Осенью на портале Банки.ру увеличилось количество жалоб на случаи мошенничества в интернет-банкинге. Опрос кредитных организаций и компаний — разработчиков антивирусов показал, что всплеск жалоб связан с ростом активности киберпреступников. Эксперты считают, что ближе к новогодним праздникам криминальная обстановка в Сети станет еще напряженнее.
По словам ведущего антивирусного эксперта «Лаборатории Касперского» Юрия Наместникова, хакеры начали активно атаковать клиентов российских банков с середины сентября. Но при этом он уточняет, что осенний накал еще не достиг уровня середины минувшего лета, когда на пользовательских компьютерах активность вредоносных файлов увеличилась втрое по сравнению со среднестатистическими показателями.
В российском представительстве американской компании Symantec (разработчик антивируса Norton) отмечают, что на фоне общего роста интереса хакеров к финансовой информации заметна тенденция к перехвату такого рода данных с мобильных устройств. В октябре, в частности, был замечен рост атак на смартфоны, работающие под управлением операционной системы Android.
В октябре на портале Банки.ру участились жалобы на неправомерные списания денег со счетов клиентов. Были также зафиксированы случаи фишинга в интернет-банке Сбербанка. Вот как описала ситуацию пострадавшая под ником divnogori: «20 октября, при моей попытке войти в «Сбербанк Онлайн», у меня с карты Visa сняли всю сумму (30 тысяч) четырьмя операциями на QIWI-кошелек. Зайдя на сайт, я увидела предупреждение о технических работах и о том, что мне будут приходить неверные СМС-коды, которые надо будет отменить. Тут же позвонил сотрудник банка, как он представился, и еще раз повторил эту информацию. Ну я эти коды и отменила. Сразу же пришло сообщение мобильного банка о том, что прошли четыре операции по оплате на кошелек QIWI». В Сбербанке не предоставили комментариев по случаям кражи денег в интернет-банкинге.
Преступники, атаковавшие «Сбербанк Онлайн», применяли метод так называемой социальной инженерии, ставший популярным с лета прошлого года, когда резко увеличилась активность киберпреступников в финансовой сфере. По словам директора департамента экономической безопасности Альфа-Банка Валерия Антонова, мошенники, разработавшие указанную методику, которая включает использование поддельных сайтов и обман клиентов с использованием персонализированной информации, начали успешно продавать ее в хакерской среде.
Директор Центра вирусных исследований и аналитики антивирусной компании Eset Александр Матросов вспоминает, что рост активности киберпреступлений в сфере ДБО начался еще в 2009 году. Именно тогда появились программы-«троянцы», нацеленные на распространенные системы дистанционного банковского обслуживания.
Со временем атаки на банки преступники начали проводить комплексно, задействуя одновременно все доступные разновидности антибанковского программного обеспечения. К последнему эксперты Eset относят семейства программ Win32/Hodprot, Win32/RDPdoor, Win32/Sheldor и Win32/TrojanDownloader.Carberp.W. Последняя из указанных программ со временем обзавелась специальным плагином для атак системы «Cбербанк Онлайн». Активность данного плагина заметно возросла в этом октябре.
Банки, разбирая жалобы пострадавших от фишинговых атак, подавляющее большинство случаев трактуют не в пользу клиентов, ссылаясь на условия договора, а также на тот факт, что клиент самостоятельно (пусть и по указанию мошенников) вводил код подтверждения оспариваемых трансакций.
Впрочем, управляющий продажами в ретейле G Data Software в России и СНГ Роман Карась отмечает, что банки в данной ситуации могут сделать шаг навстречу своим клиентам. Дело в том, что мошенничество зачастую начинается с посещения клиентом фишинговой странички, которая выдает себя за страницу настоящей системы интернет-банкинга. Кредитные организации в данном случае советуют своим клиентам быть бдительными и проверять наличие «замочка» (знака защищенной передачи данных) в строке браузера, а также адреса страницы и т. д.
«Банковская методология требует идентификации от пользователя, но не имеет механизма идентификации веб-страниц онлайн-банкинга», — описывает противоречие Роман Карась. Банк, предоставляя пользователю право самому отличать фишинговую страницу от настоящей, словно забывает о том, что это не всегда легко сделать даже эксперту. В частности, мошенники могут использовать изменения в имени сайта — заменять русские буквы латиницей. «Попробуйте отличить в названии страницы Сбербанка, которая начинается с https://esk.sbrf.ru/esClient/…, еsk с русской «е» от esk с «е» латинской. А ведь это два совершенно разных имени», — приводит пример Карась.
По его словам, в США многие банки давно уже сделали вход в интернет-банк двухступенчатым. Первая ступень — идентификация банковской странички. Пользователь вводит свой ID-номер, после этого банк загружает страницу с заданными заранее, во время оформления договора, кодовым словом и, например, картинкой. Если слово не то или картинка не выводится, это означает, что страница фишинговая. Если же все в порядке, то пользователь может вводить пароль для входа на страницу онлайн-банкинга.
Идентификация банковской странички, очевидно, не решает всех проблем с мошенничеством. Ведь троянская программа, проникнув на компьютер клиента, может «нарисовать» форму для похищения пароля и на настоящей странице системы интернет-банкинга. По мнению экспертов, в этой ситуации клиенту может помочь антивирус со специальным плагином, настроенным на проверку сценария работы в интернет-банкинге. Такой плагин должен фиксировать лишнюю, по сравнению с традиционной, активность компьютера и уведомлять об этом клиента.
Вредоносные программы, переадресующие клиентов на поддельные странички интернет-банкинга и крадущие пароли, не работали бы столь эффективно, если бы не доступность баз данных мобильных операторов. Наличие такой информации позволяет преступникам эффективно задействовать технологии социальной инженерии, беседовать с клиентами персонально и перехватывать важные СМС-сообщения.
Тот же метод социальной инженерии основан на том, что клиенты обычно доверяют сотрудникам кредитных учреждений и не имеют понятия о том, как оперативно проверить, работает в банке человек, представившийся по телефону «сотрудником службы безопасности», или нет.
Частично в этом виноваты сами банки, которые, разрабатывая памятки по безопасности для своих клиентов, используют оговорки и исключения. А клиент привыкает к тому, что в экстренном случае банку надо верить.
В Кредит Европа Банке, к примеру, просят клиентов, желающих подключиться к системе интернет-банкинга дистанционно, без дополнительного визита в офис, вводить на сайте ПИН-код. При этом в правилах самого банка говорится: «Никому и ни при каких условиях не сообщайте свой пароль, номер банковской карты или ПИН-код». Противоречие обходится просто — с помощью небольшого дополнения: «
В пресс-службе банка утверждают, что вводить
По мнению Романа Карася, корни «идентификационной» проблемы кроются в банковских договорах обслуживания систем онлайн- и мобильного банкинга. В них процесс идентификации и ответственность за его игнорирование описываются достаточно смутно, в случае потери денег договор трактуется в пользу банка.
Эта проблема хорошо известна, поэтому клиентам, не желающим пострадать от мошенников, необходимо постоянно быть начеку. Тем более что к концу года хакеры станут еще более активными.
Руководитель лаборатории безопасности G Data Security Labs Ральф Бенцмюллер предупреждает, что активность хакеров особенно заметна в периоды массового совершения людьми онлайн-платежей: в период рождественских праздников и перед летними отпусками — начиная с момента, когда идет активное бронирование билетов и гостиниц и вплоть до конца сезона отпусков и распродаж. Надо иметь в виду, что ресурсы для атак на банки и их клиентов у хакеров всегда под рукой. По данным Бенцмюллера, сейчас в мире насчитывается пять-шесть крупных постоянно действующих сетей из зараженных компьютеров, которые работают на киберпреступников. Для получения доступа к такой сети мошеннику достаточно просто оплатить соответствующие услуги.
Леонид ЧУРИКОВ, Banki.ru
