Преступники вслед за деньгами уходят в Интернет. С развитием электронных платежных систем развивается и мошенничество в сфере высоких технологий. Современными хакерами движет не желание самоутвердиться, зайдя туда, куда вход запрещен, а жажда наживы. На смену программистам-«ботаникам», которые ради интереса взламывали веб-страницы или компьютерные системы, приходят организованные группы, незаконно извлекающие из виртуального мира реальную прибыль. По оценкам экспертов, доходы российских хакеров в прошлом году превысили 1 млрд долларов.
Вот типичная история, которую вам могут рассказать практически в любом банке с системой дистанционного обслуживания: «В банк пришло платежное поручение с компьютера клиента, подписанное его электронным ключом. Чтобы перестраховаться, операционист банка позвонил в эту организацию. Выяснилось, что платежное поручение никто не направлял. Служба безопасности банка заблокировала платеж. В компьютере клиента была обнаружена программная закладка. Оказалось, что хакеры удаленно подключились к компьютеру организации, внедрили свою программу, которая позволила им узнать электронные ключи. Мошенники следили за банковским счетом почти месяц, и как только на нем появилась крупная сумма, попытались списать деньги». В этом конкретном случае руководители организации получили бесплатный урок информационной безопасности. А мы попробуем поучиться на чужих ошибках.
Удаленный банк
Электронные технологии активно внедряются в бизнес-процессы. Бухгалтерский учет из бумажной формы давно перешел в электронную, теперь происходит автоматизация взаиморасчетов с банками. Сегодня многие банковские операции можно выполнить через Интернет, для этого достаточно иметь компьютер с доступом в глобальную сеть и ключ электронной цифровой подписи, которая зарегистрирована в банке.
Использование электронных расчетов позволяет визировать платежные документы сотрудникам предприятия, которые находятся на значительном расстоянии друг от друга. Например, главный бухгалтер подготовил и подписал электронный платеж. Директор может его просмотреть, подписать и отправить в банк, даже находясь в командировке.
Удаленное обслуживание в банке не только удобно, но и экономит время, увеличивает скорость обработки платежей, позволяет оперативно получать сведения о движении средств по счетам. Все это в итоге повышает эффективность бизнеса при минимальных усилиях со стороны его владельцев. Но несмотря на очевидные преимущества, электронные платежи в России пока не получили повсеместного распространения. У клиентов банков зачастую возникает вопрос о защищенности интернет-операций от хакерских атак.
Угол атаки
По словам руководителя технического департамента ООО «Неолайн» Павла Трухмана, любой подключенный к Интернету компьютер атакуется в среднем раз в час. Наибольшим рискам подвергаются крупные банки и компании. Их атакуют суперпрофессионалы, но таких высококвалифицированных хакеров не очень много. Электронные платежные системы, предприятия малого и среднего бизнеса вряд ли попадут в сферу их интересов. Конечно, стопроцентной защиты от кражи электронных денег не существует, но ее нет и при использовании наличных, считает Павел Трухман.
Наиболее часто преступники используют разного рода троянские или шпионские программы. Некоторые из них отслеживают последовательность нажимаемых на клавиатуре клавиш, другие делают снимки экрана при посещении банковских сайтов, третьи предоставляют хакеру удаленный доступ к компьютеру и т.п. Все эти программы позволяют злоумышленникам собирать конфиденциальную информацию и использовать ее для кражи денег.
Особый вид компьютерного мошенничества – фишинг-атаки. Наживкой в этой своеобразной «рыбалке» является электронное письмо или сообщение в социальной сети с предложением перейти по какой-либо ссылке. Кликнув на нее, человек может попасть на сайт, который внешне неотличим от настоящего сайта банка или платежной системы. На этом фальшивом сайте пользователю предлагают ввести личные конфиденциальные данные (логин, пароль или PIN-код). Для этого мошенники часто придумывают правдоподобную причину. Например, ваш банк якобы проводит выборочную проверку безопасности учетных записей или изменил компьютерную инфраструктуру, в связи с чем всем клиентам необходимо заново сообщить персональные сведения. Затем злоумышленники крадут деньги со счетов пользователей, попавшихся на удочку.
Основную массу фишинг-атак осуществляют бот-сети – связанные между собой зараженные компьютеры, владельцы которых даже не подозревают о наличии вируса. Доступ к захваченным компьютерам нередко позволяет скрыть личность взломщика. Бот-сети с тысячами инфицированных машин мошенники используют для проведения так называемых DDoS-атак (от англ. Distributed Denial of Service – распределенный отказ в обслуживании). Если десятки или сотни тысяч компьютеров одновременно начнут посылать запросы в адрес определенного сервера, он не выдержит и отключится из-за перегрузки. Таким образом, парализуется работа интернет-банков. Кроме того DDoS-атаки позволяют мошенникам выявить уязвимые места в системе или получить критическую информацию, например, часть программного кода. По оценкам экспертов, DDoS-атаки на интернет-ресурсы приносят российским киберпреступникам 20% выручки.
Средства защиты
Как правило, банки используют современные эффективные методы для защиты информации клиентов при работе в Интернете. Во-первых, вся информация передается при помощи криптографического протокола асимметричного шифрования SSL или TLS. Кроме этого, в системах дистанционного банковского обслуживания реализованы дополнительные защитные функции, такие как подтверждение расходных операций одноразовыми паролями, показ даты и времени последнего входа в систему, СМС-информирование и т.п.
Определенной гарантией безопасности служит электронная цифровая подпись, для хранения которой используются современные носители информации («e-Token», «USB-drive», «Touch Memory») напоминающие по форме брелоки. Подписать документ электронной цифровой подписью можно автоматически, вставив ключевой носитель в компьютер. До недавнего времени считалось, что хранение этих ключей на извлекаемых носителях решало большинство проблем по их защите. Однако появились вирусы, позволяющие похищать секретный ключ из оперативной памяти компьютера во время работы банковских программ. Поэтому сейчас используются более надежные электронные брелоки с неизвлекаемыми ключами.
- Для максимальной защиты операций, осуществляемых через Интернет с использованием банковских карт, необходимо использование дополнительных возможностей контроля доступа к своим денежным средствам, - говорит управляющий Воронежского филиала «Номос-Банка» Олег Цуцаев. - Так, держателям чиповых карт в «Номос-банке» предоставляется криптокалькулятор - портативное считывающее устройство с цифровой клавиатурой и дисплеем. Карта вводится в устройство, на клавиатуре набирается ПИН-код карты. Далее криптокалькулятор генерирует одноразовый пароль, который используется для идентификации при входе в систему и для подтверждения совершаемой операции. Эта технология позволяет обеспечить высокую безопасность электронных платежей.
Как не потерять деньги
Крупные компании тратят серьезные средства на безопасность в Интернете, но и небольшому предприятию, у которого нет высокопрофессионального штата системных администраторов, вполне реально не допустить злоумышленников к своим счетам.
Большая часть интернет-мошенничества связана с человеческим фактором – с ошибками сотрудников, невнимательностью или излишней доверчивостью руководителя. Чтобы снизить финансовые риски, достаточно не доверять никому право использования цифровой подписи и разделить функции создания и акцептования платежных документов. То есть бухгалтер формирует их и отправляет их в банк через интернет-банкинг, а директор подписывает.
Электронные ключи и все персональные данные (логин, пароль, одноразовые коды, полные номера банковских карт и CVV - коды проверки подлинности) должны храниться в недоступном для посторонних месте.
Второй по значимости риск нарваться на мошенников в Интернете – недостаточная защита каналов связи: не самые новые антивирусные программы, отсутствие сетевого экрана (файрвола), общедоступный WiFi.
- Мы рекомендуем клиентам для безопасности дистанционного банковского обслуживания пользоваться лицензионным программным обеспечением с постоянным обновлением, - говорит главный специалист службы безопасности «Россельхозбанка» Виктор Корыстин. – Большинство хакерских атак, с которыми нам приходилось сталкиваться, совершались на компьютеры клиентов с нелицензионными или бесплатными антивирусными программами. В моей практике был случай, когда мошенникам удалось найти брешь в антивирусной защите компьютера. Обнаружив это, мы обратились в компании, занимающиеся производством антивирусов. Уже в следующих выпусках обновлений эта лазейка для мошенников была закрыта.
Итак, на компьютере, с которого осуществляются онлайн-операции, должны быть установлены современные, регулярно обновляемые антивирусные программы. Также необходимо регулярно обновлять операционную систему, поскольку разработчики устраняют выявленные хакерами бреши. Этот компьютер нельзя включать в локальные сети, использовать для обычной работы в Интернете, тем более для захода в социальные сети или на развлекательные сайты.
Для защиты от воровства денег можно установить предельный размер суммы, которая может быть снята со счета за один раз. В случае ее превышения банк попросит подтвердить операцию.
Виктор Корыстин убежден, что для безопасности финансовых операций через Интернет нужна бдительность и сотрудников банка, и организаций-клиентов: «Операционисты проверяют все платежные поручения, при малейшем сомнении служба безопасности банка звонит клиенту, уточняет, и если организация поручение не отправляла, блокирует платеж. Мы всегда выезжаем к клиентам и помогаем разобраться с проблемами в системе информационной безопасности».
