1. Класифікація та способи
2. Жертви злому онлайн-банку
3. Джерела атак на онлайн-банки
4. аналіз ризику

Злом онлайн-банку - отримання доступу до грошових рахунків громадян за допомогою шкідливих програм або шахрайських дій через несанкціонований доступ до системи дистанційного банківського обслуговування (ДБО).

Однак швидкість, з якою випускаються нові продукти, може зіграти злий жарт. Якщо при розробці веб-додатки не було достатньо уваги приділено безпеці, то сторонні зловмисники цілком можуть втрутитися в роботу онлайн-банкінгу і пограбувати компанію-клієнта на чутливі суми. Таким чином, злом онлайн-банкінгу - це виконання зловмисниками несанкціонованих транзакцій від імені клієнта.

При тому банк має обмежений вплив на клієнта в частині забезпечення безпеки. Наприклад, банк не може навчити співробітників клієнта правильно зберігати паролі від системи онлайн-банкінгу або електронні сертифікати, перевіряти свої комп'ютери на віруси і виявляти іншу шкідливу активність. Тому в договорах з банком зазвичай написано, що відповідальність за недотримання вимог безпеки лежить на клієнті, що не дозволяє клієнтам в разі інцидентів отримувати відшкодування збитків. Тому компанії і фізичні особи, вибираючи банки з можливістю дистанційного обслуговування через веб, повинні перевіряти які інструменти захисту банк може вам надати.

Класифікація та способи

Методи злому онлайн-банкінгу, аналогічні методам злому будь-якого веб-додатки:

• Фішинг. Розсилка спаму або публікація на форумах посилань на ресурси, що імітують платіжний інтерфейс банку. Якщо жертва переходить по такому посиланню, у неї виманюють пароль і інша ідентифікаційна інформація, необхідна для здійснення транзакції з її рахунку. Для блокування цієї атаки не рекомендується переходити по надіслали або опублікованими на сторонніх сайтах посиланнях - тільки прямий набір адреси або перехід з закладок з перевіркою наявності захищеного режиму браузера (використання протоколу HTTPS з правильним написанням імені банку в сертифікаті).
• Крадіжка особистих ідентифікатори (особистості) . У системах інтернет-банкінгу зазвичай виконується аутентифікація по паролю, перехоплення якого дозволяє ініціювати деякі дії. Крім того, в веб-додатках є можливість крадіжки куки (ідентифікатора сесії), що при певних обставинах дозволяє зловмисникові втрутитися в сесію легітимного раніше авторизованого користувача. Правда, банки зараз використовують досить складні системи аутентифікації, що використовують різні коди підтвердження. Однак при певних обставинах вони можуть бути перехоплені, що дозволяє зловмисникам за певних обставин ініціювати несанкціоновані транзакції. Зазвичай для цього використовуються шкідливі програми, які працюють на пристрої користувача і втручаються в роботу програми-клієнта. Для захисту від такого способу нападу рекомендується встановлювати антивірусні програми і використовувати кваліфіковані сертифікати з генерацією підписи на зовнішньому пристрої.
• Злом веб-сайту банку. Оскільки онлайн-банк - це веб-додаток, то в ньому можуть бути помилки, які дозволяють за допомогою спеціально підготовлених посилань або впроваджених JavaScript маніпулювати з інтерфейсом програми. Мета такого маніпулювання в тому, щоб або перенаправити гроші на інший рахунок, або нав'язати якісь сторонні транзакції, або навіть блокувати інтерфейс і вимагати викуп за повернення контролю над ним. Якщо не переходити за посиланнями з неперевірених джерел і не відкривати онлайн-банку після сторонніх сайтів, то можна уникнути подібної атаки. З боку банку рекомендується провести аудит коду веб-додатків на предмет класичних помилок веб-додатків.
• Соціальна інженерія. Власне, зловмисники можуть використовувати в тому числі і обман, щоб змусити вас зробити непотрібну вам транзакцію. Наприклад, зафіксовані випадки, коли зловмисники, представившись співробітниками ІТ-департаменту банку, просили згенерувати "тестові" транзакції нібито для налагодження програми. При цьому навіть не обов'язково порушувати роботу банківського додатка - непідготовлений до такої атаки співробітник може зробити все самостійно без необхідності злому додатки або перехоплення контролю над додатком. Для захисту від подібних атак найкраще не довіряти контроль над корпоративним рахунком одній людині, але розділяти повноваження з підготовки транзакцій, перевірці їх коректності та виконання різних співробітникам, хоча б один з яких повинен мати кваліфікацію в інформаційній безпеці.
• DDoS-атака. Зловмисники можуть вивести з ладу онлайн-банк. Наприклад, якщо видалити секретний ключ сертифіката, то клієнт не зможе підключитися до банку. Виведення з ладу веб-сайту зазвичай використовується для приховування іншої атаки, щоб атакований клієнт не міг помітити крадіжки грошей і не спробував заблокувати несанкціоновану транзакцію. Тому якщо веб-інтерфейс виявився недоступний, то це привід спробувати перевірити стан свого рахунку в інший спосіб - можливо ваш клієнт заблокований спеціальним шкідливий.

Жертви злому онлайн-банку

Основним об'єктом впливу в даному випадку є веб-додаток банку - саме його атакують зловмисники, намагаючись підробитися під легітимну транзакцію. Однак банки і їх співробітники вже достатньо кваліфіковані як в інформаційних технологіях, так і в ІБ. Тому хакери зазвичай атакують слабка ланка - клієнтів або їх комп'ютери. У більшості випадків, це виявляється більш ефективно, ніж атакувати інформаційну систему банків. Втім, цілком можлива атака на банк через клієнта - за допомогою вставки шкідливого коду в цілком легальну і передбачувану переписку банку з клієнтом.

Користувачеві клієнта онлайн-банку важливо розуміти що відбувається з додатком, коли відбувається транзакція - будь-які підозрілі дії додатка варто розцінювати як спробу шахрайства. Рекомендується не вводити ідентифікаційної інформації в підозрілі форми, перевіряти надійність HTTPS-з'єднання і контролювати шкідливу активність інших додатків. Також варто мати другий фактор ідентифікації, незалежний від веб-додатки, наприклад, отримання одноразових паролів по SMS. Крім того, варто відкривати додаток з закладок, а не по посиланнях з надісланих повідомлень.

Джерела атак на онлайн-банки

Зловмисники полюють за ідентифікаційними даними банківських веб-додатків, щоб спробувати отримати доступ до грошей клієнтів, які таким додатком користуються. Проблема посилюється тим, що спочатку протокол HTTP не був розрахований на створення захищених додатків - в основному для показу окремих сторінок. Механізми, що забезпечують цілісність транзакцій і сесій, з'явилися в ньому недавно і є не обов'язковими розширеннями. Зокрема, куки, які як раз і призначені для збереження інформації про сесіях, є не обов'язковими для браузерів. У той же час злодійство цього ідентифікатора дозволяє зловмисникам втрутитися в роботу програми і здійснювати несанкціоновані дії - розробникам сайтів необхідно мати це на увазі при розробці додатків.

При цьому засоби захисту на стороні банку можуть зажадати чималих ресурсів. Навіть простий перехід всього сайту банку на захищений варіант протоколу HTTPS є складним завданням, що вимагає перетворення сайту, не кажучи вже про навантаження, яке створює шифрування при його масовому використанні. Традиційно, захищають тільки найбільш критичні місця веб-додатків, а велика частина сайтів банків залишається незахищеною. Сучасні браузери мають візуальні мітки для оцінки захищеності з'єднання, і користувачі повинні б за ними стежити.

У той же час спливаючі вікна та інші елементи веб-інтерфейсу не завжди мають візуальну атрибутику самого сайту - користувач не може гарантовано визначити до якого сайту яке вікно відноситься, що дозволяє зловмисникам відкрити поверх сайтів банків власні запити ідентифікаційної інформації, які візуально складно відрізнити від легітимних . Обман користувача за допомогою маніпуляцій з веб-інтерфейсом і створює загрозу для веб-додатків, що вимагають захисту від витоку важливої ​​інформації. Саме в цій площині йде змагання між розробниками додатків, які намагаються запропонувати користувачам нові інструменти захисту від маніпуляцій веб-інтерфейсом, і хакерами, придумати нові методи обходу цих інструментів. Найбільш ефективним інструментом зараз є вихід за межі веб-інтерфейсу за допомогою SMS-повідомлень і контрольних дзвінків, але хакери вже починають адаптувати і ці механізми для своїх цілей.

аналіз ризику

Власне, захист онлайн-банку потрібна з двох сторін - від самого банку і від клієнта. Основна мета захисту з боку банку - виявити і блокувати маніпулювання зі своїм веб-додатком і переданим трафіком. Найкраще для цього використовувати захищений протокол HTTPS, для чого варто встановити зворотний проксі, який буде займатися розшифровкою трафіку користувачів. Іноді такі проксі також виконують функції надійної аутентифікації користувачів, ідентифікації пристроїв і виконують функції Web Application Firewall (WAF). Вони ж можуть виконувати завдання балансування навантаження, оптимізації завантаження програми і інші, не пов'язані прямо з безпекою, але корисними для оптимізації веб-додатків. Доброю практикою є пропозиція клієнтам технології двофакторної аутентифікації за допомогою спеціальних апаратних токенів, розпізнавання осіб і голосу, одноразових паролів, які присилаються по SMS, і інших методів. Краще якщо клієнт може самостійно вибрати для себе найбільш зручний і прийнятний за вартістю метод додаткової аутентифікації.

Окремо варто згадати про механізми перевірки на маніпулювання середовищем виконання браузера. Для цього можна використовувати, наприклад, технологію SSL-антивіруса - спеціального скрипта, скануючого оточення користувача на предмет виявлення шкідливої ​​активності. Крім того, можна фіксувати відбиток обладнання, з якого користувач завантажує веб-додаток. Якщо він заходить з пристрою, який раніше не використовував, то варто попросити його пройти додаткову перевірку і вказати цей пристрій як власне. Деякі виробники засобів захисту пропонують подібні інструменти контролю призначеного для користувача середовища виконання веб-додатки.

Для клієнтів важливо забезпечити захист від шкідливої ​​активності - перевіряти свій пристрій антивірусом, працювати з сайтом банку в захищеному режимі, а краще взагалі з браузера з мінімальним набором доповнень, також не зайвим буде використання двофакторної аутентифікації, при якій зловмисник не зможе увійти в онлайн-банк навіть при крадіжці пароля. Вона може бути збудують на різних технологіях - токени, біометрія, смс-коди, OTP. Варто також кожен раз не лінуватися і перевіряти правильність написання імені банку в сертифікаті HTTPS, а також конструкцію URL, щоб вона не була занадто складною і обтяжений додатковими параметрами - це дозволяє зробити будь-який браузер. А деякі антивіруси можуть виконувати цю роботу за клієнта і пропонують підключатися до сайтів банків з перевіркою їх достовірності. Наприклад, такий режим у "Лабораторії Касперського" називається "Безпечні платежі". Слід зазначити, що клієнт відповідає за свої гроші, тому варто вибирати банки, які піклуються про безпеку своїх веб-додатків: мають додаткові функції по суворої двухфакторнуой аутентифікації, пропонують механізми контролю середовища виконання, працюють повністю в захищеному режимі, тобто використовують у своїй роботі інструменти, які описані вище в цьому розділі.