Предотвращение мошенничества в системах дистанционного обслуживания банковских клиентов

С каждым днем увеличивается перечень услуг, доступных пользователям сети Интернет. Распространение мобильных устройств и увеличение доступности широкополосного интернета является благодатной почвой для бурного развития площадок интернет торговли. Использование систем дистанционного обслуживания предоставляет пользователям значительную гибкость в выборе и оплате услуг, позволяя поставщикам сократить операционные затраты, оптимизируя экономическую эффективность бизнеса. Однако, перенос банковской площадки в общедоступную сеть требует применения особых мер по обеспечению безопасности проведения транзакций.


По данным исследования, проведенного консалтинговой фирмой McKinsey & Company, около 90% атак на системы дистанционного обслуживания банковских клиентов проводится с помощью браузера (рис.1). Для перехвата и подмены аутентификационных данных пользователей применяется специально подготовленное вредоносное программное обеспечение. Для его распространения применяется ряд методов, направленных на использование действий пользователя в сети Интернет в корыстных целях. Заражение происходит в результате посещения преднамеренно инфицированных сайтов и рассылки зловредных программ и ссылок по электронной почте, заражающих компьютер при посещении или установке модифицированных приложений. Вредоносное программное обеспечение предназначено для сбора и отправки конфиденциальных данных, используемых пользователями для осуществления финансовых транзакций. Одним из самых распространенных методов получения информации является отслеживание нажатий клавиш и создания снимков экрана. Вредоносное программное обеспечение маскирует свои действия, осложняя поиск и борьбу антивирусам и специализированным антишпионским приложениям.


В настоящее время наиболее популярными среди злоумышленников являются атаки типа шпион в браузере, шпион в сети и фишинг (Рис.2).

Рис.1 Структура распределения угроз в системах дистанционного обслуживания


Атака «шпион в браузере» эксплуатирует уязвимости, предоставляющие возможность троянской программе интегрироваться с браузером и контролировать действия пользователя. Существующие уязвимости браузеров позволяют осуществлять подмену и кражу пользовательских данных при заполнении Web форм. Во время заполнения странички оплаты контроль над отправкой данных перехватывает троянская программа и осуществляет подмену размера оплачиваемого счета и реквизитов получателя платежа. Зачастую программа осуществляет маскировку осуществленной транзакции, не позволяя пользователю заметить подмену.


Модифицированная страница сохраняет не только внешний вид, но и все присущие ей технические параметры - от адреса страницы (URL) до защиты на уровне сети (SSL), позволяя обходить защиту со строгой и двухфакторной аутентификацией. К наиболее известным программам, использующим данный тип атак, относятся трояны семейства ZBot (ZeuS), Torpig (Sinowal или Anserin), Yaludle, Silon. Борьба с данными атаками осложнена изменчивостью программного кода, заложенного злоумышленниками в их алгоритм поведения.


Атака «шпион в сети» основана на методе, применяемом при взломе криптографически защищенных линий связи – человек посередине. При этом нет необходимости внедрять программное обеспечение на компьютер пользователя, достаточно на пути прохождения трафика поставить устройство, перехватывающее и анализирующее проходящие транзакции. Использование SSL-соединений не является защитой при таких атаках. Работая в качестве прокси-сервера, устройство генерирует сертификат на основании собственного публичного ключа и служебной информации сервера. Пользователь видит предупреждение в браузере о несовпадении сертификата, но зачастую не обращает на него внимания. Внедрение в сеть интернет провайдера позволяет собирать большое количество информации о проводимых пользователями транзакциях и при необходимости их модифицировать. Перехват информации осуществляется вне зависимости от применяемых на компьютерах средств защиты и сложно идентифицируется. Однако такие атаки сложно реализуемы, вследствие пристального внимания интернет провайдеров к вопросам безопасности в собственных сетях.


Еще одним типом атак является применение фишинговых сайтов. Для этих целей создается сайт по оформлению полностью соответствующий внешнему виду атакуемого сайта. С помощью массовых спам-рассылок часть заявок на обслуживание перенаправляется на поддельный сайт. На нем клиенты вводят данные для оплаты покупок, не подозревая о подмене. Таким образом, злоумышленникам становятся доступны все необходимые сведения для осуществления транзакций.


Вред от описанных типов атак не ограничивается потерей финансовых средств обманутых пользователей. Для финансового учреждения они также включают непрямые потери на проведение расследований и анализа транзакций, дополнительные затраты на обслуживание клиентов (увеличение нагрузки на контакт центр и специалистов операционного зала) и перевыпуск карточек, а также оплату штрафов и затраты, вызванные потерей бизнес репутации. Непрямые затраты для банковской сферы очень значительны, и поэтому логичен интерес финансовых институтов к управлению безопасностью дистанционно обслуживаемых транзакций на всех трех уровнях (Рис.2).

Рис.2 Структура распределения угроз в системах дистанционного обслуживания


Лидером рынка продуктов для защиты от онлайн-мошенничества является решение IBM Trusteer. Проектирование, развертывание и функционирование продукта основано на четырех принципах:

  • Первый принцип – обеспечение эффективного предупреждения мошенничества и точное обнаружение. Программное обеспечение предусматривает задачу определения раннего обнаружения угроз и максимального предотвращения угроз.
  • Второй принцип основан на реализации адаптивной защиты. Ландшафт угроз претерпевает значительные изменения, модифицируются используемые злоумышленниками алгоритмы и появляются новые угрозы. Такие условия нивелируют преимущества самого лучшего решения по прошествии времени. Реализованная платформа получает обновления от большого количества источников, позволяя экспертам использовать самую современную информацию и гарантируя быструю адаптацию системы под возникающие угрозы.
  • Третий принцип – прозрачность для пользователя. Решение предусматривает минимизацию внимания и участия пользователя, широко используя автоматизацию для уменьшения нагрузки на пользователя.
  • Четвертым принципом является быстрое время оценки. Архитектура решения IBM Trusteer не требует для разворачивания мощных центров обработки данных и легко интегрируется с большинством систем онлайн-банкинга. Тем не менее, система обладает значительными возможностями по масштабированию, поддерживая увеличение поддержки нескольких миллионов пользователей без привлечения дополнительных ресурсов или увеличения стоимости обслуживания.

Решение IBM Trusteer состоит из трех программных продуктов – Rapport, Mobile и Pinpoint.


Модуль Rapport представляет собой программное обеспечение, призванное обезопасить информационный обмен между клиентским устройством и доверенным веб-сайтом. Он состоит из агента, устанавливаемого на клиентское устройство, и системы управления.


Система управления служит для консолидации и анализа извещений от агентов о возможных атаках, а также управления обновлениями алгоритмами защиты от атак на конечных устройствах. Система управления взаимодействует с облачным сервисом Trusteer противодействия онлайн мошенничествам. Выделенная команда аналитиков круглосуточно анализирует информацию, поступающую от агентов, установленных по всему миру. Их задача выявлять новые шаблоны атак и модифицировать алгоритм работы системы защиты конечных пользователей.


Реализованная система кардинально отличается от антивирусного обеспечения, осуществляющего поиск вредоносного программного обеспечения по сигнатурам. Модуль Rapport реализует алгоритм блокирования доступа к финансовой информации.


Программа Rapport после установки проводит проверку интерфейса программирования приложений браузера (API) на применение атак по перехвату управления и устанавливает зашифрованный туннель между браузером пользователя, и веб-сервером платежной системы. Во время организации туннеля проверяется сертификат и при подозрении фишинговой атаки осуществляет блокирование передачи данных сайту, который не является доверенным.


Главной особенностью клиентского агента является блокирование доступа к информации, используемой для проведения финансовых транзакций. Для этих целей проводится шифрование набираемых на клавиатуре данных с их последующей расшифровкой на доверенном сайте. Технология обеспечивает максимальную защиту вследствие применения защиты данных от использования вне применяемой системы.


Агент, установленный на клиентском компьютере, позволяет работать в фоновом режиме и осуществляет предупреждение пользователя только при подозрении осуществления враждебных действий.


Традиционно большинство интернет-транзакций проводится со стационарных компьютеров. И хотя ряд исследований показывает опасения пользователей в связи с использованием мобильных устройств для совершения платежей, год от года растет количество транзакций, проводимых с разнообразных мобильных платформ. Несмотря на особое внимание производителей к безопасности устанавливаемых на их платформы приложений, планшеты и смартфоны регулярно подвергаются атакам злоумышленников. Этому способствуют сложности контроля большого количества программных продуктов, добавляемых в Android Market и AppStore, а также рост популярности изменения программной среды, посредством операции джейлбрейка (получения полного доступа к файловой системе мобильного устройства).


Для обеспечения безопасности проведения банковских операций с мобильных устройств применяется модуль Mobile. Он позволяет реализовать защиту на мобильном устройстве от вредоносного программного обеспечения и фарминговых атак (перенаправление на ложный IP-адрес).


Для защиты веб-сервера служит программа Pinpoint. Модуль представляет собой облачный сервис, интегрируемый с системой дистанционного обслуживания клиентов. На основании анализа проводимых транзакций определяются зараженные устройства и определяется уровень возможного риска. При выявлении зараженных устройств система предлагает пользователям установить агент Rapport и очистить компьютер от вредоносных программ, а служба безопасности извещается о зараженном устройстве. Характерной особенностью модуля является работа в безагентном режиме, позволяющем отслеживание угроз только на основании анализа трафика.


Применение решения Pinpoint значительно повышает безопасность проведения транзакций и облегчает детектирование и борьбу с возникающими угрозами. Финансовые институты получают действенный инструмент для защиты своих пользователей.


Применение программных средств по предотвращению мошенничества в системах дистанционного обслуживания позволяет не только обезопасить проведение транзакций и повысить лояльность пользователей, но и значительно сократить операционные расходы. Предоставление простого надежного инструмента привлекает больше пользователей и помогает перевести их значительную часть на дистанционное обслуживание.


Внедрение комплексных систем защиты повышает конкурентоспособность финансовых инструментов, позволяя если не избавиться, то существенно уменьшить влияние злоумышленников и предоставляет отлаженный механизм управления безопасностью дистанционного обслуживания.


Ярослав Боцман