових коштів на рахунок в 80% випадків.

Найбільш яскравими ознаками підготовки кібершахрайства є:

-нестабільне функціонування ПК, на якому працюють з системою ДБО (повільна робота, довільна перезавантаження, інші проблеми);

-вихід з ладу ПК, на якому працюють з ДБО;

-перебої з доступом в систему ДБО;

-неможливість авторизації в системі ДБО;

-DDoS-атака на вашу ІТ-інфраструктуру;

-невідповідність порядкових номерів платіжних доручень;

-спроби авторизації в ДБО з інших IP-адрес або в неробочий час.

У разі виявлення факту шахрайства необхідно максимально швидко повідомити про подію в банк з метою зупинки платежу і блокування доступу до системи ДБО зі скомпрометованими ключами і паролем. Також слід негайно знеструмити ПК, з якого імовірно були викрадені ключі та дані для авторизації в системі ДБО, і забезпечити незмінність його стану до приїзду правоохоронних органів. Якщо в компанії є міжмережевий екран або проксі-сервер, на якому ведуться логи, то необхідно провести їх збереження на неперезаписываемый носій інформації. У разі самостійного розслідування або залучення для цих цілей консультантів не допускається робота з оригіналами носіїв інформації, так як це може зашкодити цілісності доказів, що зберігаються на них.

Обов'язково напишіть заяву про подію до Департаменту кіберполіції. По можливості доповніть заяву результатами самостійного розслідування інциденту. Навіть якщо шахрайство не було завершено, і ви встигли зупинити його, інцидент залишається кримінальним злочином, який підпадає під декілька статей, починаючи від створення і розповсюдження шкідливого програмного забезпечення і закінчуючи спробою розкрадання в особливо великому розмірі.