«Мы можем защитить даже от нового, неизвестного антивирусу вредоносного ПО»

«Мы можем защитить даже от нового, неизвестного антивирусу вредоносного ПО»

Сергей Голованов
ведущий антивирусный эксперт «Лаборатории Касперского»
4379

Через Интернет очень удобно управлять своим банковским счетом и совершать платежи любого рода. Но это удобство сопровождается серьезной угрозой со стороны высокотехнологичных интернет-мошенников. Ведущий антивирусный эксперт «Лаборатории Касперского» Сергей ГОЛОВАНОВ рассказал порталу Банки.ру о продукте, предназначенном для защиты интернет-банкинга и удаленных платежей.

— «Лаборатория Касперского» прежде всего известна своими антивирусными продуктами. Есть ли у вас предложения, нацеленные на защиту финансов?

— У нас есть флагманский продукт, который называется Kaspersky Internet Security (KIS). В каждую новую его версию добавляется какой-нибудь особый функционал, предназначенный для защиты от специальных угроз. В 2012 году в KIS был введен комплексный модуль, который защищает таргетированно от банковских «троянцев», то есть «троянцев», которые воруют логины и пароли, одноразовые пароли от сайтов банков и позволяют злоумышленникам переводить деньги на свои счета. Эта технология называется SafeMoney («Безопасные платежи»).

— От каких угроз защищают «Безопасные платежи»?

— Все киберугрозы, нацеленные на кражу данных от онлайн-банка, можно разделить на три типа. Первый тип — фишинг, то есть поддельная страница, копирующая контент оригинального сайта, на которую злоумышленники заманивают пользователей с помощью спам-рассылок, рассылок в социальных сетях и так далее. Никаких вирусов в этом случае не нужно.

Второй тип — получение паролей с помощью вредоносного ПО. Например, есть классические вирусы-кейлоггеры, которые запоминают нажатия клавиш на клавиатуре и таким образом собирают пароли. Есть вирусы, которые подменяют сетевые соединения на компьютере пользователя. Он думает, что заходит на сайт банка, а на самом деле попадает на фишинговую страницу.

И третий, самый важный способ, по-английски он называется web-inject. На русский это можно перевести как «внедрение дополнительного кода в страницу». В этом случае пользователь работает с настоящей страницей интернет-банка или платежной системы, но в нее внедрен компонент, крадущий вводимые данные.

На этом история не заканчивается. Злоумышленник получил пароли и логины, теперь нужно их как-то использовать. Если у человека нет никаких вредоносных программ на компьютере, то мошенники с помощью фишингового сайта всячески пытаются выудить у него те самые одноразовые пароли, необходимые для выполнения трансакции.

Если же на компьютере есть вирус, злоумышленники могут действовать по-другому: пользователь подготавливает свою трансакцию в интернет-банке, вводит одноразовый пароль, но в банк уходит совершенно другая трансакция, подмененная на сетевом уровне.

Вредоносные программы для кражи денег через интернет-банкинг базируются на двух «китах». Первый — внедрение в браузер и модификация его содержимого. Второй — социальная инженерия. Ее методы направлены на то, чтобы заставить пользователя ввести одноразовый пароль, если он получает СМС на смартфон, либо установить на смартфон специальную программу.

— Каким образом «Безопасные платежи» с этим справляются?

— Когда мы начали смотреть, как происходит внедрение в браузер, оказалось, что все довольно просто. И перехватить это внедрение — решаемая задача.

Основная задача «Безопасных платежей» состоит в том, чтобы заблокировать модификацию контента банковского сайта в браузере пользователя. Для этого прежде всего нужно запретить модификацию памяти, чтобы вредоносная программа не могла пролезть в защищаемую область.

Кроме того, «Безопасные платежи» определяют, когда пользователь заходит на фишинговый сайт. Наш продукт знает, какой сертификат должен быть на сайте. Если фишинговый сайт выдаст ему какой-то случайный сертификат либо не выдаст вообще, на экран компьютера выводится предупреждающая картинка, и все действия пользователя на этом сайте блокируются.

Таким образом мы можем защитить информационный обмен с банком или платежной системой даже от нового, неизвестного антивирусу вредоносного ПО.

— Как приложение реагирует на обнаружение подозрительной деятельности в системе?

— Есть два подхода. Первый — обнаружить и сообщить в банк о компрометации компьютера пользователя, чтобы кредитная организация заблокировала трансакцию. Второй — просто выстроить «забор» и не пустить. В настоящий момент «Безопасные платежи» в Kaspersky Internet Security применяют второй вариант, естественно, уведомляя пользователя.

— Как это выглядит для пользователя? Что он должен сделать, чтобы безопасно провести свой платеж?

— В нашем антивирусе есть компонент «Безопасные платежи», у которого имеется список защищаемых сайтов — страниц банков и платежных систем. Пользователь может дополнять этот список любыми сайтами. Когда антивирус запущен и пользователь ввел в адресную строку адрес сайта (или, скажем, заходит на него через поисковик), активное окно браузера сворачивается. Открывается новое окно того же браузера, обведенное зеленой рамкой. Это значит, что браузер защищен с помощью данного модуля, можно безопасно работать с сайтом банка.

— Кроме вашего продукта какие еще разработки есть в этой области? Чем-нибудь можно заменить «Безопасные платежи»?

— Для банков есть аналогичные решения (например, IBM Trusteer. — Прим. ред.), работают они немного иначе, чем «Безопасные платежи», но смысл тот же: банк предоставляет своему клиенту программу, которую он должен установить на свой компьютер, и эта программа следит за тем, чтобы операции пользователя с банком не были скомпрометированы.

— А для защиты мобильного банкинга есть вариант?

— Для защиты трансакций с мобильных устройств на базе Android (а именно под них создано 97% всех образцов мобильного вредоносного ПО) мы предлагаем Kaspersky Internet Security для Android. Наш продукт контролирует браузер, блокируя фишинговые сайты, защищает мобильные банковские приложения и проверяет ссылки в получаемых СМС-сообщениях.

— Есть ли защита от захвата вирусами управления «Безопасными платежами»?

— Обязательно. Все технологии самозащиты антивирусов применимы и для модуля «Безопасные платежи». Есть контроль целостности, есть контроль того, что компонент не отключен вирусом. Сведения об этом уходят по доверенному каналу в наше облако для дополнительного контроля со стороны.

Беседовал Михаил ДЬЯКОВ, Банки.ру