<
  • Главная
Статьи

Злом онлайн-банку

  1. Класифікація та способи
  2. Жертви злому онлайн-банку
  3. Джерела атак на онлайн-банки
  4. аналіз ризику

Злом онлайн-банку - отримання доступу до грошових рахунків громадян за допомогою шкідливих програм або шахрайських дій через несанкціонований доступ до системи дистанційного банківського обслуговування (ДБО).

Банки намагаються максимально швидко запропонувати своїм клієнтам зручні механізми управління своїм рахунком, особистим кабінетом і максимально зручно організувати фінансову взаємодію клієнтів з їх контрагентами. Для цього розробляються спеціальні веб-додатки, які і дозволяють клієнтам здійснювати маніпуляції зі своїми активами, що зберігаються в банку. Веб-додатки, які дозволяють не тільки отримувати довідкову інформацію по рахунках, але і давати банку доручення про рух грошових коштів, називаються онлайн-банкінгом.

Однак швидкість, з якою випускаються нові продукти, може зіграти злий жарт. Якщо при розробці веб-додатки не було достатньо уваги приділено безпеці, то сторонні зловмисники цілком можуть втрутитися в роботу онлайн-банкінгу і пограбувати компанію-клієнта на чутливі суми. Таким чином, злом онлайн-банкінгу - це виконання зловмисниками несанкціонованих транзакцій від імені клієнта.

При тому банк має обмежений вплив на клієнта в частині забезпечення безпеки. Наприклад, банк не може навчити співробітників клієнта правильно зберігати паролі від системи онлайн-банкінгу або електронні сертифікати, перевіряти свої комп'ютери на віруси і виявляти іншу шкідливу активність. Тому в договорах з банком зазвичай написано, що відповідальність за недотримання вимог безпеки лежить на клієнті, що не дозволяє клієнтам в разі інцидентів отримувати відшкодування збитків. Тому компанії і фізичні особи, вибираючи банки з можливістю дистанційного обслуговування через веб, повинні перевіряти які інструменти захисту банк може вам надати.

Класифікація та способи

Методи злому онлайн-банкінгу, аналогічні методам злому будь-якого веб-додатки:

  • Фішинг. Розсилка спаму або публікація на форумах посилань на ресурси, що імітують платіжний інтерфейс банку. Якщо жертва переходить по такому посиланню, у неї виманюють пароль і інша ідентифікаційна інформація, необхідна для здійснення транзакції з її рахунку. Для блокування цієї атаки не рекомендується переходити по надіслали або опублікованими на сторонніх сайтах посиланнях - тільки прямий набір адреси або перехід з закладок з перевіркою наявності захищеного режиму браузера (використання протоколу HTTPS з правильним написанням імені банку в сертифікаті).
  • Крадіжка особистих ідентифікатори (особистості) . У системах інтернет-банкінгу зазвичай виконується аутентифікація по паролю, перехоплення якого дозволяє ініціювати деякі дії. Крім того, в веб-додатках є можливість крадіжки куки (ідентифікатора сесії), що при певних обставинах дозволяє зловмисникові втрутитися в сесію легітимного раніше авторизованого користувача. Правда, банки зараз використовують досить складні системи аутентифікації, що використовують різні коди підтвердження. Однак при певних обставинах вони можуть бути перехоплені, що дозволяє зловмисникам за певних обставин ініціювати несанкціоновані транзакції. Зазвичай для цього використовуються шкідливі програми, які працюють на пристрої користувача і втручаються в роботу програми-клієнта. Для захисту від такого способу нападу рекомендується встановлювати антивірусні програми і використовувати кваліфіковані сертифікати з генерацією підписи на зовнішньому пристрої.
  • Злом веб-сайту банку. Оскільки онлайн-банк - це веб-додаток, то в ньому можуть бути помилки, які дозволяють за допомогою спеціально підготовлених посилань або впроваджених JavaScript маніпулювати з інтерфейсом програми. Мета такого маніпулювання в тому, щоб або перенаправити гроші на інший рахунок, або нав'язати якісь сторонні транзакції, або навіть блокувати інтерфейс і вимагати викуп за повернення контролю над ним. Якщо не переходити за посиланнями з неперевірених джерел і не відкривати онлайн-банку після сторонніх сайтів, то можна уникнути подібної атаки. З боку банку рекомендується провести аудит коду веб-додатків на предмет класичних помилок веб-додатків.
  • Соціальна інженерія. Власне, зловмисники можуть використовувати в тому числі і обман, щоб змусити вас зробити непотрібну вам транзакцію. Наприклад, зафіксовані випадки, коли зловмисники, представившись співробітниками ІТ-департаменту банку, просили згенерувати "тестові" транзакції нібито для налагодження програми. При цьому навіть не обов'язково порушувати роботу банківського додатка - непідготовлений до такої атаки співробітник може зробити все самостійно без необхідності злому додатки або перехоплення контролю над додатком. Для захисту від подібних атак найкраще не довіряти контроль над корпоративним рахунком одній людині, але розділяти повноваження з підготовки транзакцій, перевірці їх коректності та виконання різних співробітникам, хоча б один з яких повинен мати кваліфікацію в інформаційній безпеці.
  • DDoS-атака. Зловмисники можуть вивести з ладу онлайн-банк. Наприклад, якщо видалити секретний ключ сертифіката, то клієнт не зможе підключитися до банку. Виведення з ладу веб-сайту зазвичай використовується для приховування іншої атаки, щоб атакований клієнт не міг помітити крадіжки грошей і не спробував заблокувати несанкціоновану транзакцію. Тому якщо веб-інтерфейс виявився недоступний, то це привід спробувати перевірити стан свого рахунку в інший спосіб - можливо ваш клієнт заблокований спеціальним шкідливий.

Жертви злому онлайн-банку

Основним об'єктом впливу в даному випадку є веб-додаток банку - саме його атакують зловмисники, намагаючись підробитися під легітимну транзакцію. Однак банки і їх співробітники вже достатньо кваліфіковані як в інформаційних технологіях, так і в ІБ. Тому хакери зазвичай атакують слабка ланка - клієнтів або їх комп'ютери. У більшості випадків, це виявляється більш ефективно, ніж атакувати інформаційну систему банків. Втім, цілком можлива атака на банк через клієнта - за допомогою вставки шкідливого коду в цілком легальну і передбачувану переписку банку з клієнтом.

Користувачеві клієнта онлайн-банку важливо розуміти що відбувається з додатком, коли відбувається транзакція - будь-які підозрілі дії додатка варто розцінювати як спробу шахрайства. Рекомендується не вводити ідентифікаційної інформації в підозрілі форми, перевіряти надійність HTTPS-з'єднання і контролювати шкідливу активність інших додатків. Також варто мати другий фактор ідентифікації, незалежний від веб-додатки, наприклад, отримання одноразових паролів по SMS. Крім того, варто відкривати додаток з закладок, а не по посиланнях з надісланих повідомлень.

Джерела атак на онлайн-банки

Зловмисники полюють за ідентифікаційними даними банківських веб-додатків, щоб спробувати отримати доступ до грошей клієнтів, які таким додатком користуються. Проблема посилюється тим, що спочатку протокол HTTP не був розрахований на створення захищених додатків - в основному для показу окремих сторінок. Механізми, що забезпечують цілісність транзакцій і сесій, з'явилися в ньому недавно і є не обов'язковими розширеннями. Зокрема, куки, які як раз і призначені для збереження інформації про сесіях, є не обов'язковими для браузерів. У той же час злодійство цього ідентифікатора дозволяє зловмисникам втрутитися в роботу програми і здійснювати несанкціоновані дії - розробникам сайтів необхідно мати це на увазі при розробці додатків.

При цьому засоби захисту на стороні банку можуть зажадати чималих ресурсів. Навіть простий перехід всього сайту банку на захищений варіант протоколу HTTPS є складним завданням, що вимагає перетворення сайту, не кажучи вже про навантаження, яке створює шифрування при його масовому використанні. Традиційно, захищають тільки найбільш критичні місця веб-додатків, а велика частина сайтів банків залишається незахищеною. Сучасні браузери мають візуальні мітки для оцінки захищеності з'єднання, і користувачі повинні б за ними стежити.

У той же час спливаючі вікна та інші елементи веб-інтерфейсу не завжди мають візуальну атрибутику самого сайту - користувач не може гарантовано визначити до якого сайту яке вікно відноситься, що дозволяє зловмисникам відкрити поверх сайтів банків власні запити ідентифікаційної інформації, які візуально складно відрізнити від легітимних . Обман користувача за допомогою маніпуляцій з веб-інтерфейсом і створює загрозу для веб-додатків, що вимагають захисту від витоку важливої ​​інформації. Саме в цій площині йде змагання між розробниками додатків, які намагаються запропонувати користувачам нові інструменти захисту від маніпуляцій веб-інтерфейсом, і хакерами, придумати нові методи обходу цих інструментів. Найбільш ефективним інструментом зараз є вихід за межі веб-інтерфейсу за допомогою SMS-повідомлень і контрольних дзвінків, але хакери вже починають адаптувати і ці механізми для своїх цілей.

аналіз ризику

Власне, захист онлайн-банку потрібна з двох сторін - від самого банку і від клієнта. Основна мета захисту з боку банку - виявити і блокувати маніпулювання зі своїм веб-додатком і переданим трафіком. Найкраще для цього використовувати захищений протокол HTTPS, для чого варто встановити зворотний проксі, який буде займатися розшифровкою трафіку користувачів. Іноді такі проксі також виконують функції надійної аутентифікації користувачів, ідентифікації пристроїв і виконують функції Web Application Firewall (WAF). Вони ж можуть виконувати завдання балансування навантаження, оптимізації завантаження програми і інші, не пов'язані прямо з безпекою, але корисними для оптимізації веб-додатків. Доброю практикою є пропозиція клієнтам технології двофакторної аутентифікації за допомогою спеціальних апаратних токенів, розпізнавання осіб і голосу, одноразових паролів, які присилаються по SMS, і інших методів. Краще якщо клієнт може самостійно вибрати для себе найбільш зручний і прийнятний за вартістю метод додаткової аутентифікації.

Окремо варто згадати про механізми перевірки на маніпулювання середовищем виконання браузера. Для цього можна використовувати, наприклад, технологію SSL-антивіруса - спеціального скрипта, скануючого оточення користувача на предмет виявлення шкідливої ​​активності. Крім того, можна фіксувати відбиток обладнання, з якого користувач завантажує веб-додаток. Якщо він заходить з пристрою, який раніше не використовував, то варто попросити його пройти додаткову перевірку і вказати цей пристрій як власне. Деякі виробники засобів захисту пропонують подібні інструменти контролю призначеного для користувача середовища виконання веб-додатки.

Для клієнтів важливо забезпечити захист від шкідливої ​​активності - перевіряти свій пристрій антивірусом, працювати з сайтом банку в захищеному режимі, а краще взагалі з браузера з мінімальним набором доповнень, також не зайвим буде використання двофакторної аутентифікації, при якій зловмисник не зможе увійти в онлайн-банк навіть при крадіжці пароля. Вона може бути збудують на різних технологіях - токени, біометрія, смс-коди, OTP. Варто також кожен раз не лінуватися і перевіряти правильність написання імені банку в сертифікаті HTTPS, а також конструкцію URL, щоб вона не була занадто складною і обтяжений додатковими параметрами - це дозволяє зробити будь-який браузер. А деякі антивіруси можуть виконувати цю роботу за клієнта і пропонують підключатися до сайтів банків з перевіркою їх достовірності. Наприклад, такий режим у "Лабораторії Касперського" називається "Безпечні платежі". Слід зазначити, що клієнт відповідає за свої гроші, тому варто вибирати банки, які піклуються про безпеку своїх веб-додатків: мають додаткові функції по суворої двухфакторнуой аутентифікації, пропонують механізми контролю середовища виконання, працюють повністю в захищеному режимі, тобто використовують у своїй роботі інструменти, які описані вище в цьому розділі.



Новости
    Без плагина
    На сайте WordPress имеется файл, именуемый как .htaccess. Многие пользователи не предают ему особого внимания и не используют все его возможности. На самом деле файл .htaccess – это дополнительные конфигурации

    Плагин подписки wordpress
    Очень трудно найти один плагин подписки wordpress , который объединил бы в себе все виды подписок, которые так необходимы сайту. Именно поэтому я решил сделать подборку лучших плагинов, которые смогут

    Слайд-шоу с помощью плагина для WordPress UnPointZero Slider
    Плагин для cms WordPress UnPointZero Slider – новостной слайдер. Он отражает в форме слайд-шоу изображения со ссылками на ваши статьи и краткие выдержки оттуда. Его можно установить и на новостной сайт,

    Плагины для Wordpress
    С помощью этого плагина вы легко сможете интегрировать Google диск на ваш WordPress сайт или блог . Gravity Forms — лучший плагин для создания форм на WordPress, от самых простых (например, форма

    Подписки плагином JetPack: размещение и редакция формы подписки
    Вступление Здравствуйте! В этой статье я покажу, как использовать плагин JetPack для создания пользовательской формы подписки и как эту формы подписки плагином JetPack добавлять в статьи сайта, а при

    Чистка сайта WordPress плагином WP-optimize
    От автора Со временем использования система WordPress накапливает не нужные файлы, комментарии и неиспользуемые данные в базе данных. Эти файлы и данные создаются в процессе работы и нужны для этого,

    Возможности Jetpack плагина
    Вступление Возможности Jetpack плагина это более 30 функциональных модуля плагина, делающего его универсальным плагином WordPress, заменяющего аналогичные сторонние плагины. Jetpack один заменяет десятки

    Резервное копирование WordPress сайта без плагинов
    Вступление Резервное копирование WordPress это второе, что нужно научиться делать после установки WordPress. Можно сколько угодно говорить о безопасности сайта и его защите, но лучшего варианта защиты

    Плагины на приват для Майнкрафт ПЕ
    > > Плагины на приват для Майнкрафт ПЕ Порой всем нам хочется попробовать себя в роли администратора сервера и испытать эту ответственность, но, к сожалению, вы не всегда все знаете о создании

    Плагин WordPress Database Backup. Архивация базы данных блога на WordPress
    Привет друзья! Сегодня на очереди еще один простой, НО, необходимый и полезный плагин — плагин WordPress Database Backup , который с легкостью и самостоятельно произведет процесс, который научно называется:

  • Виртуальный хостинг

    Виртуальный хостинг. Возможности сервера распределяются в равной мере между всеми... 
    Читать полностью

  • Редизайн сайта

    Редизайн сайта – это полное либо частичное обновление дизайна существующего сайта.... 
    Читать полностью

  • Консалтинг, услуги контент-менеджера

    Сопровождение любых интернет ресурсов;- Знание HTML и CSS- Поиск и обновление контента;-... 
    Читать полностью

  • Трафик из соцсетей

    Сравнительно дешевый способ по сравнению с поисковым и контекстным видами раскрутки... 
    Читать полностью

  • Поисковая оптимизация

    Поисковая оптимизация (англ. search engine optimization, SEO) — поднятие позиций сайта в результатах... 
    Читать полностью