Последние 10 лет мы наблюдаем бурное развитие систем дистанционного банковского обслуживания (ДБО). Количество финансовых операций, осуществляемых через такие системы, неуклонно растёт, вследствие чего они попали под пристальное внимание финансовых мошенников.

На сегодняшний день более половины преступлений в кредитно-финансовой сфере приходится на мошенничество в сфере ДБО. По неофициальным оценкам экспертов, оборот российского криминального бизнеса в системах ДБО составляет 500 млн. долл. в год. Объём преступлений в системах ДБО ежегодно возрастает в 2--4 раза. Каждый день в нашей стране происходит 15--20 попыток хищения денежных средств через системы ДБО. Средняя сумма хищения — 400 тыс. руб.

Предоставляя удобный сервис для клиентов, системы ДБО также привели к созданию среды, в которой мошенники осуществляют передачу похищенных денежных средств и в которой обнаружить их гораздо сложнее.

Помимо растущего числа хакерских атак на системы ДБО банковское сообщество испытывает давление и со стороны законодательства. Смысл закона № 161-ФЗ “О национальной платёжной системе” можно выразить одной фразой: во всех случаях хищения денежных средств со счёта клиента банк обязан возместить полную их сумму. Не сложно предугадать, что введение данного закона спровоцирует небывалое количество исков о возврате средств со стороны клиентов банка, пострадавших от мошеннических операций в системах ДБО.

В связи с этим банки будут вынуждены снижать риски такого ущерба следующими методами:

  • страхование;
  • возмещение ущерба от риска, включая выплату штрафа и списание похищенных средств;
  • организация защиты, в том числе усиление информационной безопасности;
  • перекладывание рисков на клиента, например повышение комиссий и процентов по банковским операциям.

Однако полностью исключить ущерб невозможно, потери у банков и клиентов все равно будут. И объем таких потерь будет только расти.

Сократить подобные риски, угрожающие и банку, и его клиентам, позволит усиление информационной безопасности, которая в зависимости от угроз включает в себя:

  • создание доверенной среды на стороне клиента;
  • выстраивание процессов противодействия фроду;
  • мониторинг транзакций;
  • защиту удалённого доступа и т. д.

Теоретически только первый способ может исключить все известные нам виды электронного мошенничества. Все остальные меры снижают вероятность хищения, но не могут предотвратить мошенничество полностью.

Злоумышленники могут применять такие виды атак:

  • хищение криптографических ключей;
  • “Man in the Middle” (MITM);
  • “Man in the Browser”, которая является подмножеством MITM-атаки.

До сих пор применяемые на клиентских рабочих местах криптографические токены со встроенным CКЗИ и хранилищем ключевой информации (например, eToken-ГОСТ и Rutoken-ЭЦП) не вполне эффективны, так как могут предотвратить только хищение криптографических ключей. Они не предотвращают атаку MITM, сводящуюся к тому, что злоумышленник получает возможность читать и видоизменять сообщения, которыми обмениваются клиент и банк, причём ни один ни другой догадаться о присутствии мошенника не могут.

Такие атаки можно предотвратить, если вынести функции визуализации документа и формирования ЭП документа в отдельную доверенную среду, которую нельзя атаковать из агрессивной среды, где формируется документ. Под агрессивной средой мы понимаем операционную систему с выходом в Интернет, например Windows 7, в которой работает клиент.

Сегодня существуют следующие программно-технические решения, позволяющие обеспечить защиту от всех известных электронных видов атак:

  • TrustScreen (криптографические токены второго поколения, токены с дисплеем). Они обеспечивают визуализацию подписываемых документов в доверенной среде, формирование ЭП и неизвлекаемое хранение ключа подписи. Примером могут служить устройства Rutoken PINPad и считыватель смарт-карт SafeTouch;
  • MAC-токены, формирующие код подтверждения документа во внешнем по отношению к компьютеру устройстве. Способы ввода полей документа в MAC-токен -- ручной с клавиатуры токена, оптический (фотоэлементы), акустический (динамик “бипер” компьютера), проводной (USB). К таким устройствам относятся, например, ActivIdentity Token V2, биометрическая идентификационная AGSES-карта, Vasco DP 835A;
  • SIM-карты с “вшитой” электронной подписью. Помимо ЭП SIM-карта может принудительно отображать своё меню на любом мобильном устройстве, что не даст зловредному ПО похитить PIN или помешать доверенному отображению. На данный момент такие SIM-карты не имеют криптографии по ГОСТ и соответственно не сертифицированы по российским стандартам безопасности;
  • “ОС в кармане”. Загрузка доверенной ОС с USB-токена. Загружаемая ОС не подвержена изменениям, так как каждый раз запускается с Read-Only-носителя. Технология обеспечивает доверенную среду внутри всей ОС. Формирование ЭП и неизвлекаемое хранение ключей происходит на USB-токене. Примером может служить ПАК СОДС “МАРШ!”. Однако существует опасность атаки на такую ОС в момент, когда она загружена и работает;
  • Технология Jinn — инновационная разработка российского вендора, компании “Код Безопасности”. По функциям напоминает TrustScreen, но в качестве устройства формирования ЭП и доверенной визуализации используется изолированный от ОС процессор. Отображение происходит на мониторе клиента при монопольном использовании видеокарты компьютера. Таким образом в рамках одного физического компьютера создаются два полностью независимых вычислительных комплекса -- один для ОС пользователя, второй для доверенной среды. Соответственно для применения этой технологии требуется как минимум двуядерный процессор.

Все описанные выше решения позволяют осуществлять безопасные платежи, гарантированно защищённые от любых известных на данный момент способов электронного мошенничества, кроме прямой, случайной или совершённой по неосторожности передачи злоумышленникам паролей, ключей, токенов и т. д. Выбрать средство защиты для системы ДБО можно исходя из двух критериев: насколько сложно встроить решение в систему ДБО и какое средство защиты представляется более удобным (при этом вопрос юзабилити чаще всего зависит от личного мнения принимающего решение, а не от объективных показателей).

СПЕЦПРОЕКТ КОМПАНИИ “КОД БЕЗОПАСНОСТИ”