Злоумышленники уже научились взламывать упомянутые выше новые системы двухфакторной защиты. «Классические SMS с одноразовыми паролями уже не могут обеспечить хороший уровень защищенности, — подчеркивает Алексей Тюрин, директор департамента аудита компании Digital Security. — Проблема в том, что пользователи часто ставят на смартфоны множество приложений и разрешают им доступ к SMS. Этим и пользуются вирусописатели. Уже существуют продвинутые банковские вирусы, которые работают совместно: и на компьютере, и на смартфоне. Вирус на компьютере позволяет создать и отправить платежное поручение, а SMS с паролем для подтверждения платежа приходит на смартфон, откуда через соответствующее приложение переправляется злоумышленнику. Чтобы увеличить количество зараженных смартфонов и компьютеров, разрабатываются технологии, когда вирус может перебираться с устройства на устройство».
Внутренняя угроза
Понятно, что индустрия защиты от киберпреступников тоже не стоит на месте. Наиболее перспективные сейчас способы защиты от банковских интернет-мошенников — персональные средства аутентификации в виде USB-брелоков (так называемые токены) или смарт-карт.
На такие устройства вирусам проникнуть очень сложно, так как они хранятся отдельно от компьютера. При необходимости совершения сделки устройство подключается к компьютеру, и в нем генерируется нужный разрешающий код для доступа к банковскому счету. «Мы считаем перспективным применение токенов, причем моделей с экранами вместо обычных токенов, — говорит Алексей Тюрин. — Дело в том, что клиент, подписывая платежное поручение с помощью обычного токена, получает информацию о том, что подписывает, только через свой компьютер. Злоумышленник различными способами может подменить информацию на ПК клиента, и тот подпишет и отправит деньги злоумышленнику. Здесь могут спасти токены с экранами, которые являются дополнительным доверенным каналом получения информации о будущем платеже».
Одновременно наблюдатели критикуют позицию многих банков, которые совершенствуют свои системы защиты без особого рвения. «У ряда банков простая арифметика: если сумма убытков от мошенничества меньше, чем затраты на внедрение дополнительных мер безопасности, не имеет смысла что-то менять, — продолжает Алексей Тюрин. — Если банк составляет “правильный” договор, который перекладывает на клиентов всю ответственность за инциденты мошенничества, то, согласно российскому законодательству, клиентам очень трудно вернуть свои деньги даже в том случае, если хищение осуществлялось через уязвимости в системе самого банка. Наши исследования в области анализа защищенности систем дистанционного банковского обслуживания показывают, что примерно в 80–90 процентах случаев потенциальные возможности хищения денежных средств у клиентов существуют из-за проблемы с информационной безопасностью в самих банках. К сожалению, клиентам очень сложно доказать, что виноват именно банк».
Не стоит забывать и про такую опасность, как внутренние угрозы банков. «Мне представляется, что в скором времени массовый потребитель банковских услуг осознает простую вещь: внутренние угрозы опаснее внешних, — заявляет Николай Федотовиз InfoWatch. — То, что это верно для других областей, уже всем очевидно. И только банки всеми силами привлекают внимание публики к внешним злоумышленникам — и старательно отвлекают от внутренних. Хотя именно инсайдеры-злоумышленники виноваты в большинстве хищений и других инцидентов».
«Основной защитой любой системы является грамотность ее пользователей, — продолжает тему Аркадий Прокудин, заместитель руководителя центра компетенции информационной безопасности компании “АйТи”. — До сих пор встречаются сотрудники, которые записывают пароли на бумажках и клеят их на монитор. Или используют пароли вроде 12345678, 00000 или “пустой” пароль. На мой взгляд, обученный специалист, соблюдающий политику безопасности компании, — это уже организация защиты на 50 процентов, все остальное доводится дополнительными решениями».
Наконец, участники рынка говорят о необходимости усиления роли государства в области регулирования интернет-банкинга. По последним данным, Банк России собирается в ближайшее время подготовить новый обязательный перечень правил для банков, предоставляющих услуги интернет-платежей. В частности, активно обсуждается идея обязательно указывать в банковских реквизитах еще и IP-адрес каждого клиента.
Читать дальше
