Виртуальная кража, реальные деньги ...

Аналитик, Лаборатория Касперского Польша

Электронный банкинг - один из самых быстрорастущих секторов экономики. Это дает новые возможности обойти широкий круг очередей в окнах оформления заказа, оплачивать счета в Интернете или совершать покупки. Банки пытаются сделать свои предложения более привлекательными и упростить использование банковских услуг. Однако удобство обычно не идет рука об руку с безопасностью, которая часто должна ухудшаться в пользу простоты использования клиента.

В Польше защита электронных банковских услуг находится на высоком уровне. Крупнейшие банки, которые поддерживают большинство поляков, используют несколько функций безопасности, начиная от лучшей аутентификации и защиты от прослушивания при входе в систему до защиты средств, накопленных на счете. В следующей части статьи я представлю эти гарантии. Я также укажу, что клиент должен сделать, чтобы защитить свои достижения.

Безопасность на стороне банка

Банки создают все более совершенные методы защиты счетов своих клиентов. Однако важно, чтобы методы аутентификации клиентов не были неудобными в использовании, а сам процесс входа в систему не занимал слишком много времени. Используемые в настоящее время формы безопасности обсуждаются ниже. Мы можем разделить их на те, которые защищают доступ к самой учетной записи (процесс входа в систему) и те, которые защищают баланс нашей учетной записи и настройки учетной записи перед любыми изменениями.

Логин и пароль

И логин, и пароль представляют собой первый барьер против несанкционированного доступа к учетной записи. Банк оказывает лишь частичное влияние на то, насколько сильным будет обеспечение. Хотя логин обычно присваивается нам, пароль должен соответствовать определенным стандартам, установленным самим банком. Они чаще всего:

• Требование использования пароля длиной не менее 7 символов (в зависимости от банка этот минимум может достигать 10 символов)
• Пароль должен содержать цифры, прописные и строчные буквы и специальные символы

Кроме того, банки стараются привлечь внимание клиента (через раздел FAQ на сайте или по телефону консультантов, через которых мы выполняем определенные операции), чтобы не разглашать свой логин и пароль и нигде не сохранять его. Клиент больше осведомлен о риске, а также о меньших потерях для самого банка. Тот факт, что логин предоставляется нам заранее, здесь также не имеет значения. Если бы клиент выбрал логин, ему было бы легко догадаться - например, Anna1978. Банк выпускает набор цифр, иногда также букв, которые труднее получить потенциальному злоумышленнику. Также маловероятно, что киберпреступник будет угадывать такой логин.

Подробнее о проблеме слабых паролей для различных сервисов, требующих аутентификации, можно прочитать в журнале аналитиков «Лаборатории Касперского»: http://viruslist.pl/weblog.html?weblogid=520 ,

Маскированный пароль

Предполагается, что замаскированный пароль предотвращает последствия наличия в системе кейлоггера или трояна, который перехватывает все символы, которые вы вводите с клавиатуры. Этот метод предполагает использование только определенных символов из нашего пароля. Каждый раз система банка запрашивает у вас других персонажей. Чтобы показать, как это работает на практике, я представляю схему ниже. Давайте предположим, что наш пароль - Kaspersky:

_ ** _ * _ ** _

Система автоматически ввела пять символов (*), но просит нас предоставить оставшиеся четыре (_). Это, конечно, будет K, p, r, I. При следующем входе в систему схема может полностью измениться, и могут потребоваться другие символы:

* _ ** _ * _ * _

На этот раз это e, s, i. Благодаря этой защите, даже если система заражена кейлоггером, злоумышленник захватит только несколько символов, которые не дадут ему возможность войти в учетную запись, поскольку для следующей попытки обязательно потребуются другие символы.

Экранная клавиатура

Экранная клавиатура давно известна, потому что она является стандартным дополнением ко многим операционным системам. Банки заметили много преимуществ, связанных с его использованием. Если пользователь входит в банк с зараженного компьютера, но использует экранную клавиатуру, невозможно перехватить программу или пароль, введенный на странице входа. Символы на экранной клавиатуре выбираются и нажимаются с помощью мыши, благодаря чему кейлоггер не регистрирует какую-либо активность.

Антифишинговая картина

Еще один метод, который повышает безопасность входа в систему - это антифишинговая картина. Способ тривиален, но очень эффективен в своей простоте. Как следует из названия, механизм защищает от фишинга при перенаправлении клиента на специально созданный веб-сайт. Пользователь выбирает (обычно в настройках своей учетной записи) одно из доступных изображений, которое будет появляться при каждом входе в систему. Отсутствие этого во время регистрации может указывать, что мы стали жертвой мошенничества. В этом случае, пожалуйста, прекратите ввод любых данных как можно скорее, покиньте веб-сайт и сообщите банку об инциденте.

Одноразовые коды

Эта защита напрямую не защищает доступ к вашей учетной записи - банки не требуют, чтобы вы вводили одноразовые коды при входе в систему. Однако это очень хорошая защита на случай, если кто-то получит несанкционированный доступ к нашей учетной записи. Сначала, однако, несколько слов о самом методе. Как следует из названия, мы имеем дело с кодами, которые требуются только один раз для выполнения секретной процедуры, например, передачи или изменения данных. После одного использования код становится недействительным. Клиент может получить такой код несколькими способами:

• Использование карты кодов, на которой размещено несколько десятков кодов, прикрытых защитной пленкой, оторванных в момент доступа к определенному коду.

• Посредством SMS-сообщения, отправленного на номер мобильного телефона, указанный клиентом ранее.
• Использование токена, который самостоятельно генерирует одноразовые коды, действителен только одну минуту. По истечении этого времени отображается новый код, а старый отменяется.

Благодаря одноразовым кодам, даже если имя и пароль учетной записи будут приняты, злоумышленник не сможет перевести деньги на свой счет. Это не значит, конечно, что он обеспечивает 100% защиту от кражи. Ни одна система не дает такой гарантии. Кроме того, важно также защитить те данные, которые видны после входа в вашу учетную запись и не требуют одноразовых кодов (которые я напишу позже).

Сертификаты

Сертификат является одной из самых важных гарантий, поскольку он позволяет вам проверять подлинность сайта и его принадлежность к банку. Следует отметить, что само шифрование (https в адресной строке) не означает, что страница защищена сертификатом, выданным одним из центров сертификации. При входе в свою учетную запись стоит обратить внимание на эту деталь, особенно если вы совершаете покупки через Интернет и интернет-магазин, который перенаправляет вас на страницу входа в банк. Ниже приведен пример подлинного сертификата:

Кроме того, банки пытаются информировать своих клиентов о ситуациях, которые могут быть рискованными, например, вход в учетную запись из интернет-кафе или на рабочем месте. Не уверены, что кто-то следит за нашей онлайн-деятельностью, мы не должны рисковать и прекратить вход в систему.

Что может сделать клиент?

Клиент сам зависит не только от банков и методов безопасности, которые они используют. Вы даже можете испытать соблазн сказать, что именно безопасность клиента действительно зависит от клиента. Человек - самое слабое звено во всей электронной безопасности. Уязвим к внушению и влиянию киберпреступников, устанавливая случайные программы, которые выглядят как вредоносные приложения, входя из разных мест в аккаунт. Ниже я перечислю наиболее важные условия, которые должны быть выполнены, чтобы не найти пустой аккаунт.

• Регулярные обновления операционной системы, программного обеспечения, установленного на компьютере, и самих браузеров. Многие вредоносные программы используют дыры в программном обеспечении для получения контроля над машиной и установки, например, кейлоггера или трояна. Кроме того, Linux здесь не на 100% безопасен. Действительно, для этой системы написано не так много вирусов, и те, которые существуют, не представляют большей угрозы, однако дыра в приложении - это потенциальная возможность использовать эксплойт, который поможет получить контроль над системой. Дополнительную информацию об обновлениях системы, программном обеспечении и атаках на уязвимости можно найти здесь: http://viruslist.pl/weblog.html?weblogid=527 ,
• Применение обновленного программного обеспечения безопасности. Наличие самого антивируса может быть недостаточным в наши дни. Чтобы полностью защитить ваш компьютер от атак, мы должны установить пакет Internet Security, который обычно включает в себя антивирус, брандмауэр и инструмент для обнаружения фишинга и шпионских программ.
• Использование систем LiveCD. Если вам нужно войти в учетную запись в кафе (например, в праздничные дни), мы должны получить один из дистрибутивов Linux LiveCD, который запускается непосредственно с диска и использует только временную память компьютера, а не с жесткого диска. Благодаря этому, даже если на диске есть клавиатурные шпионы, ничего не будет сохранено. После завершения транзакции и выключения системы никаких следов не осталось.
• Храните информацию об учетной записи только для себя. Мы не должны делиться знаниями о нашей учетной записи с кем-либо: как долго мы храним их, сколько у нас кредитных или дебетовых карт, одолжили ли мы и т. Д. Это важно, потому что некоторые банки задают вопросы для аутентификации клиента по телефонным каналам относительно его аккаунта. Такое знание поможет кому-то выдать себя за нас.
• Следуйте инструкциям банка. Все средства, которые я упомянул выше в связи с банками, предназначены для защиты наших средств, а не для того, чтобы нам было трудно использовать учетную запись ... Если банк предоставляет вам такую ​​возможность, используйте экранную клавиатуру, когда вы входите в систему, посмотрите внизу страницы на подлинность и подтвердите сертификатом. , не сохраняйте пароли и логины в банке на своем мобильном телефоне или - даже больше - на заметках, прикрепленных к мониторам.

И все же вы можете ... Случаи вторжения в банковские счета в Интернете

Несмотря на то, что защита онлайн-банкинга, как правило, считается очень хорошей, в случае несоблюдения определенных моделей поведения и нарушения принципов безопасного использования сети, ее безопасность может быть иллюзорной. Ниже я привожу несколько ситуаций из жизни, когда клиенты банков стали жертвами мошенников и воров. Особенно первая история дает нам пищу для размышлений, особенно в контексте того, что я написал ранее (почему все данные, касающиеся нашей личности и банковского счета, должны быть недоступны для других).

1. Известный телеведущий, ведущий Джереми Кларксон, среди прочих Автомобильная программа Top Gear, в одном из эпизодов программы, в которой говорилось о потере 25 миллионов британцев личных данных в ноябре 2007 года HM Revenue & Customs (Британская налоговая и таможенная служба), сказала, что средства массовой информации делают ненужную шумиху по поводу потери эти данные. Чтобы доказать, что это никому не полезно, он дал свой номер счета и другие личные данные. Однако он очень быстро удивился и отменил все, о чем говорил, о неуместности отсутствующих данных. Исчезновение 500 фунтов со своего счета способствовало смене взгляда, даже банк не смог точно определить, как это произошло. Деньги были переведены на счет Британской диабетической ассоциации. Вот что сказал Джереми Кларксон после инцидента:
2. В Швеции банк Nordea очень популярен. В начале 2008 года он стал объектом многочисленных атак, от которых пострадали некоторые клиенты. Общие убытки, понесенные банком, достигли миллиона евро. Хотя в заявлении для СМИ банк признал, что угроза не затрагивает клиентов польского банка (благодаря более современным скандинавским функциям безопасности в Польше), тем не менее, многие люди выразили обеспокоенность по поводу накопления средств на счете. Атака была осуществлена ​​с помощью трояна, отправленного по электронной почте.
3. В марте и апреле 2008 года поддельные сообщения были отправлены клиентам BZ WBK banka, что привело к появлению сайта с формой. Его выполнение привело к отправке данных мошеннику, а не банку. Первая волна новостей была подготовлена ​​без особой тщательности, в то время как вторая могла восприниматься многими клиентами как достоверная информация из банка. Я опишу этот случай более подробно позже, чтобы проиллюстрировать, что такое фишинг в отношении электронного банкинга.
4. В июне 2008 года на клиентов банка PKO BP была проведена очень опасная атака. Первоначально пользователю предлагалось обновить приложение Flash Player, которое необходимо для просмотра многих веб-сайтов. Этот файл, однако, был трояном, который изменил файл hosts в системе, поэтому при вводе адреса банка в браузере пользователь всегда перенаправлялся на поддельный сайт банка. После ввода логина и пароля появилась другая страница, на которой вам нужно было ввести 5 последовательных одноразовых кодов со скретч-карты. Если кто-то это сделал, он дал преступникам не только логин и пароль к учетной записи, но и возможность сделать перевод из собственных средств на учетную запись мошенника.

Приведенные выше примеры очень ясно показывают, что несоблюдение рекомендаций банка, и, прежде всего, отсутствие осмотрительности в том, что делается, и бессознательное восприятие угроз могут привести к значительным проблемам.

Как они это делают?

Я уже упоминал, что банки используют очень хорошее обеспечение. Кто-то может задаться вопросом, почему в этом случае происходит кража в электронном банковском деле. Это приходит к ним, потому что самым слабым звеном в этих защитах является человек. Мы уязвимы для манипуляций и влияния других. Именно с помощью таких манипуляций киберпреступник пытается получить доступ к учетной записи. Конечно, есть более сложные методы, но вряд ли кто-то их использует, потому что их труднее осуществить и они не дают возможности атаковать сразу много людей.

Социальная инженерия

Приведенное выше предложение взято из книги «Искусство обмана», написанной Кевином Митником. В нем он описывает, насколько велика опасность для человека и как легко убедить кого-то ввести пароль или логин. Особенно известными и широко используемыми методами, которые были описаны психологами, являются «ноги в дверь» и «дверь в лицо». Первый - предшествовать нашему запросу, другие менее важны. В результате между запросами нет высокого контраста, и человек, который их встречает, не испытывает дискомфорта. Второй метод полностью изменен. Жертву просят выполнить просьбу, которая является чрезмерной по отношению к правильной. Такая процедура заставляет социотехника отказываться отказать еще раз, предоставляя данные, которые ему действительно нужны.

Феномен социальной инженерии особенно опасен в наше время, потому что в настоящее время нам очень легко устанавливать контакты с незнакомцами через чаты, мессенджеры или интернет-форумы. Знакомство с кем-либо через Интернет должно быть осторожным и никогда не отвечать на вопросы, которые кажутся безвредными, в отношении банка, в котором у нас есть счет, или методов аутентификации, которые он использует, например, одноразовые коды на карте или с помощью токена.

фишинга

Одним из наиболее часто используемых методов атаки на банки является фишинг. Фишинг - это фраза, обозначающая рыбалку, но сохраненная в англоязычном «чате» в Интернете, где буква F часто пишется как PH. Этот метод имеет много общего с рыбалкой. Сначала злоумышленник отправляет массовые электронные письма, адресованные определенной группе людей. Сообщение обычно представляется графически, как если бы оно было передано данным учреждением (например, банком). В нем есть контент, адресованный клиенту, графика напоминает графику из банка. В этом сообщении также есть ссылка, которая является ключом к успеху злоумышленника и неудаче жертвы. Ссылка на веб-сайт банка может не вызывать подозрений, но после детального изучения ее можно увидеть, что она не ведет на веб-сайт банка, который якобы ее отправил, а полностью куда-то еще. После нажатия мы перенаправляемся на фальшивый сайт или загружаем троян, модифицирующий DNS, или файл hosts. Сайт всегда напоминает сайт реального банка, где мы можем войти. Разница в том, что все, что мы вводим, отправляется киберпреступнику. Чтобы лучше проиллюстрировать этот метод, я буду использовать пример вышеупомянутого банка BZ WBK.

Первоначально, в марте 2008 года, были отправлены фишинговые сообщения, на которые вряд ли кого-то обманули по нескольким простым причинам. Как вы можете видеть ниже - сайт был подготовлен небрежно с графической стороны, а также на английском языке. Помимо того, что кто-то может просто не знать английский в мире, всем будет казаться подозрительным, что банк в Польше пишет польским клиентам сообщения на иностранном языке.

Эта атака не вызвала большого замешательства среди пользователей банка. К сожалению, вскоре после этого в сети появилось еще одно сообщение, на этот раз подготовленное более тщательно. Он был написан на польском языке, графика напоминала подлинное сообщение от банка, и ссылка не воспринималась как ложная.

На изображении выше очень хорошо видно, что я упоминал ранее. Видимая ссылка с текстом «Нажмите здесь, чтобы активировать свою учетную запись» - это ссылка, реальный адрес которой мы видим в красном поле. Это не имеет ничего общего с банком. После нажатия на ссылку пользователь перенаправляется на следующую страницу, которая оказывается формой. Его завершение и отправка позволят злоумышленнику получить ценную информацию, которая может быть использована для проникновения в ваш аккаунт.

Фишинг является формой социальной инженерии, поскольку он побуждает пользователя (под предлогом блокирования учетной записи или неправильных операций) щелкнуть ссылку и заполнить форму / предоставить одноразовые коды или номер кредитной карты (существуют также такие фишинговые сообщения). Самое главное - осознать, что банки никогда не отправляют такие запросы в электронном виде. Они никогда не спрашивают электронную почту, дату рождения, пароль или логин. Они не просят одноразовые коды. Единственными письмами, которые можно получить в банке, являются торговое предложение или выписка из нашего счета. Подробнее о фишинге и его различных формах вы можете прочитать в статье «Фишинг, фарминг и сети зомби - что вы не знаете о своем компьютере»: http://viruslist.pl/analysis.html?newsid=522 ,

Еще один выход?

Существуют системы, которые значительно повышают безопасность наших сбережений. В случае зарубежных интернет-магазинов решение состоит в том, чтобы совершать платежи через специальную систему, например PayPal. Это признанная во всем мире платежная система, предназначенная для повышения безопасности покупок в Интернете. Деньги могут быть отправлены человеку, который имеет учетную запись PayPal. Эта система предлагает исключительно высокие стандарты безопасности.

• Все транзакции контролируются 7 дней в неделю 24 часа в сутки. Каждая операция проверяется для выявления нарушений и принятия мер как можно скорее.
• Сотрудничество с органами безопасности по устранению ложных сайтов и мониторингу с целью предотвращения мошенничества с учетными записями и кражи данных делают этот сайт чрезвычайно безопасным
• Несомненно, одним из самых больших преимуществ является возможность использовать кредитную карту, не раскрывая ее номер. Конфиденциальные данные не должны передаваться продавцу.
• Пользователь информируется о любых нарушениях, обнаруженных в его аккаунте.

PayPal выступает в качестве посредника и поддерживает электронные аукционы (например, eBay). До недавнего времени, несмотря на присутствие этой системы в Польше, ее пользователи не могли совершать транзакции, кроме выплаты денег другим пользователям. В настоящее время также можно снимать средства, накопленные на вашем счету, что делает PayPal все более популярным в нашей стране. Стоит рассмотреть вопрос об использовании этого вида услуг, особенно если мы часто совершаем покупки в Интернете, особенно в зарубежных магазинах.

Альтернативой вышеупомянутой услуге может быть система Epassporte. Он работает по принципу виртуальной карты, где мы вносим деньги и можем использовать их при совершении покупок в магазинах, которые поддерживают Visa. Эту систему можно сравнить с предоплаченным телефоном, который можно пополнить в любое время и немедленно использовать наши средства. В этом случае деньги переводятся на виртуальную карту, с помощью которой мы можем совершать платежи в сети, а также снимать деньги в разных странах. Это настолько безопасно, что доступны только средства, внесенные на виртуальную карту. Что касается безопасности, они аналогичны тем, которые используются в PayPal. Здесь мы также отслеживаем подозрительные действия или защищаем конфиденциальные данные.

Еще одна идея для повышения безопасности покупок в Интернете заключается в создании дополнительной учетной записи как части нашего основного банковского счета. Такая возможность предлагается практически всеми банками. Механизм работает следующим образом.

• Мы настраиваем субсчет и заказываем для него отдельную платежную карту. Субсчет и заказанная вами карта будут использоваться только для покупок в Интернете.
• Непосредственно перед совершением онлайн-покупки мы взимаем с субсчета требуемую сумму (если вы совершаете покупку в иностранном магазине, стоит пополнить субсчет немного большей суммой, чем требуется, чтобы не оказалось, что валюты окажется недостаточно).
• После совершения платежа мы переводим оставшиеся средства на наш основной или другой счет.

Благодаря такому простому механизму нам не нужно беспокоиться о том, что номер карты, заказанный для субсчета, будет перехвачен. Даже если это произойдет, киберпреступник не будет иметь доступа к нашим деньгам, потому что они находятся на субсчете только на короткое время.

Как купить его с головой ...

Наконец, я хотел бы упомянуть несколько правил безопасной покупки онлайн:

• Логины и пароли к вашему банковскому счету должны быть трудно угадать.
• При использовании онлайн-банкинга не забывайте соблюдать правила безопасности, а также следовать рекомендациям банка относительно входа в систему.
• Вы должны проверить подлинность страницы, прежде чем войти в банк.
• Мы покупаем только в крупных и известных магазинах, которые уже достаточно долго на рынке, и с ними можно легко связаться - желательно по телефону или даже лично.
• Если вам нужно совершить покупку в неизвестном магазине, поищите мнения об этом в Интернете. В частности, обратите внимание на компании, которые после продажи нескольких товаров исчезают с рынка или предлагают брендовые товары по подозрительно привлекательным ценам.
• Давайте проверим комментарии и аукционы, которые они касаются. Если кто-то продает дорогие товары и ранее проданные мелкие предметы, это может означать попытку получить положительные отзывы заранее, чтобы вызвать больше доверия.
• Следите за горячими и привлекательными предложениями, мошенники часто пытаются побудить их принять участие в их аукционах.

Примером такого привлекательного предложения о покупке может служить случай с покупателем из Нигерии, который когда-то часто выставлял интернет-аукционы, чтобы:

перевод:

Конечно, все это оказалось мошенничеством. Кто-то писал электронные письма людям, показывающим дорогостоящее электронное оборудование, например мобильные телефоны, и давал очень выгодную цену за товар. Было много неясностей, но в итоге люди, которые решили отправить товар, не получили ни копейки. Поэтому вам следует подойти к этим предложениям с оговоркой.

Подводя итог - если мы не позаботимся о наших деньгах, кто-то "сделает это" за нас ...