Алекс Экслер - Омерт@. Учебник по информационной безопасности для больших боссов

Как образом осуществляется безопасность в этом случае?

Стандартные логин и пароль, проверяемые при входе на сайт

Причем логином при этом может служить номер пластиковой карты (если она привязана к счёту). Понятно, что способ на редкость ненадёжный (чтобы похитить деньги достаточно узнать эти данные – логин и пароль), но тем не менее он используется в некоторых банках. Если на твоём компьютере кто-то установил шпиона, то злоумышленник без особых проблем узнает эти данные для входа.

На вскрытие этого вида защиты направлен ещё один довольно распространенный вида мошенничества. Тебе приходит письмо якобы от твоего банка, в котором, например, просят подтвердить приход на твой счёт немаленькой суммы денег (предположим, $2,000). В письме написано, что если ты не сделаешь подтверждения, то сумма уйдет отправителю. В тексте письма есть ссылка, при нажатии которой ты попадаешь на обычную страницу ввода логина и пароля твоего банка. Разумеется, это поддельная страничка, но ты об этом не догадываешься, потому что и адрес, вроде, банка (есть способы сделать так, чтобы даже адрес в строке браузера был похож на настоящий), и выглядит все так же, как и всегда. Ты, если не задумаешься над тем, с какой это стати вдруг потребовалось подтверждать приход неких сумм, введешь логин и пароль, после чего получишь сообщение из серии: «Спасибо, сумма подтверждена». Логин и пароль при этом попадают к злоумышленникам, которые тут же пытаются залезть на твой счёт и перевести с него все что можно на свои счета, причем деньги направляются через длинную цепочку подставных счетов, так что концов потом никаких не найдешь.

2. Логин и пароль плюс карточка уникальных ключей

Для получения информации о счете достаточно ввести просто логин и пароль. Однако для проведения любой операции необходимо также ввести уникальный код, который добывается путем стирания защитного слоя со специальной пластиковой карточки, которая выдается банком. Таких кодов на ней – штук сто, так что карточки хватает надолго. Идея защиты в том, что даже если злоумышленник каким-то образом похитит твои логин с паролем, то без этой (именно данной конкретной) карточки он ничего сделать не сможет.

Это уже значительно более серьёзный вид защиты, чем просто логин с паролем.

Логин, пароль и проверка электронного ключа

Данный способ позволяет привязать выполнение каких-то операций со счётом к конкретному электронному ключу, дополнительно защищённому паролем. При этом используется технология асимметричных ключей, о которых мы уже говорили в разделе, посвященному шифрованию.

Работает это следующим образом… В банке тебе выдают специальное программное обеспечение. Ты его устанавливаешь на свой компьютер и при первом запуске создаешь пару ключей – публичный и секретный. Публичный ключ отправляется программной через Интернет в банк и отныне будет служить для твоей чёткой идентификации, а секретный ключ хранится на твоем компьютере (или любом внешнем накопителе, вроде дискеты, смарт-карты или flash-drive), и служит для подтверждения любых действий.

Таким образом, получается уже многоуровневая система защиты. Потому что для манипуляций со счётом тебе нужно будет произвести следующие виды действий:

a) Запустить программу, полученную в банке;

b) Программа должна найти пару ключей (публичный и секретный);

c) Ты должен ввести свой пароль для работы с ключами;

d) После этого ты заходишь на сайт, где банковский сервер сверяет твой публичный ключ, хранящийся на сервере, с публичным ключом, предъявляемым программой с твоего компьютера;

e) Далее ты вводишь обычные логин и пароль;

f) Перед совершением любого действия программа снова делает сверку ключей и требует ввода пароля для секретного ключа.

В общем, граница на замке. Ведь чтобы вскрыть эту защиту злоумышленнику нужно: знать твои логин с паролем на доступ к счёту, иметь программу, которую выдают в банке, получить оба твои ключа, знать пароль к секретному ключу. Это уже практически нереально.

4. Логин, пароль и e-token

Практически всё то же самое, что и в пункте 3, но идентификационный ключ хранится в электронном брелоке e-token. Ну или банк реализует какую-то другую схему защиты, требующую наличия e-token в USB-порте компьютера или Com-порте. Тоже вполне надёжный способ.

Как видишь, определённую безопасность электронного банкинга вполне можно обеспечить – лишь бы банк поддерживал подобные механизмы. (Для меня, например, одним из критериев выбора банка как раз и был вопрос, каким образом они обеспечивают безопасность онлайновых платежей.) Конечно, обычные логин и пароль – это секьюрность на уровне каменного века, но при использовании хотя бы пластиковой карточки с уникальными ключами или технологии с публичными и секретными ключами – это защита уже посерьёзнее, чем визит в банк с паспортом, чтобы заполнить бумажки. Потому что отобрать паспорт и загримировать лицо уж всяко проще, чем пытаться получить: логин, пароль, программу, публичный ключ, секретный ключ, пароль к секретному ключу. Не думаю, что для кого-то из злоумышленников это возможно. Уж больно хлопотное дело…