Сбербанк ОнЛайн, впрочем как и любой другой интернет-банк, стал лакомым кусочком для мошенников, а потому требует особо отношения в плане безопасности.
Банки, конечно, предоставляют клиентам-пользователям современные инструменты «обороны» счетов, в том числе двухфакторную идентификацию с одноразовыми паролями, электронно-цифровые подписи, смарт-карты и многое другое. Но, к сожалению, это несколько расслабляет пользователей, перекладывающих всю ответственность на банк, и не уделяющих должного внимания защите своего персонального компьютера, что наносит серьезный урон мероприятиям направленным на обеспечение целостности и сохранности.
Я хочу представить Вам типичную схему мошенничества со Сбербанк ОнЛайн от лица грабителя, что, думаю, поможет впредь более жестко противостоять онлайн-атакам. Перед злоумышленниками стоит цель: при помощи современных информационных технологий получить свободный доступ к денежным средствам жертвы.
Для исполнения мошеннической задумки вовсе не нужно ничего похищать. Все идентификаторы и пароли остаются у их законного владельца. Да и коды подтверждений операций могут оставаться у владельца счета, хотя интернет-банк и получит такой код. Надо просто подтолкнуть жертву к самостоятельному вводу данных для доступа и одноразового пароля. Задача преступника – в этот момент перевести деньги на свой счет.
Правда, для начала требуется внедрить троянскую (шпионскую) программу любым «классическим» способом. Обычно, используется зараженный сайт, e-mail сообщения, реже переносной носитель. Если атака направлена против конкретного человека или организации, то, исхитрившись, файл можно скопировать на компьютер жертвы «в ручном режиме». Теперь остается лишь дождаться, когда владелец банковского счета воспользуется функционалом Сбербанк ОнЛайн.
Шпионская программа, постоянно отслеживающая действия пользователя, активируется в момент перехода на сайт интернет-банка. Далее, когда Клиент оформляет платежное поручение и жмет кнопку ОK, содержимое экранной формы изменяется, клиента просят проверить правильность введенных данных.
Всё вроде как обычно, кроме одного: картинка для проверки правильности реквизитов – это просто картинка. Шпионская программа уже подменила все реквизиты платежа и ожидает ввода одноразового пароля из СМС. Пользователь интернет-банка, будучи абсолютно уверен, что отправляет запланированный платеж, сам вводит все подтверждающие данные и выполняет перечисление денег на подставной счет.
О произошедшей атаке на счет клиент узнает только после того, как обнаруживает, что за ним числится долг по «оплаченной» услуге. Кстати, в выписке интернет-банка, как правило, указаны действительные (мошеннические) реквизиты, но кто из нас дополнительно проверяет, куда только что отправил деньги?
Банк, в свою очередь, при исполнении транзакции не имеет оснований подозревать, что платеж отправляется в пользу мошенников: данные для идентификации и коды подтверждения в полном порядке!
Показана примерная мошенническая цепочка, но она помогает получить представление о процессе. При этом вся проблема решается банальной установкой антивирусной программы, желательно с банковским модулем.
Конечно, в процессе представленной выше атаки, имитируются «родные» интерфейсы интернет-банка, чтобы оградить пользователя от сомнений в подлинности. Преступники работают с кодами, которыми обменивается браузер, установленный на персональном компьютере жертвы, и серверы банка.
Дело в том, что эти регламенты и протоколы жестко стандартизированы. Российские банки обязаны пользоваться определенными технологиями, а это, на данный момент, только упрощает преступные атаки. Одна из главных проблем унифицированных стандартов в том, что как только обнаружена уязвимость, она может быть использована против любого участника системы.
На мой взгляд, именно банк, как основной держатель ответственности по сохранности денежных средств от преступных посягательств, должен определять средства минимизации рисков.
