Ирина Горбач | 04 сентября 2015

Как кибермошенники крадут ваши деньги в интернет-банкинге

«Пройдите по ссылке, чтобы обновить вашу учетную запись, иначе спустя 24 часа аккаунт будет заблокирован» – все больше таких писем от лица банков приходит на email пользователей интернет-банкинга. Но отправляют их не банки, а мошенники, которые, заполучив идентификационные данные, обнуляют счета. Bel.biz выяснил, насколько безопасно пользоваться интернет-банкингом в Беларуси и как защитить свои безналичные деньги от мошенников.

Развитие в стране системы безналичных расчетов – совместные усилия госорганов и участников финансового рынка. Согласно постановлению Совмина от 01.04.2013 № 246/4 к началу 2016 года доля безналичного денежного оборота в сфере торговли и платных услуг должна составить 50%. Финансовые институты всяческими способами будут стимулировать клиентов переходить к безналичным платежам. Как, например, было в мае 2015 года, когда банки начали брать комиссию за наличные платежи в отделениях, побуждая тем самым клиентов оплачивать «коммуналку», воду и телефон с помощью интернет-банкинга, SMS и других безналичных способов оплаты.

Сокращение оборота наличных денег – не просто модный тренд, а необходимость, от которой зависит здоровье экономики. Однако бумажные деньги в нашем сознании ассоциируются с безопасностью – мы можем контролировать работу с ними, а интернет для многих – мир, правила игры в котором не совсем ясны. Насколько реальна опасность?

Нас это касается?

Случаев мошенничества через системы удаленного клиентского обслуживания в Беларуси не было. Пока. Территория страны не так велика, да и культура оплаты в интернете недостаточно развита даже в сравнении с соседними Украиной и Россией. Но это не повод расслабляться. Увеличение оборота безналичных денег приблизит нас к тому дню, когда у нас появится первые случаи в статистике мошенничества через интернет-банкинг.

В России и Украине с интернет-мошенниками в сфере банковских безналичных платежей борются давно. В 2010 году 70 тысяч рублей (по тем временам около $2 тыс.) ушли в карман злоумышленников со счета клиентки «Альфа-банка». По словам пострадавшей, их украли после захода в систему «Альфа-клик» с компьютера друзей, на котором был вирус.

Как можно подхватить вирус?

Trojan.Hosts.1581 перенаправляет пользователя на фишинговый сайт, который внешне сложно отличить от оригинала. Что дальше, догадаться не трудно: клиент вводит пароли (передает их злоумышленнику), после чего его счет обнуляется.

Троян действует хитро: модифицировав системный файл hosts прописывает переадресацию на фишинговый сайт. После этого пользователь может набирать в строке браузера правильный адрес, но вирус автоматически перенаправляет его на вредоносный сайт, хотя в адресной строке по-прежнему остается адрес настоящего сайта.

Представители российского «Альфа-банка», комментируя случаи мошенничества, объяснили, что такой вирус их клиенты чаще всего подхватывают в соцсетях, на развлекательных порталах и на сайтах, предлагающих скачать бесплатное программное обеспечение.  Мошенники могут действовать и более изощренно, например, позвонить клиенту банка по телефону, и, представившись работниками службы поддержки банка, убедить клиента ввести несколько переменных кодов на подставном сайте.

«Письма счастья»

О другом варианте мошенничества, завязанного на использовании интернет-банкинга, рассказали эксперты антивирусной компании ESET. Пользователю на email приходит письмо от лица якобы банка с уведомлением о том, что клиент должен перейти по ссылке и обновить учетную запись на сайте (фишинговом, конечно же).

Кстати говоря, эту категорию виртуальных мошенников так и называют – фишеры (от англ. «fish» – рыба).

Кто виноват?

На первый взгляд кажется, что ответственность за потерю денег таким способом правильно возложить на мошенников или уж хотя бы нерадивых клиентов. Так, но не совсем. На самом деле, важную роль в обеспечении безопасности пользователей интернет-банкингом играют сами банки, которые с недавно стали в этом материально заинтересованы. Напомним, что с 5 августа в Беларуси работает принцип нулевой ответственности: за последствия мошеннических операций со счетами клиентов отвечает банк (т.е. возвращает украденные деньги). Принцип распространяется и на  операции, совершенные клиентом через интернет-банкинг, эту информацию подтвердили в Ассоциации белорусских банков.

Когда банку можно доверять

Для защиты платежных операций многие сайты (в том числе и банковские) сейчас используют цифровые сертификаты SSL – они защищают соединение между браузером пользователя и сервером сайта. Это означает, что в процесс передачи зашифрованных данных не может вмешаться третье лицо и украсть их. Для корректной работы каждого сертификата используются специальные протоколы, один из которых летом 2015 года был объявлен небезопасным и больше не обеспечивает должную защиту – в нем найдена критическая уязвимость. «Если сертификат установлен не корректно, в соединение может вмешаться посредник, который перехватит данные и может использовать их в мошеннических целях» – объясняет работу системы безопасности Евгений Мороз, продукт-менеджер компании ActiveCloud, которая оценила белорусские сайты интернет-банкинга на предмет безопасности. Специалисты компании протестировали сайты 27 белорусских банков с помощью инструмента проверки Qualys SSL Labs.

К сожалению, компания не раскрывает полных данных о результатах исследования, скрывая имена банков, оказавшихся в категории не очень надежных. Но каждый пользователь может самостоятельно проверить нужный сайт на этом ресурсе https://www.ssllabs.com/ssltest/

Наилучшую защиту своих интернет-банкингов, по оценке специалистов, обеспечивают БСБ Банк и МТБанк, получившие оценку «А» в SSL Server Test. Более 40% проверенных сайтов получили оценку «F» – это значит, что они не могут противостоять атакам DH (Diffie-Hellman), при которых злоумышленники могут читать, копировать и изменять данные, отправленные пользователем. В этой ситуации наибольшее опасение вызывают формы онлайн-заявок на кредит, с помощью которых клиенты отправляют на предварительное рассмотрение паспортные данные, информацию о доходах и месте проживания, контактные номера телефонов и так далее. Ряд банков получают данные из онлайн-форм по незащищенным каналам – со страниц своих сайтов без использования шифрования информации.

О том, что сайт использует сертификат безопасности, можно узнать по зеленой полоске рядом с адресом сайта или иконке с изображением замка

Сложно – значит безопасно?

Многие белорусские банки делают и другие шаги на встречу повышению безопасности, например, переходят к использованию двухфакторной аутентификации – это значит, что система, прежде, чем списать деньги с вашего счета, попросит ввести еще один сессионный пароль, – рассказывает Евгений.

Чаще всего, первый рубеж – это логин и пароль, второй – специальный код, который придет в SMS или на Email. Реже второй «слой» защиты запрашивает специальный USB-ключ или биометрические данные пользователя. «В Европе многие банки вместе с пластиковыми картами выдают специальный гаджет, который при нажатии кнопки генерирует одноразовый пароль для каждого входа в интернет-банкинг».

Около 10 белорусских банков используют технологию 3d-secure – на втором этапе аутентификации клиенту приходить SMS с кодом подтверждения операции. Компания Kaspersky называет двухфакторную аутентификацию системой доступа, основанной на двух «ключах»: одним вы владеете (телефон, на который приходит SMS с кодом), другой запоминаете (обычные логин и пароль).

Однако и эта технология не дает 100%-ной гарантии: одноразовый код может быть перехвачен компьютерными вирусами или другими способами. Именно одноразовые sms-пароли стали причиной недавнего инцидента с сервисом онлайн-банкинга крупного российского банка, пишет издание Ведомости. Злоумышленники воспользовались предоставляемой мобильными операторами услугой «переадресация sms», настроить которую можно в личном кабинете клиента на сайте оператора. Получить доступ к таким личным кабинетам труда не составило – их степень защиты существенно ниже, чем у онлайн-банкинга. Остальное было делом техники: перенаправляя sms-сообщения клиентов на свои номера, злоумышленники получали доступ к их учетным записям в интернет-банке и опустошали счета, переводя средства на счета подставных лиц – клиентов банка.

Признаемся: нас раздражают многоступенчатые системы доступа. Но практика двухфакторной аутентификации – общемировой тренд в сфере защиты персональных данных, который в ближайшее время подчинит себе и белорусские системы, связанные с виртуальными расчетами, считает Евгений. «Удивительно: мы подсознательно враждебно относимся к сложным системам аутентификации, но при этом выражаем беспокоимся о сохранности данных, хотя это не мешает некоторым хранить пароли на стикерах, приклеенных к монитору».

Как обезопасить себя?

В заключение – несколько советов о том, как не попасть в печальную статистику.

  • Прежде чем ввести свои данные на сайте банка, убедитесь, что это не фишинг. Мошенникам практически невозможно подделать зеленую строчку, но при этом часто они пользуются схожими с оригиналом доменными именами (отличие может быть всего в одной букве).
  • Используйте актуальные антивирусные базы.
  • Для оплаты мелких покупок можно использовать резервную карту, на которой установлен кредитный лимит, и переводить деньги непосредственно перед оплатой
  • Мобильные приложения обеспечивают более высокую степень безопасности, также как и клиент-банк на компьютере (однако в России уже зафиксирован первый случай мошенничества через мобильное приложение банка).

На Западе доля инцидентов в компаниях финансового сектора постепенно сокращается (за последние пять лет – на 80%), об этом говорят результаты Ежегодного исследования инцидентов в области информационной безопасности KPMG Data Loss Barometer. Добиться этого западным банкам позволило следование международным стандартам информационной безопасности (ISO 27001/27002, PCI DSS), регулярное проведение независимых оценок защищенности ИТ-инфраструктуры и веб-сервисов.




Будь в курсе событий
Подпишитесь на наш пятничный дайджест, чтобы не пропустить интересные материалы за неделю