Василий Окулесский на конференции «IT-безопасность в финансовом секторе» (организатор — AHConferences)

По данным МВД РФ, число мошенничеств с использованием интернет-технологий в 2009 году возросло на 30%. Размер украденных сумм увеличился в три раза, то есть каждое мошенничество стало в несколько раз эффективнее. Число привлеченных к уголовной ответственности по этим случаям, к сожалению, в процентном соотношении к количеству мошенничеств продолжает падать. Поймать преступников сложно: действуют цепочки профессионалов, каждый из которых в отдельности закон не нарушает.

Основные причины интернет—мошенничеств

Основные причины резкого возрастания числа интернет-мошенничеств можно разделить на две группы: субъективные, связанные с недостаточной осведомленностью участников информационных отношений в области защиты своих интересов, и вторая группа — объективные причины, связанные с применяемыми программно-техническими средствами.

Несмотря на многочисленные предупреждения и в договорах, и на сайтах банков, а также в СМИ, клиенты недостаточно глубоко и точно понимают, где и как у них могут украсть деньги и что делать, чтобы этого не произошло. Пользователи уделяют слишком мало внимания обеспечению собственной безопасности в Интернете. Например, для многих из них до сих пор не является аксиомой, что нужно применять и своевременно обновлять антивирусные средства.

Кроме того, среди клиентов бытует мнение, что использование нелицензионного программного обеспечения напрямую не вредит безопасности, а нарушает лишь авторские права. Однако «пиратские» операционные системы не загружают регулярные обновления безопасности, в то время как антивирусные средства рассчитаны на то, что средства безопасности Microsoft будут обновлены и выполнят свою задачу. В итоге из-за неправильного их взаимодействия в системах защиты остаются бреши.

Следующая причина — использование неадекватных уровней безопасности в системах ДБО. Уровень безопасности должен зависеть от сумм и типов операций: операции между своими счетами, предопределенные операции с ограниченными суммами требуют совершенно иного уровня безопасности, чем операции в пользу третьих лиц без ограничения суммы. При упрощенной системе безопасности можно разрешать только все операции по собственным счетам. Если в системе нет запрета на платежи в пользу третьих лиц, необходима криптография на компьютере пользователя и разовые пароли. Это позволяет хорошо защитить и банк, и клиента.

Встречаются и чисто технологические ошибки в разработке систем ДБО. Их должны создавать профессионалы в области безопасности, иначе в системах могут возникать алгоритмические «дыры». Например, в своем компьютере клиент вставляет USB-токен и начинает работу. В момент подписания платежного документа троян подкладывает фальшивое платежное поручение, которое подписывается правильными подписями и отправляется в банк. Это технологическая уязвимость: в некоторых системах существует незащищенный канал между микропроцессором шифрования и процессором компьютера, который недостаточно контролируется. Такая уязвимость закрывается профессиональными криптографами, так как простое применение сертифицированных криптографических библиотек эту проблему не поможет решить, потому что проблема в неверных алгоритмах применения библиотек.

Еще одна причина — использование в системах ДБО несертифицированных средств криптографической защиты информации, что создает условия правовой незащищенности участников информационных отношений. Случаи взлома криптографии очень редки: зачем взламывать шифр, если можно украсть ключи? Деньги пропадают с использованием собственных ключей пользователя. Если клиент будет пытаться доказать свои права в суде, то во внимание будут приниматься только сертифицированные средства.

Новые «объединенные» угрозы

Мошенничество с картами и мошенничество с ДБО, соединенные в один технологический «узел», дают синергетический эффект для мошенничеств. Потери от таких действий в десятки раз превосходят отдельно взятые воровство из интернет-банкинга и кражи денег из банкоматов. Интернет-банкинг позволяет воровать деньги с банковских счетов, а банкоматные сети дают возможность украденные деньги обналичивать.

Как пластиковые карты вовлекаются в интернет-мошенничество? В первую очередь через расчеты за услуги через Интернет. Далеко не все онлайн-магазины предлагают защищенные сервисы для использования платежных карт. Используются порой совершенно незащищенные технологии. Как только клиент ввел на небезопасный сайт данные своей карты, он может быть уверен, что вскоре получит уведомление о совершенной с его карты покупке в каком-нибудь «левом» интернет-магазине.

С другой стороны, пластиковые карты служат для аутентификации клиента в системах дистанционного банковского обслуживания, в том числе даже без наличия электронно-цифровой подписи. Так для мошенников открывается путь в системы ДБО.

И совсем новое: карты стали соединять с электронными деньгами и счетами в сотовой связи.

Основные виды правонарушений

Самый распространенный вид мошенничеств через ДБО — это хищение денежных средств со счетов клиентов с использованием краденых «ключевых» данных клиентов.

Следующий вид правонарушения — кража персональных данных для изготовления персональной карты через специальные программы, скимминговые устройства, данные процессинговых центров.

Далеко не все онлайн-магазины предлагают защищен­ные сер­висы для использо­вания пла­тежных карт

Теперь мошенники стремятся украсть персональные данные или данные пластиковых карт не только для непосредственного их использования, но и для управления банковскими счетами. Самое простое — когда секретные ключи лежат на носителе, который можно потерять. Либо воры могут украсть ключи с использованием троянов или просто могут получить мошеннический удаленный доступ к компьютеру клиента и использовать честно защищенные данные в неизвлекаемом носителе, если криптопровайдер забыли вынуть из компьютера.

В «помощь» мошенникам появились «зарплатные карточные проекты» фиктивных компаний

Как работают преступники?

Прошли времена хакеров-одиночек. Сейчас чаще всего действует организованная группа или даже несколько различных функциональных групп или группировок. Нынешнее мошенничество — это высокотехнологичная операция с очень специфическими функциями, где на каждом этапе нужна очень профессиональная подготовка. Универсалы-одиночки здесь не справятся. Работа таких групп сильно распределена по четко выраженным этапам, а также территориально.

Деятельность каждой отдельной группы направлена на проведение, как правило, только одной операции. Бывает, что группы не связаны ни единым замыслом, ни единой технологией, ни конечной целью. Например, одна группа пишет и продает трояны. Другая группа делает БОТ-сеть, которая распространяет эти данные. Третья группа сортирует и приводит в товарный вид все украденные данные — распределяет, где логины — пароли, каким банкам они принадлежат, какой тип системы ДБО используется и т.д.

В «помощь» мошенни­кам появи­лись «зар­плат­ные кар­точ­ные проекты» фиктивных компаний

Когда проведен подготовительный этап, определены цели, сроки, задачи, пути вывода наличных, средства прикрытия и блокировки сервисов ДБО, можно начинать собственно операцию: преступники получают доступ непосредственно к счету или карте клиента и осуществляют несанкционированный перевод на заранее подготовленный промежуточный счет. Затем нужна хорошая ДОС-атака, которая обрушит сервис, чтобы клиент не смог своевременно получить информацию о движении средств на его счете. ДОС-атака должна закончиться в тот момент, когда деньги будут обналичены.

Непосредственно обналичивание реализуется переводом со счета юридического лица на множество счетов пластиковых карт физических лиц с последующим снятием наличных в банкоматах. Как правило, происходит снятие небольших сумм в разных банкоматах. Это самое слабое звено: непосредственных исполнителей обналички можно найти. Но что мы имеем в сухом остатке? Бомжи с трех вокзалов или пенсионеры из разных городов страны, которые и не знают, что у них есть карты, на которые поступают деньги, полученные в результате мошеннических операций.

В «помощь» мошенникам появились «зарплатные карточные проекты» фиктивных компаний, основной смысл существования которых — массовое легальное «распыление» крупных сумм и обналичивание. Мошенники собирают персональные данные, пишут заявление в банк и получают определенное количество дебетовых карт, на которые можно регулярно и на законных основаниях переводить деньги, а затем их обналичивать.

Меры безопасности

Самая основная и самая трудная мера — повышение осведомленности как самих клиентов в области собственной безопасности при использовании интернет-сервисов, так и сотрудников розничных отделений банков при продаже продуктов ДБО. Это могут быть различные наглядные пособия для клиентов, памятки, специализированные странички на сайтах банков, рекламные материалы. Для сотрудников — проведение тренингов, создание систем мотивации. Врага надо знать, чтобы с ним бороться и применять меры самообороны. Банкам следует настойчиво оповещать клиентов — пользователей систем ДБО о мерах безопасности и давать им подробные рекомендации о применении защитных мер, в том числе антивирусного программного обеспечения с функциями антихакер и антишпион.

Следующие меры носят более технологический характер и могут быть отнесены к самим банкам. Считается, что чиповые карты более защищенные, чем магнитные, поэтому в качестве первой рекомендации банкам: пора переходить на чиповые карты. На данном этапе развития технологий чиповую карту можно скопировать, только если ее подержать в руках. Кроме того, нужно внедрять использование «электронных кошельков» или «виртуальных» карт для интернет-платежей.

Получение своевременной информации о состоянии своего счета — гарантия оперативного принятия мер по возврату похищенных средств. При краже счет идет на минуты. Если в течение двух часов клиент успеет сообщить в банк, что у него «увели» деньги, есть шансы вернуть всю сумму полностью. Чем больше промежуток времени между фактом пропажи средств и передачи сообщения в банк, тем меньше шансов остановить незаконную транзакцию. Поэтому sms-информирование — это обязательный элемент безопасности.

Хорошие результаты дают системы онлайн-анализа проведенных транзакций. Существуют признаки, по которым косвенно можно определить, что происходит что-то неладное. Во-первых, это нетипичное «поведение» клиента — операции производятся с другого IP-адреса, в странное время или списывается необычная сумма. Могут производиться нетипичные переводы со счетов как юрлиц, так и физлиц на карточные счета физлиц. Сразу после таких переводов производится массовое снятие наличных. Другие признаки — это многократный отказ в проведении транзакции за короткий период и одновременное, либо за короткий промежуток времени, снятие наличных с одной карты в разных регионах. Кроме того, это уже упоминавшиеся переводы на счета электронных денег. Промышленные системы могут анализировать более 150 типов признаков аномального поведения клиентов, что позволяет выявлять и пресекать не менее 70% мошеннических операций.

Введение условий использования карточных продуктов вне мест постоянного проживания клиентов дает хороший эффект. Запрет на проведение операции без предварительного уведомления о том, что человек уехал в определенную страну, также помогает защитить держателей карт. Также хороший эффект дает так называемая IP-фильтрация адресов, с которых клиенты проводят операции в системах ДБО.