Меня очень заинтересовала статья Атака на банк-клиент или Охота на миллион в связи с тем, что я явлюсь непосредственным участником процесса дистанционного банковского обслуживания (далее — ДБО) со стороны банка. Чуть позже появилась статья Кому я нужен?, поэтому мыслей на эту тему накопилось очень много и хочется поделиться со всеми (а еще я давно хотел зарегистрироваться, но подходящего момента не было). По возможности буду краток и не буду сыпать научными терминами.
Давайте для начала отделим мух от котлет.
Есть два основных направления дистанционного (да и не только) банковского обслуживания (далее — ДБО) — обслуживание физических лиц (интернет-банкинг (далее — ИБ)) и юридических лиц (системы типа Интернет клиент-банк (далее — ИКБ)). В статье Атака на банк-клиент или Охота на миллион разбирается вопрос обслуживания юридических лиц, а статья Кому я нужен?, написанная под влиянием первой и комментариев к ней, касается систем ДБО для физических лиц.
В чем отличие? В объемах производства и продукции! Дневной оборот среднего предприятия, отправляющего платежи в банк, равен примерно сумме операций обычного физического лица за пол года-год. Отсюда мы получаем необходимость совсем разных систем для совершения операций там и там.
Думаю, я не ошибусь, если скажу, что 99% систем ИБ построены на Java. От них требуется совершение небольшого количества операций в секунду..., простите, сутки. Второе требование — не взорвать мозг клиенту и потенциальному покупателю каких-нибудь еще продуктов банка в будущем (ну кто же ему кредит даст с дырой в башке!? Отсюда — уже готовые формы оплаты различных услуг, незамысловатый и простой интерфейс, совершение операций без использования систем шифрования. Всё, что нужно клиенту — браузер с поддержкой SSL, Java Script и установленная на ПК Java RE. В качестве средств защиты могут быть использованы дополнительные факторы аутентификации, таких как мобильный телефон, ввод PIN-кода, одноразовые аналоги собственноручной подписи (коды АСП).
Программ типа «Клиент-банк», а в нашем случае Интернет Клиент-банк (далее — ИКБ) на рынке присутствует пара-тройка десятков, я думаю. Часть из них представляет собой ПО, устанавливаемое, на ПК клиента, часть — web-клиенты, причем за вторыми будущее, а первые отживают своё, так как использование и сопровождение их — дело ужасно неудобное и небыстрое (это я про установку ПО на месте, настройку и т.д. ). Если вы хотите в месяц подключать порядка 100-200 клиентов, а сотрудников у вас целых 1 человек (как в моём случае), то без web-клиента вам не обойтись.
Главное отличие систем ИКБ от ИБ — использование систем шифрования (обязательно сертифицированных ФСБ!). Это, например, платная CryptoPro или бесплатная и открытая IPRIV. С другими не сталкивался, врать не буду.
Второй нюанс — несколько видов платежных операций в различных валютах, обмен с банком файлами, сообщениями, взаимодействие с бухгалтерскими программами, возможность многоуровневой подписи документов и интерфейс — не для блондинок.
Как видим, различия в системах ДБО — коренные, поэтому и способы несанкционированного доступа к счетам клиентов различны для каждой системы. Коротко и ясно они описаны в упоминаемых выше статьях, за что авторам большое спасибо.
Получить доступ к счёту — это пол дела. Получить деньги — вот цель злоумышленников. Давайте, не будем называть их хакерами и прочими «красивыми» словами. В русском языке для таких людей есть простые обозначения — вор и мошенник. Неприглядно, зато правда.
Итак, вор получил доступ к счету клиента. При краже данных физлиц он может пойти двумя путями — воспользоваться данными банковской карты для покупки в Интернет-магазинах (оплаты услуг) или перевести деньги на другую карту (или счет). При покупке в магазине средства со счета сразу не списываются. Они резервируются для последующей передачи получателю. В этом состоянии они могут болтаться до 30 дней, если оплата не произошла и средства не затребованы, они возвращаются из резерва в доступный остаток на счете (они всё это время были на счёте!). Поэтому здесь спасти может СМС-информирование, которым пренебрегают некоторые недальновидные товарищи. Первым делом необходимо позвонить в свой банк и заблокировать карту. Параллельно с первым делом необходимо писать заявление в банк о несогласии с транзакцией, в большинстве систем ИБ это можно сделать прямо на сайте. В случае, если в вашем банке работают понимающие, законопослушные и ответственные сотрудники (начиная с руководства!), транзакцию отменят и деньги вы вернете.
При переводе средств на другой счет (карту) тоже не всё плохо. Средства тоже уходят не мгновенно. Сперва платеж должен проконтролировать операционный работник (плюс-минус 15-30 минут). Далее деньги уходят в расчетно-кассовый центр Центрального Банка РФ. Потом уже оттуда они придут в банк получателя и там, скорее всего, их уже ждут и стоят около банкомата, чтобы сразу же снять. Хозяин карты затем заявит, что карту потерял, а кто ей воспользовался — он не знает. В этом случай так же может спасти СМС-информирование. Не пожалейте 50 рублей в месяц и пусть вам приходят эти СМС-ки, которые однажды бросят вас в холодный пот, а потом позволят расслабиться вечером с холодным пивом.
Еще один способ вернуть средства — застраховать свою карту. Стоимость страховки, например, в моём банке от 300 до 500 рублей в год (сумма возврата — до 30 тысяч рублей). При совершении операций через Интернет и в обычных магазинах — это очень простой способ избавиться от головной боли. Помимо возврата средств на счет страховая компания оплатит до 2000 рублей на восстановление документов в случае их утери. Так что узнавайте в своих банках об этой услуге. Береженого сами знаете кто бережет.
На этом я заканчиваю рассказ про системы для физических лиц. Я специально не рассматриваю способы борьбы с воровством вашей информации, потому что об этом подробно написано на сайте каждого банка, сотрудники Сбербанка здесь об этом тоже подробно написали.
Прочитав некоторые комментарии о банковской системе в нашей стране хотелось бы внести ясность в некоторые вопросы. Наши банки, к счастью — это не швейцарские банки (которые уже тоже не те, что раньше). Банковская система в России прозрачна. Все всё знают и все всё видят, куда и откуда идут средства. По запросам органов внутренних дел им передается вся информация об операциях какого-либо лица или организации. Уничтожением платежек в РКЦ тоже никто не занимается. Уничтожать следы своей гадкой деятельности злоумышленникам не нужно, да они это и не делают и не сделают. Система воровства работает просто. Средства переводятся на карточные счета физических лиц, после снятия их карта либо «теряется», либо они снимаются и не возвращаются. Заставить кого-то вернуть деньги можно, если б��дет доказана его вина. Если человек невиновен, то считается, что ему просто «повезло», когда на счёт упала манна небесная. Доказать вину очень сложно. Выводы делайте сами. Почему так — читайте чуть ниже при обсуждении вопроса касательно юридических лиц. В любом случае, если клиент банка попадает в странную ситуацию — ему приходят чужие деньги, то банк работать с таким клиентом больше не захочет. Второй раз злоумышленники на этот же счет деньги себе не переведут — перед лицом МВД они будут выглядеть уже не просто как «счастливчики». Поэтому воровство средств в системах ИБ для физлиц распространено не сильно — много мороки, а денег мало. На моей памяти был только один случай, когда у клиента система вдруг ни с того ни с сего запросила четырехзначный PIN-1 (при аутентификации в системах ИБ используется 16-значный PIN-2).
А теперь переходим к нашим баранам, точнее юридическим лицам. Как же происходит инфицирование компьютера? К большому разочарованию любителей детективного жанра никакие инсайдеры не нужны. Зачем с кем-то делиться, когда 90% пользователей, сидя за компьютером, ничем не отличаются от валенков, кроме того, что валенки не могут сами давить на клавиши? Ссылки на сторонних сайтах, письма, отсутствие нормального антивируса и фаервола, беспечность администраторов, которым лень настроить хотя бы прокси, а в некоторых случаях и отсутствие таких сотрудников в штате, делают свое грязное дело. Да и сложно представить, как человек, сидящий в Рязани, Саратове или Москве, имеет инсайдеров в нескольких десятках организаций по всей России.
Активные атаки на нашу систему и клиентов и систему начались в конце 2009 года. За это время в нашем регионе было зафиксировано не более 10 случаев заражения, к сожалению 3 из них закончились летальным исходом — средства безвозвратно утеряны, 2 случая — со счастливым концом — средства не списаны из-за ошибки в платежном поручении или не дошли до банка-получателя и вернулись из РКЦ ЦБ РФ. Остальные случаи заражения были идентифицированы на ранних стадиях и клиентам была преподнесена «радостная» новость о том, что на компьютере кака, а админ — лох.
Общая стоимость ущерба не превысила 900 тысяч рублей (100+300+2х500 (один платеж успели вернуть)).
Как видите, суммы не астрономические. Что такое сто тысяч рублей для организации, у которой таких платежей — 90%, а в банке проходят платежи и в 10 и 100 раз большие? Такие суммы банки даже не обязаны контролировать! Контроль начинается с сумм, превышающих 600 тысяч рублей.
Поэтому вероятность успеха прохождения таких платежей намного выше, чем упоминаемые в статье 1 и 6 миллионов. Вообще, мне не понятен процесс контроля и исполнения платежа банком на такую сумму. В этом случае контролер обязан связаться с организацией и не просто спросить по телефону, они ли их отправили, а потребовать предоставить документы, подтверждающие факт легальной отправки средств. Это требования закона о борьбе с отмыванием и легализацией средств.
В нашем случае троян только отсылал «хозяину» секретный ключ и пароль на вход в систему. Злоумышлен��ик уже сам регистрировался в системе, проверял остаток на счете и, если ему хватало, заполнял платежное поручение и отправлял средства на счет (не на свой!), а подставных лиц, которые, естественно его в глаза «не видели», но при получении столь приятного подарка, эти средства со счета снимали. Здесь многие могут мне сказать: «Ну вот же! Всё ясно! Вот они — негодяи и воры! Ловите их!» На что я вам, товарищи, спокойно отвечу: "Терморектальный криптоанализ в органах внутренних дел Российской Федерации не является законным способом добычи показаний, потому применяться не может, а в действиях граждан при операциях с их банковским счетом состава преступления не обнаружено."
То есть, в принципе всё ясно, кто, куда и кому перевел деньги, никто это не скрывает, все всё знают, но сделать ничего не могут, так как при поступлении денег на счет и снятии их банк-получатель платежа никакой ответственности не несет. Заставить гражданина вернуть сумму может только совесть, в противном случае оснований для этого нет, вина не доказана. Доказать его причастность расспросами и мольбами — вообще невозможно, он же не дурак :) Отследить злоумышленника по IP-адресам тоже не представляется возможным — они не из своего дома работают и используют для своих грязных дел взломанные компьютеры ничего не подозревающих пользователей, у которых разворачивается виртуальная машина, уже в ней осуществляется вход в систему и т.д. За два года никого никуда в суд не потащили, и не потащат. Поэтому мы переходим к третей части нашего повествования…
В 99,99% банках клиентам ДБО даются ценные указания, как и что нужно делать, чтобы избежать подобных ситуаций… Как вы понимаете, 99,99% клиентов плевать хотели на ценные указания банков
А способы противодействия на самом деле просты и очень дешевы:
Хотелось бы, чтобы большинство клиентов перестали надеяться на «авось» и считать, что если деньги в банке, то с ними ничего не случится, а ежели что случится, банк всё вернет. По части ДБО банки полностью выполняют свою часть договора — предоставляют средства и способы клиенту быстро решать свои проблем��, заботятся о его безопасности, советуют, как себя вести в интернет-обществе. К сожалению, многие клиенты не знают, что ответственность за сохранность ключей и чистотой дисков лежит прежде всего на них, а не на банке. Наличие на жестком диске признаков инфицирования автоматически делает клиента виноватым (хотя так и есть на самом деле) и дальнейшая борьба за свои кровные в суде (если до него дойдет) не увенчается успехом. Да и стоит ли осуждать кого-то, если вы оставили дверь открытой настежь и ушли на работу?
Виды клиент-банков
Давайте для начала отделим мух от котлет.
Есть два основных направления дистанционного (да и не только) банковского обслуживания (далее — ДБО) — обслуживание физических лиц (интернет-банкинг (далее — ИБ)) и юридических лиц (системы типа Интернет клиент-банк (далее — ИКБ)). В статье Атака на банк-клиент или Охота на миллион разбирается вопрос обслуживания юридических лиц, а статья Кому я нужен?, написанная под влиянием первой и комментариев к ней, касается систем ДБО для физических лиц.
В чем отличие? В объемах производства и продукции! Дневной оборот среднего предприятия, отправляющего платежи в банк, равен примерно сумме операций обычного физического лица за пол года-год. Отсюда мы получаем необходимость совсем разных систем для совершения операций там и там.
Думаю, я не ошибусь, если скажу, что 99% систем ИБ построены на Java. От них требуется совершение небольшого количества операций в секунду..., простите, сутки. Второе требование — не взорвать мозг клиенту и потенциальному покупателю каких-нибудь еще продуктов банка в будущем (ну кто же ему кредит даст с дырой в башке!? Отсюда — уже готовые формы оплаты различных услуг, незамысловатый и простой интерфейс, совершение операций без использования систем шифрования. Всё, что нужно клиенту — браузер с поддержкой SSL, Java Script и установленная на ПК Java RE. В качестве средств защиты могут быть использованы дополнительные факторы аутентификации, таких как мобильный телефон, ввод PIN-кода, одноразовые аналоги собственноручной подписи (коды АСП).
Программ типа «Клиент-банк», а в нашем случае Интернет Клиент-банк (далее — ИКБ) на рынке присутствует пара-тройка десятков, я думаю. Часть из них представляет собой ПО, устанавливаемое, на ПК клиента, часть — web-клиенты, причем за вторыми будущее, а первые отживают своё, так как использование и сопровождение их — дело ужасно неудобное и небыстрое (это я про установку ПО на месте, настройку и т.д. ). Если вы хотите в месяц подключать порядка 100-200 клиентов, а сотрудников у вас целых 1 человек (как в моём случае), то без web-клиента вам не обойтись.
Главное отличие систем ИКБ от ИБ — использование систем шифрования (обязательно сертифицированных ФСБ!). Это, например, платная CryptoPro или бесплатная и открытая IPRIV. С другими не сталкивался, врать не буду.
Второй нюанс — несколько видов платежных операций в различных валютах, обмен с банком файлами, сообщениями, взаимодействие с бухгалтерскими программами, возможность многоуровневой подписи документов и интерфейс — не для блондинок.
Азы банковского дела и хакерского мастерства, точнее воровства
Как видим, различия в системах ДБО — коренные, поэтому и способы несанкционированного доступа к счетам клиентов различны для каждой системы. Коротко и ясно они описаны в упоминаемых выше статьях, за что авторам большое спасибо.
Получить доступ к счёту — это пол дела. Получить деньги — вот цель злоумышленников. Давайте, не будем называть их хакерами и прочими «красивыми» словами. В русском языке для таких людей есть простые обозначения — вор и мошенник. Неприглядно, зато правда.
Итак, вор получил доступ к счету клиента. При краже данных физлиц он может пойти двумя путями — воспользоваться данными банковской карты для покупки в Интернет-магазинах (оплаты услуг) или перевести деньги на другую карту (или счет). При покупке в магазине средства со счета сразу не списываются. Они резервируются для последующей передачи получателю. В этом состоянии они могут болтаться до 30 дней, если оплата не произошла и средства не затребованы, они возвращаются из резерва в доступный остаток на счете (они всё это время были на счёте!). Поэтому здесь спасти может СМС-информирование, которым пренебрегают некоторые недальновидные товарищи. Первым делом необходимо позвонить в свой банк и заблокировать карту. Параллельно с первым делом необходимо писать заявление в банк о несогласии с транзакцией, в большинстве систем ИБ это можно сделать прямо на сайте. В случае, если в вашем банке работают понимающие, законопослушные и ответственные сотрудники (начиная с руководства!), транзакцию отменят и деньги вы вернете.
При переводе средств на другой счет (карту) тоже не всё плохо. Средства тоже уходят не мгновенно. Сперва платеж должен проконтролировать операционный работник (плюс-минус 15-30 минут). Далее деньги уходят в расчетно-кассовый центр Центрального Банка РФ. Потом уже оттуда они придут в банк получателя и там, скорее всего, их уже ждут и стоят около банкомата, чтобы сразу же снять. Хозяин карты затем заявит, что карту потерял, а кто ей воспользовался — он не знает. В этом случай так же может спасти СМС-информирование. Не пожалейте 50 рублей в месяц и пусть вам приходят эти СМС-ки, которые однажды бросят вас в холодный пот, а потом позволят расслабиться вечером с холодным пивом.
Еще один способ вернуть средства — застраховать свою карту. Стоимость страховки, например, в моём банке от 300 до 500 рублей в год (сумма возврата — до 30 тысяч рублей). При совершении операций через Интернет и в обычных магазинах — это очень простой способ избавиться от головной боли. Помимо возврата средств на счет страховая компания оплатит до 2000 рублей на восстановление документов в случае их утери. Так что узнавайте в своих банках об этой услуге. Береженого сами знаете кто бережет.
На этом я заканчиваю рассказ про системы для физических лиц. Я специально не рассматриваю способы борьбы с воровством вашей информации, потому что об этом подробно написано на сайте каждого банка, сотрудники Сбербанка здесь об этом тоже подробно написали.
Прочитав некоторые комментарии о банковской системе в нашей стране хотелось бы внести ясность в некоторые вопросы. Наши банки, к счастью — это не швейцарские банки (которые уже тоже не те, что раньше). Банковская система в России прозрачна. Все всё знают и все всё видят, куда и откуда идут средства. По запросам органов внутренних дел им передается вся информация об операциях какого-либо лица или организации. Уничтожением платежек в РКЦ тоже никто не занимается. Уничтожать следы своей гадкой деятельности злоумышленникам не нужно, да они это и не делают и не сделают. Система воровства работает просто. Средства переводятся на карточные счета физических лиц, после снятия их карта либо «теряется», либо они снимаются и не возвращаются. Заставить кого-то вернуть деньги можно, если б��дет доказана его вина. Если человек невиновен, то считается, что ему просто «повезло», когда на счёт упала манна небесная. Доказать вину очень сложно. Выводы делайте сами. Почему так — читайте чуть ниже при обсуждении вопроса касательно юридических лиц. В любом случае, если клиент банка попадает в странную ситуацию — ему приходят чужие деньги, то банк работать с таким клиентом больше не захочет. Второй раз злоумышленники на этот же счет деньги себе не переведут — перед лицом МВД они будут выглядеть уже не просто как «счастливчики». Поэтому воровство средств в системах ИБ для физлиц распространено не сильно — много мороки, а денег мало. На моей памяти был только один случай, когда у клиента система вдруг ни с того ни с сего запросила четырехзначный PIN-1 (при аутентификации в системах ИБ используется 16-значный PIN-2).
«Атака»
А теперь переходим к нашим баранам, точнее юридическим лицам. Как же происходит инфицирование компьютера? К большому разочарованию любителей детективного жанра никакие инсайдеры не нужны. Зачем с кем-то делиться, когда 90% пользователей, сидя за компьютером, ничем не отличаются от валенков, кроме того, что валенки не могут сами давить на клавиши? Ссылки на сторонних сайтах, письма, отсутствие нормального антивируса и фаервола, беспечность администраторов, которым лень настроить хотя бы прокси, а в некоторых случаях и отсутствие таких сотрудников в штате, делают свое грязное дело. Да и сложно представить, как человек, сидящий в Рязани, Саратове или Москве, имеет инсайдеров в нескольких десятках организаций по всей России.
Активные атаки на нашу систему и клиентов и систему начались в конце 2009 года. За это время в нашем регионе было зафиксировано не более 10 случаев заражения, к сожалению 3 из них закончились летальным исходом — средства безвозвратно утеряны, 2 случая — со счастливым концом — средства не списаны из-за ошибки в платежном поручении или не дошли до банка-получателя и вернулись из РКЦ ЦБ РФ. Остальные случаи заражения были идентифицированы на ранних стадиях и клиентам была преподнесена «радостная» новость о том, что на компьютере кака, а админ — лох.
«Куда смотрят в банке!? Разве они не видят, что мои деньги пи...!?» моё
Общая стоимость ущерба не превысила 900 тысяч рублей (100+300+2х500 (один платеж успели вернуть)).
Как видите, суммы не астрономические. Что такое сто тысяч рублей для организации, у которой таких платежей — 90%, а в банке проходят платежи и в 10 и 100 раз большие? Такие суммы банки даже не обязаны контролировать! Контроль начинается с сумм, превышающих 600 тысяч рублей.
Поэтому вероятность успеха прохождения таких платежей намного выше, чем упоминаемые в статье 1 и 6 миллионов. Вообще, мне не понятен процесс контроля и исполнения платежа банком на такую сумму. В этом случае контролер обязан связаться с организацией и не просто спросить по телефону, они ли их отправили, а потребовать предоставить документы, подтверждающие факт легальной отправки средств. Это требования закона о борьбе с отмыванием и легализацией средств.
В нашем случае троян только отсылал «хозяину» секретный ключ и пароль на вход в систему. Злоумышлен��ик уже сам регистрировался в системе, проверял остаток на счете и, если ему хватало, заполнял платежное поручение и отправлял средства на счет (не на свой!), а подставных лиц, которые, естественно его в глаза «не видели», но при получении столь приятного подарка, эти средства со счета снимали. Здесь многие могут мне сказать: «Ну вот же! Всё ясно! Вот они — негодяи и воры! Ловите их!» На что я вам, товарищи, спокойно отвечу: "Терморектальный криптоанализ в органах внутренних дел Российской Федерации не является законным способом добычи показаний, потому применяться не может, а в действиях граждан при операциях с их банковским счетом состава преступления не обнаружено."
То есть, в принципе всё ясно, кто, куда и кому перевел деньги, никто это не скрывает, все всё знают, но сделать ничего не могут, так как при поступлении денег на счет и снятии их банк-получатель платежа никакой ответственности не несет. Заставить гражданина вернуть сумму может только совесть, в противном случае оснований для этого нет, вина не доказана. Доказать его причастность расспросами и мольбами — вообще невозможно, он же не дурак :) Отследить злоумышленника по IP-адресам тоже не представляется возможным — они не из своего дома работают и используют для своих грязных дел взломанные компьютеры ничего не подозревающих пользователей, у которых разворачивается виртуальная машина, уже в ней осуществляется вход в систему и т.д. За два года никого никуда в суд не потащили, и не потащат. Поэтому мы переходим к третей части нашего повествования…
Спасение утопающих...
В 99,99% банках клиентам ДБО даются ценные указания, как и что нужно делать, чтобы избежать подобных ситуаций… Как вы понимаете, 99,99% клиентов плевать хотели на ценные указания банков
А способы противодействия на самом деле просты и очень дешевы:
- Работайте с одного рабочего места. Желательно не использовать рабочее место для походов в интернет, по магазинам и к подружкам в социцальных сетях. Идеальный вариант — один ярлык на рабочем столе — это ваш Клиент-банк. :) Дорого? 100 тысяч дороже.
- Работайте с одного IP-адреса. Если настройки Клиент-банка позволяют, жёстко привяжите этот IP к системе, чтобы с других адресов зайти было не возможно. Любите путешествовать? Тогда переходите к следующему пункту.
- Обязательно приобретите электронный идентификатор Rutoken или eToken. Лучше приобрести Rutoken ЭЦП или eToken ГОСТ. Это персональное средство формирования ЭЦП с неизвлекаемым закрытым ключом, т.е. для каждой последующей операции формируется новая ЭЦП. С такого ключа информацию извлечь уже будет невозможно. Стоимость одного ключа составляет порядка 1 тысячи рублей.
- Антивирусы, файерволы, безопасность… Вообщем, класика жанра. Но при несоблюдении пунктов 1-3 она вам не поможет
Заключение
Хотелось бы, чтобы большинство клиентов перестали надеяться на «авось» и считать, что если деньги в банке, то с ними ничего не случится, а ежели что случится, банк всё вернет. По части ДБО банки полностью выполняют свою часть договора — предоставляют средства и способы клиенту быстро решать свои проблем��, заботятся о его безопасности, советуют, как себя вести в интернет-обществе. К сожалению, многие клиенты не знают, что ответственность за сохранность ключей и чистотой дисков лежит прежде всего на них, а не на банке. Наличие на жестком диске признаков инфицирования автоматически делает клиента виноватым (хотя так и есть на самом деле) и дальнейшая борьба за свои кровные в суде (если до него дойдет) не увенчается успехом. Да и стоит ли осуждать кого-то, если вы оставили дверь открытой настежь и ушли на работу?
