«Атака на банк-клиент...». Взгляд со стороны работника банка

:

Меня очень заинтересовала статья Атака на банк-клиент или Охота на миллион в связи с тем, что я явлюсь непосредственным участником процесса дистанционного банковского обслуживания (далее — ДБО) со стороны банка. Чуть позже появилась статья Кому я нужен?, поэтому мыслей на эту тему накопилось очень много и хочется поделиться со всеми (а еще я давно хотел зарегистрироваться, но подходящего момента не было). По возможности буду краток и не буду сыпать научными терминами.
Виды клиент-банков

Давайте для начала отделим мух от котлет.

Есть два основных направления дистанционного (да и не только) банковского обслуживания (далее — ДБО) — обслуживание физических лиц (интернет-банкинг (далее — ИБ)) и юридических лиц (системы типа Интернет клиент-банк (далее — ИКБ)). В статье Атака на банк-клиент или Охота на миллион разбирается вопрос обслуживания юридических лиц, а статья Кому я нужен?, написанная под влиянием первой и комментариев к ней, касается систем ДБО для физических лиц.

В чем отличие? В объемах производства и продукции! Дневной оборот среднего предприятия, отправляющего платежи в банк, равен примерно сумме операций обычного физического лица за пол года-год. Отсюда мы получаем необходимость совсем разных систем для совершения операций там и там.

Думаю, я не ошибусь, если скажу, что 99% систем ИБ построены на Java. От них требуется совершение небольшого количества операций в секунду..., простите, сутки. Второе требование — не взорвать мозг клиенту и потенциальному покупателю каких-нибудь еще продуктов банка в будущем (ну кто же ему кредит даст с дырой в башке!? Отсюда — уже готовые формы оплаты различных услуг, незамысловатый и простой интерфейс, совершение операций без использования систем шифрования. Всё, что нужно клиенту — браузер с поддержкой SSL, Java Script и установленная на ПК Java RE. В качестве средств защиты могут быть использованы дополнительные факторы аутентификации, таких как мобильный телефон, ввод PIN-кода, одноразовые аналоги собственноручной подписи (коды АСП).

Программ типа «Клиент-банк», а в нашем случае Интернет Клиент-банк (далее — ИКБ) на рынке присутствует пара-тройка десятков, я думаю. Часть из них представляет собой ПО, устанавливаемое, на ПК клиента, часть — web-клиенты, причем за вторыми будущее, а первые отживают своё, так как использование и сопровождение их — дело ужасно неудобное и небыстрое (это я про установку ПО на месте, настройку и т.д. ). Если вы хотите в месяц подключать порядка 100-200 клиентов, а сотрудников у вас целых 1 человек (как в моём случае), то без web-клиента вам не обойтись.

Главное отличие систем ИКБ от ИБ — использование систем шифрования (обязательно сертифицированных ФСБ!). Это, например, платная CryptoPro или бесплатная и открытая IPRIV. С другими не сталкивался, врать не буду.
Второй нюанс — несколько видов платежных операций в различных валютах, обмен с банком файлами, сообщениями, взаимодействие с бухгалтерскими программами, возможность многоуровневой подписи документов и интерфейс — не для блондинок.

Азы банковского дела и хакерского мастерства, точнее воровства

Как видим, различия в системах ДБО — коренные, поэтому и способы несанкционированного доступа к счетам клиентов различны для каждой системы. Коротко и ясно они описаны в упоминаемых выше статьях, за что авторам большое спасибо.

Получить доступ к счёту — это пол дела. Получить деньги — вот цель злоумышленников. Давайте, не будем называть их хакерами и прочими «красивыми» словами. В русском языке для таких людей есть простые обозначения — вор и мошенник. Неприглядно, зато правда.

Итак, вор получил доступ к счету клиента. При краже данных физлиц он может пойти двумя путями — воспользоваться данными банковской карты для покупки в Интернет-магазинах (оплаты услуг) или перевести деньги на другую карту (или счет). При покупке в магазине средства со счета сразу не списываются. Они резервируются для последующей передачи получателю. В этом состоянии они могут болтаться до 30 дней, если оплата не произошла и средства не затребованы, они возвращаются из резерва в доступный остаток на счете (они всё это время были на счёте!). Поэтому здесь спасти может СМС-информирование, которым пренебрегают некоторые недальновидные товарищи. Первым делом необходимо позвонить в свой банк и заблокировать карту. Параллельно с первым делом необходимо писать заявление в банк о несогласии с транзакцией, в большинстве систем ИБ это можно сделать прямо на сайте. В случае, если в вашем банке работают понимающие, законопослушные и ответственные сотрудники (начиная с руководства!), транзакцию отменят и деньги вы вернете.

При переводе средств на другой счет (карту) тоже не всё плохо. Средства тоже уходят не мгновенно. Сперва платеж должен проконтролировать операционный работник (плюс-минус 15-30 минут). Далее деньги уходят в расчетно-кассовый центр Центрального Банка РФ. Потом уже оттуда они придут в банк получателя и там, скорее всего, их уже ждут и стоят около банкомата, чтобы сразу же снять. Хозяин карты затем заявит, что карту потерял, а кто ей воспользовался — он не знает. В этом случай так же может спасти СМС-информирование. Не пожалейте 50 рублей в месяц и пусть вам приходят эти СМС-ки, которые однажды бросят вас в холодный пот, а потом позволят расслабиться вечером с холодным пивом.

Еще один способ вернуть средства — застраховать свою карту. Стоимость страховки, например, в моём банке от 300 до 500 рублей в год (сумма возврата — до 30 тысяч рублей). При совершении операций через Интернет и в обычных магазинах — это очень простой способ избавиться от головной боли. Помимо возврата средств на счет страховая компания оплатит до 2000 рублей на восстановление документов в случае их утери. Так что узнавайте в своих банках об этой услуге. Береженого сами знаете кто бережет.

На этом я заканчиваю рассказ про системы для физических лиц. Я специально не рассматриваю способы борьбы с воровством вашей информации, потому что об этом подробно написано на сайте каждого банка, сотрудники Сбербанка здесь об этом тоже подробно написали.

Прочитав некоторые комментарии о банковской системе в нашей стране хотелось бы внести ясность в некоторые вопросы. Наши банки, к счастью — это не швейцарские банки (которые уже тоже не те, что раньше). Банковская система в России прозрачна. Все всё знают и все всё видят, куда и откуда идут средства. По запросам органов внутренних дел им передается вся информация об операциях какого-либо лица или организации. Уничтожением платежек в РКЦ тоже никто не занимается. Уничтожать следы своей гадкой деятельности злоумышленникам не нужно, да они это и не делают и не сделают. Система воровства работает просто. Средства переводятся на карточные счета физических лиц, после снятия их карта либо «теряется», либо они снимаются и не возвращаются. Заставить кого-то вернуть деньги можно, если будет доказана его вина. Если человек невиновен, то считается, что ему просто «повезло», когда на счёт упала манна небесная. Доказать вину очень сложно. Выводы делайте сами. Почему так — читайте чуть ниже при обсуждении вопроса касательно юридических лиц. В любом случае, если клиент банка попадает в странную ситуацию — ему приходят чужие деньги, то банк работать с таким клиентом больше не захочет. Второй раз злоумышленники на этот же счет деньги себе не переведут — перед лицом МВД они будут выглядеть уже не просто как «счастливчики». Поэтому воровство средств в системах ИБ для физлиц распространено не сильно — много мороки, а денег мало. На моей памяти был только один случай, когда у клиента система вдруг ни с того ни с сего запросила четырехзначный PIN-1 (при аутентификации в системах ИБ используется 16-значный PIN-2).

«Атака»

А теперь переходим к нашим баранам, точнее юридическим лицам. Как же происходит инфицирование компьютера? К большому разочарованию любителей детективного жанра никакие инсайдеры не нужны. Зачем с кем-то делиться, когда 90% пользователей, сидя за компьютером, ничем не отличаются от валенков, кроме того, что валенки не могут сами давить на клавиши? Ссылки на сторонних сайтах, письма, отсутствие нормального антивируса и фаервола, беспечность администраторов, которым лень настроить хотя бы прокси, а в некоторых случаях и отсутствие таких сотрудников в штате, делают свое грязное дело. Да и сложно представить, как человек, сидящий в Рязани, Саратове или Москве, имеет инсайдеров в нескольких десятках организаций по всей России.

Активные атаки на нашу систему и клиентов и систему начались в конце 2009 года. За это время в нашем регионе было зафиксировано не более 10 случаев заражения, к сожалению 3 из них закончились летальным исходом — средства безвозвратно утеряны, 2 случая — со счастливым концом — средства не списаны из-за ошибки в платежном поручении или не дошли до банка-получателя и вернулись из РКЦ ЦБ РФ. Остальные случаи заражения были идентифицированы на ранних стадиях и клиентам была преподнесена «радостная» новость о том, что на компьютере кака, а админ — лох.

«Куда смотрят в банке!? Разве они не видят, что мои деньги пи...!?» моё

Общая стоимость ущерба не превысила 900 тысяч рублей (100+300+2х500 (один платеж успели вернуть)).
Как видите, суммы не астрономические. Что такое сто тысяч рублей для организации, у которой таких платежей — 90%, а в банке проходят платежи и в 10 и 100 раз большие? Такие суммы банки даже не обязаны контролировать! Контроль начинается с сумм, превышающих 600 тысяч рублей.

Поэтому вероятность успеха прохождения таких платежей намного выше, чем упоминаемые в статье 1 и 6 миллионов. Вообще, мне не понятен процесс контроля и исполнения платежа банком на такую сумму. В этом случае контролер обязан связаться с организацией и не просто спросить по телефону, они ли их отправили, а потребовать предоставить документы, подтверждающие факт легальной отправки средств. Это требования закона о борьбе с отмыванием и легализацией средств.

В нашем случае троян только отсылал «хозяину» секретный ключ и пароль на вход в систему. Злоумышленник уже сам регистрировался в системе, проверял остаток на счете и, если ему хватало, заполнял платежное поручение и отправлял средства на счет (не на свой!), а подставных лиц, которые, естественно его в глаза «не видели», но при получении столь приятного подарка, эти средства со счета снимали. Здесь многие могут мне сказать: «Ну вот же! Всё ясно! Вот они — негодяи и воры! Ловите их!» На что я вам, товарищи, спокойно отвечу: " Терморектальный криптоанализ в органах внутренних дел Российской Федерации не является законным способом добычи показаний, потому применяться не может, а в действиях граждан при операциях с их банковским счетом состава преступления не обнаружено."

То есть, в принципе всё ясно, кто, куда и кому перевел деньги, никто это не скрывает, все всё знают, но сделать ничего не могут, так как при поступлении денег на счет и снятии их банк-получатель платежа никакой ответственности не несет. Заставить гражданина вернуть сумму может только совесть, в противном случае оснований для этого нет, вина не доказана. Доказать его причастность расспросами и мольбами — вообще невозможно, он же не дурак :) Отследить злоумышленника по IP-адресам тоже не представляется возможным — они не из своего дома работают и используют для своих грязных дел взломанные компьютеры ничего не подозревающих пользователей, у которых разворачивается виртуальная машина, уже в ней осуществляется вход в систему и т.д. За два года никого никуда в суд не потащили, и не потащат. Поэтому мы переходим к третей части нашего повествования…

Спасение утопающих...

В 99,99% банках клиентам ДБО даются ценные указания, как и что нужно делать, чтобы избежать подобных ситуаций… Как вы понимаете, 99,99% клиентов плевать хотели на ценные указания банков
А способы противодействия на самом деле просты и очень дешевы:
  1. Работайте с одного рабочего места. Желательно не использовать рабочее место для походов в интернет, по магазинам и к подружкам в социцальных сетях. Идеальный вариант — один ярлык на рабочем столе — это ваш Клиент-банк. :) Дорого? 100 тысяч дороже.
  2. Работайте с одного IP-адреса. Если настройки Клиент-банка позволяют, жёстко привяжите этот IP к системе, чтобы с других адресов зайти было не возможно. Любите путешествовать? Тогда переходите к следующему пункту.
  3. Обязательно приобретите электронный идентификатор Rutoken или eToken. Лучше приобрести Rutoken ЭЦП или eToken ГОСТ. Это персональное средство формирования ЭЦП с неизвлекаемым закрытым ключом, т.е. для каждой последующей операции формируется новая ЭЦП. С такого ключа информацию извлечь уже будет невозможно. Стоимость одного ключа составляет порядка 1 тысячи рублей.
  4. Антивирусы, файерволы, безопасность… Вообщем, класика жанра. Но при несоблюдении пунктов 1-3 она вам не поможет

Заключение

Хотелось бы, чтобы большинство клиентов перестали надеяться на «авось» и считать, что если деньги в банке, то с ними ничего не случится, а ежели что случится, банк всё вернет. По части ДБО банки полностью выполняют свою часть договора — предоставляют средства и способы клиенту быстро решать свои проблемы, заботятся о его безопасности, советуют, как себя вести в интернет-обществе. К сожалению, многие клиенты не знают, что ответственность за сохранность ключей и чистотой дисков лежит прежде всего на них, а не на банке. Наличие на жестком диске признаков инфицирования автоматически делает клиента виноватым (хотя так и есть на самом деле) и дальнейшая борьба за свои кровные в суде (если до него дойдет) не увенчается успехом. Да и стоит ли осуждать кого-то, если вы оставили дверь открытой настежь и ушли на работу?