О том, как киберпреступники нападают на банки, что грозит владельцам пластиковых карт, проводящим платежи через Интернет, и как можно обмануть «сверхнадежный» электронный ключ, обозревателю Банки.ру рассказали эксперты Центра вирусных исследований и аналитики компании Eset Александр Матросов (руководитель центра) и Евгений Родионов (ведущий специалист по анализу сложных угроз).
— Насколько универсальны вредоносные программы, направленные на похищение финансовой информации?
А. М. — Абсолютно универсальных вредоносных программ нет. Как правило, они привязаны к наиболее популярным платежным системам, у каждой из которых свои характерные особенности. Такие вредоносные программы, попав на ПК, работают в фоновом режиме, и заметить их обычному пользователю невозможно.
— Может быть, сделать в антивирусе специальную «кнопку», которую необходимо нажимать, заходя в платежную систему или пользуясь услугами системы «Банк — Клиент», чтобы подстраховаться на предмет работающей зловредной программы?
А. М. — Антивирус автоматически делает подобную проверку — в фоновом режиме при открытии окошка браузера все тестируется. Безо всякой специальной кнопки. Но дело все в том, что, если вредоносная программа запустилась, значит, антивирус ее уже не обнаружил. Такое может случиться, в частности, если принцип действия вредоносного ПО похож на принцип действия обычной программы и антивирусная программа не имеет сигнатуры этого вируса. Когда вы пользуетесь словариком Lingvo, эта программа, практически как и вирус, перехватывает информацию из окошка браузера. Другая легальная программа — Punto Switcher логирует нажатия клавиатуры. Иначе говоря, много легальных программ ведут себя так, как составляющие программ вредоносных. У производителей антивирусов очень сложная задача, заключающаяся в том, чтобы снизить число ложных срабатываний и обнаруживать при этом вредоносные программы.
Е. Р. — Лучший способ защиты в случае оплаты через Интернет — использование специальной банковской карты. Многие банки выпускают подобный пластик. Эта карта без магнитной полосы и чипа. Она не годится для банкомата. Хорошо также поставить ограничение на сумму, которая может быть потрачена в течение месяца. А лучше всего поддерживать остаток на нуле и переводить деньги (в отделении банка или через банкомат) на интернет-карту лишь перед конкретным платежом.
— Да уж. Зачем тогда вообще пользоваться интернет-платежами?.. А стандартные средства защиты, предлагаемые банками, — насколько они эффективны?
Одноразовые пароли
Е. Р — В случае интернет-банкинга вам, как правило, предлагают защищаться с помощью одноразовых паролей. Но здесь есть нюанс. Если на компьютере уже завелась вредоносная программа, нацеленная на кражу финансовых данных, то даже одноразовый пароль не спасет. Допустим, вы заходите в систему «Банк — Клиент». Хотите пополнить счет на мобильном телефоне, вводите сумму, номер сотового, жмете «оплатить». Банк высвечивает окошко «введите пароль номер 15 на вашем листочке номер 23». Вы ищите листочек, вводите пароль, а в этот момент вредоносная программа замораживает текущую трансакцию и выдает сообщение об ошибке — «банк недоступен», «не удалось провести платеж» или
Брелки-токены
Е. Р — Некоторые банки выдают клиентам ключи-токены или смарткарты для дополнительной защиты интернет-платежей. Это способ более накладный для банка, чем выдача одноразовых паролей. На брелочке хранится код (электронная цифровая подпись) клиента. В чем уязвимость подобных устройств?
Одна разновидность электронных ключей конструктивно уязвима. Эти устройства используются просто как хранилище для паролей. Соответственно, в тот момент, когда подписывается финансовая операция, подпись покидает токен и попадает в оперативную память компьютера, откуда может быть скомпрометирована вредоносной программой. Получив с помощью последней цифровую подпись, злоумышленник может совершить любую операцию.
Чтобы отреагировать на такие угрозы, разработчики электронных ключей создали устройства, которые не позволяют паролям покидать корпус брелка. То есть трансакция подписывается на борту токена. Здесь работает другой принцип взлома, аналогичный тому, что годится для одноразовых паролей. Вредоносная программа замораживает, а затем подделывает трансакцию, и на ключ, то есть на подпись, отправляется уже фальшивая финансовая операция.
Таким образом, защититься на 100% пользователю невозможно ни с помощью одноразового пароля, ни с помощью «умного» брелка-ключа. Если вы подхватили «финансовый» вирус, все может закончиться плохо.
А. М. — Это не какие-то страшилки. Мы не призываем не пользоваться интернет-банкингом. Просто необходимо быть бдительным и соблюдать правила компьютерной гигиены. Если в процессе общения с системой «Банк — Клиент» всплывают какие-то незнакомые окна, к этому следует относиться настороженно. Лучше лишний раз позвонить в службу поддержки и спросить. Вы потратите время, но, возможно, сэкономите деньги.
— Странно, что форумы пока еще не разрываются от сообщений: «Караул, меня ограбили в интернет-банке!».
А. М. — Пользователь может и не знать о том, что его счет подконтролен злоумышленнику. Операция по переводу денег не обязательно проводится сразу. Может просто создаваться база, которую после продадут третьим лицам, которые уже снимут деньги. Схем монетизации в киберпреступном мире великое множество. Кроме того, есть среди владельцев кредиток и неквалифицированные пользователи, которые не ходят на форумы и не читают статей по безопасности.
Е. Р. — Недовольных пользователей не так много в том числе и потому, что банки зачастую предпочитают экономить какую-то сумму на информационной безопасности, подсчитав, например, что случаи мошенничества не так часты и выплаты недовольным пользователям по статистике не так велики. В случае проблем крупный банк зачастую предпочитает выплатить компенсацию недовольному клиенту. Это выгоднее, чем раздавать желающим электронные ключи стоимостью 50 долларов.
— Электронные кошельки… Они еще более дырявые, чем «сейфы» в интернет-банке?
А. М. — Для расчетов электронными деньгами помимо логина и пароля аккаунта требуется еще и платежный пароль. У «Яндекс-денег», в частности, он вводится хитрым образом.. Тем не менее есть способы атаки и на эти платежные системы.
— С пользователями разобрались. А что грозит банкам?
А. М. — Этой весной появилась целая группа вредоносных программ, нацеленных на популярные системы «Банк — Клиент», причем только российских банков. Эти программы были «заточены» под то, чтобы встраиваться в систему, модифицировать нужные библиотеки и в результате получать полный контроль над финансовыми потоками либо проводить единовременную «левую» трансакцию. Как вариант, они могли открывать «черных ход» для злоумышленников. По фактам использования этих программ сейчас ведутся расследования. По некоторым уже есть результаты, которые, к сожалению, пока нельзя озвучивать.
— Судя по тому, что атаковали российские банки, вредоносный код создан местными специалистами?
А. М. — Безусловно. Для того чтобы проводить такого рода атаку, нужно хорошо представлять себе, что такое российский банк, как он работает, какие использует компоненты и куда лучше внедриться, чтобы перехватить информацию. Кроме того, в случае целенаправленной атаки вредоносная программа разрабатывается с учетом того, чтобы обойти конкретный антивирус, используемый банком. Учитывая, что для осуществления преступления достаточно обмануть защиту на непродолжительное время, — задача вполне осуществимая. Информация об используемом антивирусе не является коммерческой тайной. Логотип антивируса можно, в частности, увидеть на экране операционистки. Или же преступник может узнать про антивирус, позвонив в банк и представившись сотрудником компании «Консультант Плюс», выехавшим для демонстрации обновлений. То есть атака на банк может быть многоходовой, и установка вредоносного ПО станет лишь одним из завершающих этапов.
Е. Р. — Выпущенный Банком России стандарт информационной безопасности, носящий рекомендательный характер, указывает, что самое уязвимое звено — сотрудники финансового учреждения. Информационные системы, как правило, неплохо защищены: стоят межсетевые экраны, сеть внешнего доступа, согласно рекомендациям того же Центробанка, отделена от внутренней сети. Для выхода в Интернет используются специальные автоматизированные рабочие места.
А. М. — Пользователь при этом может копировать информацию на съемный носитель и таким образом переносить злонамеренные программы во внутреннюю сеть. Это один из самых распространенных способов заражения внутренних сетей предприятий. Съемный носитель — не обязательно флешка. Это может быть телефон или фотоаппарат, подключенный через порт USB для подзарядки.
— А переход на тонкие клиенты? И виртуализация? Или она, напротив, делает систему более уязвимой, поскольку управление централизованно и, если получить доступ к нему, можно контролировать все?
А. М. — Перевести всех сотрудников большого банка на тонкие клиенты дорого. Виртуализация упрощает процесс запуска обновлений или патчей-заплаток на периферийных устройствах, но от утечки данных не спасает.
Что касается проникновения вредоносной программы из одной виртуальной машины в другую, то пока вредоносных программ, которые целенаправленно пытались выйти за границы виртуальной среды, мы не встречали. Это не значит, что их нет. Но в потоке кода, который нам приходится обрабатывать, нам таковых не попадалось. Значит, они либо не существуют, либо не получили широкого распространения. Хотя вредоносных программ, которые определяют факт запуска в виртуальной среде, много, и они при этом могут менять модель своего поведения.
— Что вы скажете о DDOS-атаках? Согласны ли с распространенным мнением, что эффективной защиты от них не существует?
А. М. — DDOS-атака подразумевает отказ ресурса вследствие перенасыщения сетевого трафика какими-то пакетами данных, отправленных злоумышленником. Такие компании, как Google или «Яндекс», подвергаются масштабным DDOS-атакам ежедневно. Тем не менее эти ресурсы могут обеспечить доступ к сервисам миллионам пользователей. То есть в принципе управлять подобного рода угрозами можно. Весь вопрос в том, какой бюджет под это выделяется. Можно, скажем, приобретать специализированное сетевое оборудование для масштабирования сетевой нагрузки и предотвращения DDOS-атак. Есть вариант обратиться к внешней компании, которая оказывает услуги по борьбе с DDOS-атаками, переводя на себя трафик, отправляемый злоумышленником. Этим, в частности, занимается российская фирма Group-IB, специализирующаяся на борьбе с киберпреступлениями.
— Насколько эффективны услуги компаний, которые исследуют уязвимости информационных систем, их устойчивость к различным атакам?
А. М. — Я знаю, что подобные услуги оказывает российская Positive Technologies. Она проводит тесты на проникновение. Могу утверждать, что ее методологии близки к тем, что используются в реальной атаке. Зачем нужны такие тесты? Затем, что вы можете увидеть слабые места информационной системы, а также то, как может повлиять вредоносная программа на ту или иную составляющую. Но надо понимать, что компания, которая проводит тест, получает данные об информационной системе заказчика. И возникает вопрос доверия. Кто его знает, не уволится ли сотрудник, который проводил тест, а если да, то как распорядится полученными знаниями…
— После всего услышанного отчего-то пропадает желание пользоваться интернет-платежами…
А. М. — Если у вас нет компьютера и вы никогда не пользуетесь Интернетом, но обладаете кредитной картой, нет никакой гарантии, что ваши деньги не уплывут с пластика в супермаркете. Или официант в ресторане не скопирует номер карты и код на ее обратной стороне, необходимый для интернет-платежей. Для этого не нужно быть хакером. Достаточно иметь под рукой самый простой фотоаппарат.
Беседовал Леонид ЧУРИКОВ, Banki.ru
