Практически все современные банки стараются фокусироваться на дистанционном обслуживании. Это очень удобно не только для банков и добросовестных пользователей, но и для мошенников. Портал Банки.ру выяснил, как происходят дистанционные ограбления и как от них защититься.
Для клиента банка дистанционное банковское обслуживание (ДБО) изрядно экономит время. Нет необходимости ездить в филиал банка, все или почти все нужные операции можно сделать с домашнего или рабочего компьютера, а то и с планшета или смартфона. Для мошенников же ДБО прежде всего обеспечивает безопасность деятельности — не нужно приходить в банк, предъявлять поддельные документы и «светить» лицом перед камерами. Кроме того, дистанционные ограбления можно выполнять массово, собирая миллионы рублей с чужих счетов за очень ограниченный срок и без особого риска.
Бизнес дистанционного фрода хорошо организован. Как и в случае скимминга, каждым этапом мошеннической операции занимаются люди, ничем, кроме финансовых потоков, друг с другом не связанные. Такое разделение труда обеспечивает злоумышленникам безопасность и эффективность их деятельности. Одни люди разрабатывают вредоносное ПО и продают его всем желающим, другие занимаются распространением вирусов, их товар — зараженные компьютеры, доступные через Интернет, а третьи, закупающие сведения о таких компьютерах, уже выполняют атаку на чужие банковские счета.
Директор по продажам компании BIFIT (разработчика систем ДБО) Станислав Шилов рассказал о масштабе проблемы: «Управление «К» делилось статистикой происшествий такого рода по юридическим лицам: по Москве каждый месяц фиксируется около десятка инцидентов крупных краж с использованием ДБО. Мы собирали статистику с 2009 по 2013 год по завершенным делам Московского арбитражного суда о несанкционированном списании средств с помощью ДБО, по нашим подсчетам средний объем превышает 4 миллиона рублей, и это с учетом множества относительно мелких инцидентов от 200 тысяч рублей». И это только данные по юридическим лицам, кражи, совершенные у физических лиц, чаще всего решаются на уровне банков и гражданских исков».
Как нас грабят
Практикующиеся атаки условно можно разделить на три способа — фишинг, «человек посередине» и захват управления компьютером. Первый, наиболее простой, заключается в подмене сайта банка или интернет-магазина на очень похожий сайт злоумышленников. Если ваш компьютер заражен специальной троянской программой, она может подменить IP-адрес вашего интернет-банкинга. В адресной строке вы будете видеть привычный адрес, а в браузер загрузится мошеннический сайт. Есть и другой вариант, не требующий заражения компьютера: пользователю присылается письмо якобы от банка с просьбой зайти в интернет-банк по указанной ссылке и проделать якобы необходимые действия.
Пользователь, ничего не подозревая, вводит свои логин и пароль, и они попадают к злоумышленникам. Для совершения каких-либо операций этого недостаточно, ведь банк потребует TAN — одноразовый пароль. И тут вступают в дело методы социальной инженерии.
Чаще всего это делается так: поддельный сайт интернет-банкинга после ввода логина и пароля сообщает о технических проблемах при входе и просит ввести TAN, присланный вам по СМС, указанный на специальной пластиковой карточке, или созданный выданным вам в банке генератором паролей. В это же время злоумышленник заходит в интернет-банк, воспользовавшись украденными логином и паролем, и создает нужную ему операцию (к примеру, перевод всех средств на стороннюю карту Visa. Пользователь послушно вводит TAN в окно поддельного сайта, а мошенник сообщает его банку и мошенническая трансакция выполняется.
Второй метод, называемый специалистами «человек посередине», чуть сложнее. В этом сценарии пользователь заходит с зараженного компьютера в свой интернет-банкинг и совершает какую-либо операцию. Для него все выглядит как обычно, но троянская программа перехватывает и изменяет данные, которыми обмениваются пользователь и банк. Реквизиты подменяются на нужные мошенникам, сумма изменяется так, чтобы перевести со счета все доступные средства, но пользователь этого не видит, ему троянец показывает только те данные, которые он вводит сам.
И, наконец, третий метод позволяет злоумышленнику получить управление компьютером, с которого выполняется работа с системой ДБО. Чаще всего так обкрадывают компании — системы ДБО для юридических лиц, выполняющих десятки и сотни операций со счетами в день, обычно используют не одноразовые пароли, а разного рода аппаратные ключи: USB-токены, смарткарты и т. д. Это облегчает жизнь не только бухгалтерам, но и мошенникам.
Определив по косвенным признакам, что в данный момент компьютер не используется, мошенник подключается к нему и пользуется им точно так же, как если бы физически сидел за этим компьютером. Если сотрудник бухгалтерии, отойдя от компьютера, не извлек свой ключ, деньги компании уйдут в неизвестном направлении за очень короткий срок.
Защита со стороны клиента
Есть несколько способов защиты против дистанционного фрода: технические средства защиты, дополнительные факторы аутентификации, выполнение рекомендаций по информационной безопасности и знание клиентом внешних признаков мошенничества.
Технические средства защиты — это прежде всего антивирусные программы, защищающие компьютер от заражения троянскими программами. Хорошие антивирусы стоят денег, причем ежегодно, но только они позволят своевременно выявить факт заражения и вылечить компьютер. Некоторые банки предлагают оформление подписки на антивирус всем пользователям интернет-банкинга с ежемесячным списанием оплаты. Важно помнить, что просто купить и установить антивирус недостаточно — нужно следить за его своевременным обновлением, особенно если вы пользуетесь интернет-банкингом с ноутбука, не постоянно подключенного к Интернету.
Внешние признаки дистанционного фрода сводятся к нетипичному поведению интернет-банка. К примеру, подключение к интернет-банку про протоколу HTTP свидетельствует о фишинге, все системы ДБО используют защищенные протоколы (адрес в адресной строке браузера должен начинаться с https://). Сообщение браузера о некорректном сертификате интернет-банка — еще один верный признак фишинга, таких ошибок IT-службы банков не совершают.
Дополнительные факторы аутентификации бывают разные: одноразовые пароли, аппаратные ключи или же звонок клиенту из банка. Если говорить о физических лицах, то в данный момент для них наиболее актуальны одноразовые пароли. Увы, мошенники отлично научились обходить этот способ защиты.
СМС-дыра в защите
Самый часто используемый способ доставки TAN клиенту — СМС-сообщения. Более того, некоторые банки и альтернатив не предлагают: СМС — и только они! К сожалению, в настоящее время это уже не столько средство защиты, сколько источник рисков. Злоумышленники освоили множество методов перехвата СМС-сообщений.
Заражение смартфона мобильным вирусом. Широкое распространение смартфонов сделало возможным получение TAN с помощью мобильного вредоносного приложения. Делается это очень просто: получив доступ к интернет-банку с помощью фишинга, мошенник узнает телефонный номер пользователя и отправляет на него СМС с фишинговой ссылкой. Если беспечный пользователь кликнет по этой ссылке — дело сделано, смартфон заражен, и все TAN незамедлительно будет получать преступник.
Замена сим-карты в салоне связи. Во многих случаях сотрудники салона связи выпустят вам новую сим-карту на указанный вами номер даже без предъявления документов. Чаще всего достаточно просто знать имя владельца. Автору и самому как-то удалось поменять так карту в фирменном салоне МТС. Да, по правилам это делается строго с предъявлением паспорта, но за такое нарушение сотрудники салона зачастую не несут никакой ответственности. Им проще сделать перевыпуск карты, чем спорить с возмущенным клиентом, «забывшим» принести с собой паспорт. Многие банки, но не все, защищаются от этого привязкой к идентификатору сим-карты. В этих случаях замена сим-карты вызовет блокировку интернет-банка до получения подтверждения от клиента по телефону или личным визитом в филиал.
Включение переадресации СМС. Многие легкомысленно относятся к безопасности своего личного кабинета в системе оператора связи, устанавливая пароли, которые легко подбираются. Практически все операторы предлагают услугу переадресации СМС-сообщений, что позволяет злоумышленникам перехватывать одноразовые пароли.
На данный момент именно фишинг с перехватом СМС — самый популярный способ дистанционного ограбления физических лиц. «Народный рейтинг» показывает поистине ужасающую картину: большинство банков не могут защитить своих клиентов от мошенничеств такого рода, более того, стремятся переложить ответственность на клиента.
Клиент Сбербанка лишился 90 тыс. рублей, причем факт перевыпуска сим-карты не был им даже замечен — пострадавший посчитал, что карта вышла из строя.
Случай, произошедший в сентябре этого года с клиентом «Русского Стандарта», стоил клиенту 300 тыс. рублей. Доступ к СМС-сообщениям мошенники получили, перевыпустив сим-карту в одном из офисов «МегаФона» по фальшивой доверенности. По той же доверенности, судя по всему, злоумышленники выпустили и получили в банке новую пластиковую карту, перевели на нее все средства пострадавшего и сняли через банкоматы.
Похожий инцидент произошел годом ранее с клиентом Сбербанка. Сим-карта MTC была перевыпущена без каких-либо документов, пострадавший лишился 100 тыс. рублей. Несмотря на наличие в ДБО Сбербанка привязки к сим-карте, в этом случае, как и во многих других, она не сработала.
Защита со стороны банка
К счастью, многие банки стремятся помочь пользователю защититься от дистанционного фрода. Что может сделать банк, помимо снабжения пользователя техническими средствами защиты и дополнительными факторами аутентификации? Последней линией обороны являются экспертные антифрод-системы.
Задача такой системы проста — определить нетипичное поведение пользователя. Для этого используется комплекс из нескольких десятков критериев, в соответствии с которым оценивается подозрительность операции. К примеру, если пользователь внезапно решил перевести все имеющиеся средства на реквизиты, на которые раньше никаких оплат не совершал, система приостановит выполнение операции и даст сигнал оператору. Оператор проконтролирует операцию и при необходимости позвонит клиенту с запросом подтверждения.
К сожалению, это тоже не панацея, так как приходится очень точно соблюдать баланс между безопасностью и удобством. Если установить слишком жесткие критерии — будет много ложных срабатываний, из-за чего многие легитимные операции будут выполняться со значительной задержкой, а клиента замучают звонками из банка. Обычный клиент, не слишком озабоченный безопасностью, от таких трудностей вскоре просто сбежит в другой банк.
Слишком мягкие критерии понизят эффективность системы — клиент не получит полагающейся защиты от фрода. Кроме того, для эффективной работы такая фрод-система требует от банка содержания соответствующего штата операторов. Излишне говорить, что эти расходы в конечном итоге ложатся на плечи клиентов банка.
Шилов рассказал о последней новинке в этой области: «Будущее, без сомнения, за системами адаптивной аутентификации. Наши банки такого пока не практикуют, но многие крупные мировые банки уже внедрили новый подход». В отличие от классических систем аутентификации, адаптивные могут варьировать количество факторов в зависимости от подозрительности операции. В большинстве случаев от клиента будет требоваться однократный элементарный ввод логина и пароля, что позволит легко и просто совершать простые типовые операции (оплата квартплаты и т. д.). При получении сигнала от антифрод-системы адаптивная система тут же запросит аутентификации по дополнительным факторам — одноразовый пароль, звонок в банк и т. д. За счет этого соблюдается оптимальный баланс между безопасностью и удобством.
Так или иначе, а панацеи от мошенничества не существует. Где тонко, там и рвется, — для уверенности в безопасности ваших средств необходима оборона на всех уровнях — от вашего банка до вашего компьютера. И, главное, никогда не теряйте бдительности.
Михаил ДЬЯКОВ,