Современные средства защиты ДБО для корпоративных клиентов
Статья Николая Афанасьева, менеджера по развитию продукта компании "Аладдин Р.Д."
Борьба с мошенниками в дистанционном банковском обслуживании ведется уже давно. На заре эры ДБО киберпреступники просто копировали ключи электронной подписи (ЭП) клиента и с их помощью переводили деньги на свои счета. Однако российские банки достаточно быстро научились пресекать подобные атаки с помощью устройств, предназначенных для защищённого хранения ключей ЭП на стороне клиента.
В ответ на это киберпреступники придумали новые способы кражи денежных средств, не требующие обладания ключом ЭП. В одном из вариантов хакер получает удалённое управление компьютером пользователя, перехватывает PIN-код токена или смарт-карты и подписывает поддельные платёжные поручения от лица клиента банка с помощью его ЭП в те моменты, когда устройство подключено к ПК, в другом компьютер жертвы заражается специальным "трояном", который способен незаметным для пользователя способом подменять реквизиты подписываемых платёжных поручений, одновременно изменяя отображаемые пользователю остатки на счетах, ввиду чего факт совершения кражи ещё долго остаётся незамеченным.
Для защиты от подобных атак на рынке появились устройства типа TrustScreen, которые работают в связке с ПК, позволяют отображать на своем экране ключевые данные совершаемых транзакций и принимать подтверждение/отказ пользователя на выполнение этих транзакций.
Однако киберпреступникам удалось найти уязвимости в тех устройствах типа TrustScreen, в которых отсутствует возможность строгой аутентификации самих устройств на сервере ДБО. Ведь для того, чтобы сервер мог доверять электронным документам, подписанным с использованием устройств типа TrustScreen, сервер должен иметь возможность гарантированно убедиться в том, что пользователь при подписании использовал именно доверенное устройство. В противном случае злоумышленник может подменить на столе пользователя устройство на внешне идентичное, но с изменённой "начинкой", или реализовать массовую DDoS-атаку на такие устройства, подключенные к ПК пользователей, вынуждая клиентов подключить напрямую к ПК USB-токен либо смарткарту через обычный смарт-карт ридер. После этого специальный "троян" сможет формировать поддельные платёжные поручения, а банк будет считать, что продолжает работать с защищённым устройством.
Достаточно надёжным способом блокировки подозрительных транзакций и пресечения мошеннических действий со стороны киберпреступников является использование "белого списка" контрагентов, в который клиент банка включает партнёров, которым он доверяет и с которыми работает регулярно. В этом случае система ДБО может разрешать производимые в адрес таких получателей транзакции без дополнительных проверок и необходимости подтверждения со стороны пользователя.
Однако существует возможность обмануть даже те системы фрод-мониторинга, которые используют такой, казалось бы, надёжный "белый список". Дело в том, что важен не только сам факт использования такого списка, но и то, каким образом он был изначально сформирован, и как в него впоследствии вносились изменения. Если "белый список" формируется пользователем на его компьютере, который априори считается недоверен ной средой, подписывается перед отправкой в банк ЭП пользователя в этой же недоверенной среде, то существует возможность включения в перечень доверенных лиц "левых" получателей. Произвести такую операцию может специальный "троян", при этом пользователь даже не заподозрит подмены. Аналогичные несанкционированные изменения "троян" может внести в "белый список" во время санкционированной пользователем легальной операции внесения изменений в этот список.
После этого кибермошенники беспрепятственно смогут "уводить" денежные средства пользователя на счета "левых" получателей, которые будут находиться в "белом списке".
Примечательно, что изменения в "белый список" могут быть внесены "трояном" даже если пользователь распечатывает такой список на принтере и приносит в банк распечатанный документ. "Троян" просто внесёт нужные правки в распечатываемый список непосредственно в момент отправки подготовленного документа на печать. Если "белый список" представляет собой несколько десятков получателей, то пользователь может не заметить в нём несоответствий и предоставить в банк в уже изменённом виде.
Таким образом, ведение "белых списков" хоть и является надёжным механизмом блокирования мошеннических действий со стороны киберпреступников, вместе с тем, необходимо обязательно обеспечить безопасный механизм создания и изменения "белых списков".
Некоторые устройства типа TrustScreen позволяют безопасно создавать и вести "белые списки", храня эти списки непосредственно внутри себя. Это действительно позволяет защититься от несанкционированного внесения изменений в такие списки. Более того, такой подход позволяет повысить удобство работы пользователей при выполнении групповых операций. В этом случае от пользователя будет требоваться подтверждать не все платёжные поручения, а лишь те, которые адресованы контрагентам, которых нет в "белом списке".
Однако если такое устройство не обладает возможностью строгой аутентификации себя на сервере ДБО, то мы приходим к той же уязвимости, которая была описана выше. Поэтому более безопасно хранить "белые списки" на сервере ДБО. Однако в таком случае при использовании обычных устройств типа TrustScreen пользователям придется выполнять подтверждение каждого платёжного поручения, что неудобно при выполнении групповых операций.
Проанализировав недостатки обычных устройств типа TrustScreen, лидеры рынка в своих сегментах компании "Аладдин Р.Д." и VASCO разработали решение "Антифрод-терминал", в котором реализована инновационная технология SWYX (Sign What You executed). Принцип технологии заключается в том, что терминал ведёт защищённый журнал всех операций, выполняемых с использованием подключаемой смарт-карты, и подписывает журнал собственной ЭП с помощью встроенного в терминал криптографического чипа. Наличие подписанного журнала позволяет серверу ДБО осуществлять строгую аутентификацию терминала и формировать доказательную базу, необходимую при расследовании инцидентов и разборах конфликтных ситуаций.
Возможность строгой аутентификации терминала на сервере ДБО позволяет приложению управлять рисками за счет ограничения суточных лимитов транзакций для пользователей, работающих без использования терминала, и снятия всех лимитов для пользователей, использующих "Антифрод-терминал".
Благодаря встроенному файерволу, блокирующему попытки ввести PIN-код программно из приложения и требующему вводить PIN-код только на клавиатуре терминала, обеспечивается надежная защита от перехвата управления.
Благодаря тому, что терминал не привязан к какой-либо разметке подписываемых документов, он позволяет безопасно создавать и изменять "белые списки" контрагентов. А благодаря реализованной технологии SWYX нет необходимости хранить такие списки в самом терминале, а можно фильтровать платёжные поручения по "белым спискам" непосредственно на сервере. Дело в том, что операция подтверждения реквизитов платёжного поручения при использовании "Антифрод-терминала" может быть разнесена по времени с операцией подписания самого платежного поручения. В этом случае пользователь может сначала подписать все платежные поручения "не глядя" и отправить их на сервер, а сервер ДБО после этого сразу запросит подтвердить на терминале лишь те платежные поручения, которые не прошли по "белым спискам". Такая возможность позволяет реализовывать безопасные и одновременно удобные для пользователей групповые операции.
Ещё одним преимуществом решения является возможность терминала работать с любыми смарт-картами стандарта ISO7816. В других продуктах требуется перешивать устройство под каждый новый тип карты, что ведет к большим проблемам с инсталляционной базой.
Недавно "Антифрод-терминал" был успешно интегрирован с бизнесприложением для создания единого пространства обслуживания корпоративных клиентов банка InterBank Corporate, входящим в состав высокотехнологичной платформы для построения фронт офиса и реализации полноценного ДБО InterBank RS от компании RStyle Softlab. В данный момент воспользоваться решением уже могут корпоративные клиенты Пробизнесбанка. Также завершен проект по интеграции "Антифрод-терминала" с системой обслуживания корпоративных клиентов TEAEBAHK\Enterprise, разработанной компанией "Степ Ап". Надеемся, что в скором времени число таких проектов увеличится, благодаря чему банковские организации смогут не только защитить транзакции своих клиентов от кибератак, но и обеспечить доказательную базу при расследовании инцидентов, а конечные пользователи получат безопасный и простой в использовании сервис.