Полагаю, что со мной согласятся многие: онлайн-банкинг — отличная приманка для мошенников, а потому требует защиты. Банки предлагают клиентам продвинутые инструменты защиты счетов, в том числе двухфакторную аутентификацию с одноразовыми паролями, ЭЦП, смарт-карты и прочее. Но когда пользователь полностью полагается лишь на банк, а не на защиту своего домашнего компьютера, то даже такие серьезные оборонительные мероприятия не помогут оставить счет в целости и сохранности.

Я покажу мошенническую цепочку от лица грабителя, что, надеюсь, поможет вам защититься от онлайн-атаки. Перед нехорошими людьми стоит задача: с помощью передовых информационных технологий получить деньги жертвы, доверяющей этим же информационным технологиям. Другими словами, мы посмотрим, что можно сделать нехорошего с пользователем услуг интернет-банкинга.

Для совершения мошенничества нам вовсе не требуется ничего похищать. Все логины и пароли мы оставим у их законного обладателя. Да и карточка с кодами подтверждения трансакций может спокойно остаться у владельца счета, хотя банковская система и получит код. Мы просто позволим жертве ввести данные доступа и код подтверждения самостоятельно — пусть почувствует себя важной персоной. Наша задача — незаметно перевести его деньги на счет, о котором он не имеет ни малейшего представления.

Нам потребуется только один или два файла: троянские программы, которые будут доставлены на компьютер жертвы любым стандартным способом. Как правило, используется электронная почта, переносной носитель или инфицированный сайт. Если атака целевая, то файл можно «положить» на компьютер жертвы вручную. Теперь остается только ждать, когда обладатель банковского счета воспользуется системой интернет-банк.

Троянская программа, находящаяся в боевой готовности, активируется в момент открытия сайта банка. Клиент заполняет платежное поручение, жмет кнопку «ОK», «Применить» или что-то в этом роде, картинка меняется, клиенту предлагается проверить правильность указанных данных. Все вроде как обычно, за одним исключением: картинка для проверки правильности данных — это просто картинка. Троянская программа уже изменила все реквизиты платежа и ждет ввода пароля и кода подтверждения. Клиент банка уверен, что отправляет запланированный платеж, сам указывает все необходимые данные и осуществляет перевод денежных средств на подставной счет.

О произошедшей атаке клиент узнает только после того, как выяснится, что услуга им не оплачена, хотя он уверен в обратном. Кстати, в журнале клиент-банка могут быть указаны реальные (мошеннические) реквизиты, но многие ли из нас проверяют дополнительно, куда они только что перевели деньги? Банк при осуществлении операции не имеет оснований подозревать, что платеж является нежелательным: данные доступа и подпись клиента, а также коды подтверждения в полном порядке.

Приведена примерная схема, но она дает представление о процессе. При этом вся проблема не стоила бы и выеденного яйца, если бы пользователь озаботился установкой антивирусной программы. Еще надежнее — антивирус с банковским модулем. Идеальным же решением является, разумеется, синхронная защита банковских систем и систем, используемых клиентами.

Разумеется, в процессе описанной выше атаки, используются «родные» интерфейсы интернет-банка, чтобы у пользователя не возникло ощущения подмены. Злоумышленники работают с кодами, которые пересылаются из браузера, установленного на домашнем компьютере жертвы, в банк. Фактически атака нацелена не на пользователя конкретного банка, а на всех пользователей банков, которые используют в своих системах дистанционного обслуживания определенные протоколы и регламенты. Проблема в том, что эти протоколы и регламенты часто жестко стандартизированы.

Надо понимать, что в вопросах защиты информации любая стандартизация — это всегда удар по безопасности, так как преступник знаком со всеми ограничениями, наложенными на жертву рамками закона или ведомственных требований. Все, что используется стандартно и по умолчанию, взламывается или обходится в первую очередь.

Российские банки вынуждены использовать определенные технологии, а когда кто-то вынужден использовать что-то навязанное, это не всегда повышает эффективность. Основная проблема единых стандартов в том, что как только найдена уязвимость, она сразу же будет использована против всех.

Кстати, именно российские пользователи здесь защищены меньше других в мире. Такие специфические требования по использованию ПО невозможно себе представить, например, в Евросоюзе. На мой взгляд, банк несет риски, а значит, только он может определять, какие средства он будет использовать, чтобы эти риски минимизировать.