Как защитить свой ПК от мошенников?

Как защитить свой ПК от мошенников?

Артём Хафизов, технический директор компании "Фродекс"

Евгений Царев, эксперт и специалист в области ИБ


Стремясь повысить безопасность работы клиентов в ДБО, банки стали предлагать им хранить электронные ключи не в виде файлов, содержимое которых легко скопировать, а на специализированных криптоносителях, широко известных как токены. Поэтому злоумышленникам опять пришлось сменить тактику – вместо того чтобы копировать какую-либо информацию, они подключались к компьютеру жертвы и в режиме удаленного администрирования создавали мошеннический платеж. Соответствующий функционал появился практически во всех специализированных банковских троянах.

Наибольшую популярность токены получили в конце 2010 – начале 2011 гг. На тот момент они были действительно эффективным средством противодействия кражам денег у клиентов.

Возникает вопрос: а если токен не подключен к компьютеру, как злоумышленник может создать мошеннический платеж? Ключевую роль здесь играет человеческий фактор. Действительно, если секретный ключ хранится на токене, а токен не подключен к компьютеру, подписать платежное поручение невозможно. Но если бухгалтера во время работы в ДБО срочно вызвал директор "на пять минут", и она отошла, забыв завершить свою сессию в ДБО, и тем более забыв вытащить токен из компьютера? В такие моменты токены бессильны.

Довольно часто бывает, что ИТ-специалисты клиента рекомендуют бухгалтеру не вытаскивать токен (зачем? ведь для доступа к секретному ключу на токене все равно нужно ввести пароль?), не задумываясь о том, что пароль токена может быть легко украден клавиатурным шпионом.

Способы мошенничества

Известны также более изощренные способы создания мошеннического платежа в режиме удаленного администрирования. В момент, когда клиент подключил токен к компьютеру и вошел в ДБО, на компьютере клиента отображается "синий экран смерти" с сообщением, что сейчас осуществляется сохранение информации об ошибке. Мало кто заподозрит, что этот "синий экран" создан не операционной системой, а специализированным банковским трояном, и в момент "создания" отладочного дампа к компьютеру удаленно подключился злоумышленник и создал в уже открытом интерфейсе ДБО мошеннический платеж.

Первые случаи мошеннических платежей, созданных на компьютере клиента в режиме удаленного администрирования, были зафиксированы еще в 2009 г. Свое массовое распространение такой способ совершения мошеннических платежей получил с конца 2010 г., когда российские банки стали отказываться от хранения ключей ДБО в виде файла.

Основным стоп-фактором, с которым столкнулись злоумышленники после перехода на токены, стало ограничение по времени, когда можно подключаться к компьютеру жертвы в режиме удаленного доступа и создавать мошеннический платеж: нужно быть уверенным, что компьютер включен, к нему подсоединен токен, а за компьютером клиента никто не работает.

Примерно в середине 2011 г. был зафиксирован интересный мошеннический платеж, который был создан на компьютере клиента, использующего токен для хранения секретных ключей. Отличительной особенностью этого платежа было то, что он был создан не в режиме удаленного доступа, а с помощью так называемой подмены реквизитов платежа. Клиент, работая в системе ДБО, создал платежное поручение и отправил его в банк на исполнение. Как оказалось, реквизиты получателя платежа, полученного банком, несколько отличались от наименования получателя, введенного клиентом с клавиатуры. Банковский троян на компьютере клиента не только подменил реквизиты получателя реального платежного поручения, но и подменил при отображении в интерфейсе клиента реквизиты мошеннического платежа на те, которые были введены клиентом. Клиент, не увидев чего-либо подозрительного, был спокоен – до тех пор, пока не получал отказ от банка "недостаточно средств на счете" при попытке отправить через несколько дней очередное платежное поручение.

Массовое использование этого трояна злоумышленники начали примерно с октября – ноября 2011 г.

Эксклюзив в выигрыше

Рассмотренные выше этапы развития киберпреступности применимы практически ко всем российским банкам. Исключения составляют банки, которые пользуются малораспространенными системами ДБО – как правило, такие системы были написаны под заказ либо собственными силами ИТ-служб банка. Можно ли их считать более защищенными?

Если говорить о способе создания мошеннических платежей на компьютере клиента в режиме удаленного доступа, то – нет. Несмотря на различия в интерфейсах ДБО, они обладают общим функционалом – аутентификация клиента, создание платежного поручения, подписание его секретным ключом и отправка в банк. И если раньше злоумышленники редко использовали удаленный доступ для кражи средств клиента, то современная статистика говорит совсем об обратном.

Иногда мошенничество в ДБО носит не массовый характер, а направлено на определенных клиентов.

Известен случай, когда некая преступная группировка, в составе которой был ИТ-специалист, смогла украсть средства клиента, подключившись к компьютерной сети организации. Для этого к зданию, где располагалась эта организация, подъезжала затонированная машина. В машине злоумышленники подбирали пароль к WiFi-сети организации (по каким-то причинам системный администратор не отключил WiFi на одном из маршрутизаторов). Подобрав пароль и просканировав сеть, злоумышленникам удалось вычислить компьютер бухгалтера, который используется для работы в системе ДБО. Когда бухгалтер забыла выключить компьютер в конце рабочего дня, злоумышленники подключились к нему и в режиме удаленного администрирования создали и отправили в банк мошеннический платеж.

Вектор атаки мошенников может быть направлен не только на клиентов, но и на сами банки.

В начале 2009 г. один из известных банков (к слову сказать, имеющий одну из самых защищенных систем ДБО) столкнулся с массовой кражей средств со счетов своих клиентов через ДБО. Как оказалось, злоумышленники подделывали доверенности на восстановление SIM-карт мобильных телефонов клиентов. Получив новую SIM-карту у сотового оператора, злоумышленники смогли получить одноразовый пароль, необходимый для подтверждения банковского перевода в системе ДБО.

На стороне клиента

Если еще раз просмотреть эволюцию развития мошенничества в ДБО, можно сделать один важный вывод: какое бы средство защиты не использовалось на стороне клиента, будь то обычный пароль, одноразовый пароль, SMS-пароль либо ЭЦП – во всех случаях злоумышленникам удается их обойти. Зададимся вопросом – почему? В ответ можно перечислить множество причин.

Человек по сути своей получает информацию посредством только пяти основных органов чувств: зрение, слух, вкус, осязание и обоняние. Применимо к работе с системой ДБО, человек использует всего лишь один источник получения информации – это зрение. Если злоумышленник сможет обмануть этот орган чувств – он сможет украсть деньги клиента. Как показала практика, это легко удается специализированному банковскому трояну, который подменяет реквизиты мошеннического платежа при отображении на экран на те, которые были введены клиентом вручную.

Психология человека такова, что человек привык чему-то доверять. Если на компьютере отображается "синий экран смерти", где сообщается, что нужно подождать, пока будет сформирован отладочный дамп памяти, то в большинстве случаев пользователь действительно будет ждать, не подозревая, что в этот момент кто-то удаленно работает за его компьютером, создавая мошеннический платеж.

Возможности современных операционных систем позволяют скрыть сам факт удаленной работы злоумышленника на компьютере клиента. При подключении в терминальном режиме к рабочему столу Windows, в операционной системе фактически появляются 2 независимых экрана – то, с чем работает клиент банка и то, с чем работает злоумышленник. Ограничения на параллельную работу нескольких пользователей в операционной системе Windows XP легко снимаются путем подмены системной библиотеки termsrv.dll и выставления необходимых ключей в реестре.

Человек – это не компьютер. При выполнении многократных однообразных операций (которыми являются отправка нескольких десятков платежек) он начинает совершать ошибки. Если мы говорим про специализированные устройства, которые перед формированием ЭЦП документа отображают на внешнем экране содержимое реквизитов платежного поручения (таким является небезызвестный Рутокен PINPad), то и они не являются панацеей. Например, если бухгалтеру необходимо срочно отправить десяток платежек "за 5 минут до окончания рабочего времени", то она вряд ли будет сверять на экране этого устройства каждую цифру расчетного счета получателя во всех платежных поручениях – в лучшем случае это будут первые 2–3 платежки.

Вы можете также ознакомиться с другими статьями из цикла "Мошенничество в ДБО":