Взлом онлайн-банка

Взлом онлайн-банка - получение доступа к денежным счетам граждан с помощью вредоносных программ или мошеннических действий через несанкционированный доступ к системе дистанционного банковского обслуживания (ДБО).

Банки стараются максимально быстро предложить своим клиентам удобные механизмы управления своим счетом, личным кабинетом и максимально удобно организовать финансовое взаимодействие клиентов с их контрагентами. Для этого разрабатываются специальные веб-приложения, которые и позволяют клиентам производить манипуляции со своими активами, хранящимися в банке. Веб-приложения, которые позволяют не только получать справочную информацию по счетам, но и давать банку поручения о движении денежных средств, называются онлайн-банкингом.

Взлом онлайн-банка

Однако скорость, с которой выпускаются новые продукты, может сыграть злую шутку. Если при разработке веб-приложения не было достаточно внимания уделено безопасности, то посторонние злоумышленники вполне могут вмешаться в работу онлайн-банкинга и ограбить компанию-клиента на чувствительные суммы. Таким образом, взлом онлайн-банкинга - это выполнение злоумышленниками несанкционированных транзакций от имени клиента.

При том банк имеет ограниченное влияние на клиента в части обеспечения безопасности. Например, банк не может научить сотрудников клиента правильно хранить пароли от системы онлайн-банкинга или электронные сертификаты, проверять свои компьютеры на вирусы и выявлять другую вредоносную активность. Поэтому в договорах с банком обычно написано, что ответственность за несоблюдение требований безопасности лежит на клиенте, что не позволяет клиентам в случае инцидентов получать возмещение убытков. Поэтому компании и физические лица, выбирая банки с возможностью дистанционного обслуживания через веб, должны проверять какие инструменты защиты банк может вам предоставить.

Классификация и способы

Методы взлома онлайн-банкинга, аналогичны методам взлома любого веб-приложения:

  • Фишинг. Рассылка спама или публикация на форумах ссылок на ресурсы, имитирующие платёжный интерфейс банка. Если жертва переходит по такой ссылке, у нее выманивается пароль и другая идентификационная информация, необходимая для совершения транзакции с ее счета. Для блокирования этой атаки не рекомендуется переходить по прислаемым или опубликованным на посторонних сайтах ссылкам - только прямой набор адреса или переход из закладок с проверкой наличия защищенного режима браузера (использование протокола HTTPS с правильным написанием имени банка в сертификате).
  • Кража личных индентификаторов (личности). В системах веб-банкинга обычно выполняется аутентификация по паролю, перехват которого позволяет инициировать некоторые действия. Кроме того, в веб-приложениях есть возможность воровства куки (идентификатора сессии), что при определенных обстоятельствах позволяет злоумышленнику вмешаться в сессию легитимного ранее авторизованного пользователя. Правда, банки сейчас используют достаточно сложные системы аутентификации, использующие различные коды подтверждения. Однако при определенных обстоятельствах они могут быть перехвачены, что позволяет злоумышленникам при определенных обстоятельствах инициировать несанкционированные транзакции. Обычно для этого используются вредоносные программы, которые работают на устройстве пользователя и вмешиваются в работу программы-клиента. Для защиты от такого способа нападения рекомендуется устанавливать антивирусные программы и использовать квалифицированные сертификаты с генерацией подписи на внешнем устройстве.
  • Взлом веб-сайта банка. Поскольку онлайн-банк - это веб-приложение, то в нем могут быть ошибки, которые позволяют с помощью специально подготовленных ссылок или внедренных JavaScript манипулировать с интерфейсом приложения. Цель такого манипулирования в том, чтобы либо перенаправить деньги на другой счет, либо навязать какие-нибудь посторонние транзакции, либо даже блокировать интерфейс и требовать выкуп за возврат контроля над ним. Если не переходить по ссылкам из непроверенных источников и не открывать онлайн-банка после посторонних сайтов, то можно избежать подобной атаки. Со стороны банка рекомендуется провести аудит кода веб-приложений на предмет классических ошибок веб-приложений.
  • Социальная инженерия. Собственно, злоумышленники могут использовать в том числе и обман, чтобы заставить вас совершить ненужную вам транзакцию. Например, зафиксированы случаи, когда злоумышленники, представившись сотрудниками ИТ-департамента банка, просили сгенерировать "тестовые" транзакции якобы для отладки приложения. При этом даже не обязательно нарушать работу банковского приложения - неподготовленный к такой атаке сотрудник может сделать все самостоятельно без необходимости взлома приложения или перехвата контроля над приложением. Для защиты от подобных атак лучше всего не доверять контроль над корпоративным счётом одному человеку, но разделять полномочия по подготовке транзакций, проверке их корректности и исполнению различным сотрудникам, хотя бы один из которых должен иметь квалификацию в информационной безопасности.
  •  DDoS-атака. Злоумышленники могут вывести из строя онлайн-банк. Например, если удалить секретный ключ сертификата, то клиент не сможет подключиться к банку. Вывод из строя веб-сайта обычно используется для скрытия другой атаки, чтобы атакованый клиент не мог заметить воровства денег и не попытался заблокировать несанкционированную транзакцию. Поэтому если веб-интерфейс оказался недоступен, то это повод попытаться проверить состояние своего счета другим способом - возможно ваш клиент заблокирован специальным вредоносом.

Жертвы взлома онлайн-банка

Основным объектом воздействия в данном случае является веб-приложение банка - именно его атакуют злоумышленники, пытаясь подделаться под легитимную транзакцию. Однако банки и их сотрудники уже достаточно квалифицированы как в информационных технологиях, так и в ИБ. Поэтому хакеры обычно атакуют слабое звено - клиентов или их компьютеры. В большинстве случаев, это оказывается более эффективно, чем атаковать информационную систему банков. Впрочем, вполне возможна атака на банк через клиента - с помощью вставки вредоносного кода во вполне легальную и предсказуемую переписку банка с клиентом.

Пользователю клиента онлайн-банка важно понимать что происходит с приложением, когда совершается транзакция - любые подозрительные действия приложения стоит расценивать как попытку мошенничества. Рекомендуется не вводить идентификационной информации в подозрительные формы, проверять надежность HTTPS-соединения и контролировать вредоносную активность других приложений. Также стоит иметь второй фактор идентификации, не зависимый от веб-приложения, например, получение одноразовых паролей по SMS. Кроме того, стоит открывать приложение из закладок, а не по ссылкам из присылаемых сообщений.

Источники атак на онлайн-банки

Злоумышленники охотятся за идентификационными данными банковских веб-приложений, чтобы попытаться получить доступ к деньгам клиентов, которые таким приложением пользуются. Проблема усугубляется тем, что изначально протокол HTTP не был рассчитан на создание защищённых приложений - в основном для показа отдельных страниц. Механизмы, обеспечивающие целостность транзакций и сессий, появились в нем недавно и являются не обязательными расширениями. В частности, куки, которые как раз и предназначены для сохранения информации о сессиях, являются не обязательными для браузеров. В то же время воровство этого идентификатора позволяет злоумышленникам вмешаться в работу приложения и совершать несанкционированные действия - разработчикам сайтов необходимо иметь это в виду при разработке приложений.

При этом средства защиты на стороне банка могут потребовать достаточно больших ресурсов. Даже простой переход всего сайта банка на защищённый вариант протокола HTTPS является сложной задачей, требующей преобразования сайта, не говоря уж о нагрузке, которую создаёт шифрование при его массовом использовании. Традиционно, защищают только наиболее критичные места веб-приложений, а большая часть сайтов банков остаётся незащищённой. Современные браузеры имеют визуальные метки для оценки защищённости соединения, и пользователи должны бы за ними следить.

В то же время всплывающие окна и другие элементы веб-интерфейса не всегда имеют визуальную атрибутику самого сайта - пользователь не может гарантировано определить к какому сайту какое окно относится, что позволяет злоумышленникам открыть поверх сайтов банков собственные запросы идентификационной информации, которые визуально сложно отличить от легитимных. Обман пользователя с помощью манипуляций с веб-интерфейсом и создаёт угрозу для веб-приложений, требующих защиты от утечки важной информации. Именно в этой плоскости идёт соревнование между разработчиками приложений, которые пытаются предложить пользователям новые инструменты защиты от манипуляций веб-интерфейсом, и хакерами, придумающими новые методы обхода этих инструментов. Наиболее эффективным инструментом сейчас является выход за пределы веб-интерфейса с помощью SMS-уведомлений и контрольных звонков, но хакеры уже начинают адаптировать и эти механизмы для своих целей.

Анализ риска

Собственно, защита онлайн-банка нужна с двух сторон - от самого банка и от клиента. Основная цель защиты со стороны банка - выявить и блокировать манипулирование со своим веб-приложением и передаваемым трафиком. Лучше всего для этого использовать защищённый протокол HTTPS, для чего стоит установить обратный прокси, который будет заниматься расшифровкой трафика пользователей. Иногда такие прокси также выполняют функции надёжной аутентификации пользователей, идентификации устройств и выполняют функции Web Application Firewall (WAF). Они же могут выполнять задачи балансировки нагрузки, оптимизации загрузки приложения и другие, не связанные прямо с безопасностью, но полезными для оптимизации веб-приложений. Хорошей практикой является предложение клиентам технологии двухфакторной аутентификации с помощью специальных аппаратных токенов, распознавания лиц и голоса, одноразовых паролей, присылаемых по SMS, и других методов. Лучше если клиент может самостоятельно выбрать для себя наиболее удобный и приемлемый по стоимости метод дополнительной аутентификации.

Отдельно стоит упомянуть о механизмах проверки на манипулирование средой исполнения браузера. Для этого можно использовать, например, технологию SSL-антивируса - специального скрипта, сканирующего окружение пользователя на предмет обнаружения вредоносной активности. Кроме того, можно фиксировать отпечаток оборудования, с которого пользователь загружает веб-приложение. Если он заходит с устройства, которое раньше не использовал, то стоит попросить его пройти дополнительную проверку и указать это устройство как собственное. Некоторые производители средств защиты предлагают подобные инструменты контроля пользовательской среды исполнения веб-приложения.

Для клиентов важно обеспечить защиту от вредоносной активности - проверять своё устройство антивирусом, работать с сайтом банка в защищённом режиме, а лучше вообще из браузера с минимальным набором дополнений, также не лишним будет использование двухфакторно аутентификации, при которой злоумышленник не сможет войти в онлайн-банк даже при краже пароля. Она может быть постороена на разных технологиях - токены, биометрия, смс-коды, OTP.  Стоит также каждый раз не лениться и проверять правильность написания имени банка в сертификате HTTPS, а также конструкцию URL, чтобы она не была слишком сложной и обременённый дополнительными параметрами - это позволяет сделать любой браузер. А некоторые антивирусы могут выполнять эту работу за клиента и предлагают подключаться к сайтам банков с проверкой их подлинности. Например, такой режим у "Лаборатории Касперского" называется "Безопасные платежи". Следует отметить, что клиент отвечает за свои деньги, поэтому стоит выбирать банки, которые заботятся о безопасности своих веб-приложений: имеют дополнительные функции по строгой двухфакторнуой аутентификации, предлагают механизмы контроля среды исполнения, работают полностью в защищённом режиме, то есть используют в своей работе инструменты, которые описаны выше в этом разделе.