Без шума и пыли

Современные банки стараются фокусироваться на дистанционном обслуживании клиентов. Это удобно для банков и добросовестных пользователей, однако предоставляет новые возможности для мошенников. Портал Банки.ру выяснил, как происходят дистанционные ограбления и как от них защититься. Для клиента дистанционное банковское обслуживание (ДБО) экономит время — все нужные операции можно сделать с домашнего или рабочего компьютера, а то и с планшета или смартфона.

Для мошенников ДБО обеспечивает безопасность — не нужно приходить в банк, предъявлять поддельные документы и «светить» лицом перед камерами. Кроме того, дистанционные ограбления можно выполнять массово, собирая миллионы рублей с чужих счетов за ограниченный срок и без особого риска. Такую деятельность обычно называют фродом.

Бизнес дистанционного фрода хорошо организован. Каждым этапом мошеннической операции занимаются люди, ничем, кроме финансовых потоков, друг с другом не связанные. Одни люди разрабатывают вредоносное ПО и продают его всем желающим, другие занимаются распространением вирусов, а третьи выполняют атаку на чужие банковские счета.

Как нас грабят

Атаки условно можно разделить на три способа — фишинг, «человек посередине» и захват управления компьютером. Первый, наиболее простой, заключается в подмене сайта банка или интернет-магазина на очень похожий сайт злоумышленников. Если ваш компьютер заражен специальной троянской программой, она может подменить IP-адрес вашего интернет-банкинга. В адресной строке вы будете видеть привычный адрес, а в браузер загрузится мошеннический сайт. Есть и другой вариант, не требующий заражения компьютера: пользователю присылается письмо якобы от банка с просьбой зайти в интернет-банк по указанной ссылке и проделать якобы необходимые действия.

Пользователь, ничего не подозревая, вводит свои логин и пароль, и они попадают к злоумышленникам. Для совершения каких-либо операций этого недостаточно, ведь банк, скорее всего, потребует одноразовый пароль. И тут вступают в дело методы социальной инженерии.

Чаще всего это делается так: поддельный сайт интернет-банкинга после ввода логина и пароля сообщает о технических проблемах при входе и просит ввести пароль, присланный вам по СМС, указанный на специальной пластиковой карточке, или созданный выданным вам в банке генератором паролей. В это же время злоумышленник, воспользовавшись украденными логином и паролем, заходит в интернет-банк и создает нужную ему операцию. Пользователь послушно вводит пароль в окно поддельного сайта, а мошенник сообщает его банку и мошенническая трансакция выполняется.

Второй метод, называемый специалистами «человек посередине», чуть сложнее. В этом сценарии пользователь заходит с зараженного компьютера в свой интернет-банкинг и совершает какую-либо операцию. Для него все выглядит как обычно, но троянская программа перехватывает и изменяет данные, которыми обмениваются пользователь и банк. Реквизиты подменяются на нужные мошенникам, сумма изменяется так, чтобы перевести со счета все доступные средства, но пользователь этого не видит, ему троянец показывает только те данные, которые он вводит сам.

И, наконец, третий метод позволяет злоумышленнику получить управление компьютером, с которого выполняется работа с системой ДБО. Чаще всего так обкрадывают компании — системы ДБО для юридических лиц, выполняющих десятки и сотни операций со счетами в день, обычно используют не одноразовые пароли, а разного рода аппаратные ключи: USB-токены, смарт-карты и т. д. Это облегчает жизнь не только бухгалтерам, но и мошенникам.

Определив по косвенным признакам, что в данный момент компьютер не используется, мошенник подключается к нему и пользуется им точно так же, как если бы физически сидел за этим компьютером. Если сотрудник бухгалтерии, отойдя от компьютера, не извлек свой ключ, деньги компании уйдут в неизвестном направлении за очень короткий срок.

Защита со стороны клиента

Есть несколько способов защиты против дистанционного фрода: технические средства защиты, дополнительные факторы аутентификации, выполнение рекомендаций по информационной безопасности и знание клиентом внешних признаков мошенничества.

Технические средства защиты — это, прежде всего антивирусные программы, защищающие компьютер от заражения троянскими программами. Хорошие антивирусы стоят денег, причем ежегодно, но только они позволят своевременно выявить факт заражения и вылечить компьютер. Некоторые банки предлагают оформление подписки на антивирус всем пользователям интернет-банкинга с ежемесячным списанием оплаты. Важно помнить, что просто купить и установить антивирус недостаточно — нужно следить за его своевременным обновлением, особенно если вы пользуетесь интернет-банкингом с ноутбука, не постоянно подключенного к Интернету.

Внешние признаки дистанционного фрода сводятся к нетипичному поведению интернет-банка. К примеру, подключение к интернет-банку про протоколу HTTP свидетельствует о фишинге, все системы ДБО используют защищенные протоколы (адрес в адресной строке браузера должен начинаться с https://). Сообщение браузера о некорректном сертификате интернет-банка — еще один верный признак фишинга, таких ошибок IT-службы банков не совершают.

Дополнительные факторы аутентификации бывают разные: одноразовые пароли, аппаратные ключи или же звонок клиенту из банка. Если говорить о физических лицах, то в данный момент для них наиболее актуальны одноразовые пароли. Увы, мошенники отлично научились обходить этот способ защиты.

СМС-дыра в защите

Самый часто используемый способ доставки одноразового пароля клиенту — СМС-сообщения. Более того, некоторые банки и альтернатив не предлагают: СМС — и только они! К сожалению, в настоящее время это уже не столько средство защиты, сколько источник рисков. Злоумышленники освоили множество методов перехвата СМС-сообщений.

Заражение смартфона мобильным вирусом. Широкое распространение смартфонов сделало возможным получение пароля с помощью мобильного вредоносного приложения. Делается это очень просто: получив доступ к интернет-банку с помощью фишинга, мошенник узнает телефонный номер пользователя и отправляет на него СМС с фишинговой ссылкой. Если беспечный пользователь кликнет по этой ссылке — дело сделано, смартфон заражен, и все пароли будет получать преступник.

Замена сим-карты в салоне связи. Во многих случаях сотрудники салона связи выпустят вам новую сим-карту на указанный вами номер даже без предъявления документов. Чаще всего достаточно просто знать имя владельца. Автору и самому как-то удалось поменять так карту в фирменном салоне МТС. Да, по правилам это делается строго с предъявлением паспорта, но за такое нарушение сотрудники салона зачастую не несут никакой ответственности. Им проще сделать перевыпуск карты, чем спорить с возмущенным клиентом, «забывшим» принести с собой паспорт. Многие банки, но не все, защищаются от этого привязкой к идентификатору сим-карты. В этих случаях замена сим-карты вызовет блокировку интернет-банка до получения подтверждения от клиента по телефону или личным визитом в филиал.

Включение переадресации СМС. Многие легкомысленно относятся к безопасности своего личного кабинета в системе оператора связи, устанавливая пароли, которые легко подбираются. Практически все операторы предлагают услугу переадресации СМС-сообщений, что позволяет злоумышленникам перехватывать одноразовые пароли.

На данный момент именно фишинг с перехватом СМС — самый популярный способ дистанционного ограбления физических лиц.

Защита со стороны банка

К счастью, многие банки стремятся помочь пользователю защититься от дистанционного фрода. Новой линией обороны являются экспертные антифрод-системы.

Задача такой системы проста — определить нетипичное поведение пользователя, для чего используется комплекс из нескольких десятков критериев, в соответствии с которым оценивается подозрительность операции. К примеру, если пользователь внезапно решил перевести все имеющиеся средства на реквизиты, на которые раньше никаких оплат не совершал, система приостановит выполнение операции и даст сигнал оператору. Оператор проконтролирует операцию и при необходимости позвонит клиенту с запросом подтверждения.

К сожалению, это тоже не панацея, так как приходится очень точно соблюдать баланс между безопасностью и удобством. Если установить слишком жесткие критерии — будет много ложных срабатываний, из-за чего многие легитимные операции будут выполняться со значительной задержкой, а клиента замучают звонками из банка. Обычный клиент, не слишком озабоченный безопасностью, от таких трудностей вскоре просто сбежит в другой банк.

Слишком мягкие критерии понизят эффективность системы — клиент не получит полагающейся защиты от фрода. Кроме того, для эффективной работы такая система требует от банка содержания соответствующего штата операторов. Излишне говорить, что эти расходы в конечном итоге ложатся на плечи клиентов банка.

Панацеи от мошенничества не существует. Где тонко, там и рвется, — для уверенности в безопасности ваших средств необходима оборона на всех уровнях — от вашего банка до вашего компьютера. И, главное, никогда не теряйте бдительности.