Угроза хищений в системах ДБО

28.02.2012

С 2008 года банки сталкиваются с лавинообразным ростом попыток хищений денежных средств со счетов клиентов с использованием систем ДБО. При этом платежные документы, направляемые в банк от имени его клиентов, имели корректную электронную подпись.

Чтобы направить в банк документ от имени клиента злоумышленнику нужно получить доступ к секретному ключу электронной подписи. Подобрать секретный ключ невозможно – при длине ключа 256 бит количество возможных вариантов составляет 1078, атомов в видимой части Вселенной меньше. Секретный ключ электронной подписи можно только украсть.

Исторически во всех системах ДБО использовались секретные ключи, хранимые в  файлах – на дисках, USB флешках и обычных смарт-картах.

Для хищения злоумышленники заражали компьютеры клиентов специализированными вредоносными программами. Копия файла с ключом отправлялась злоумышленнику. Аналогично похищались вводимые пользователем пароли доступа.

Для противодействия хищениям ключей электронной подписи в iBank 2 была встроена поддержка специальных устройств «iBank 2 Key» – USB токенов и смарт-карт с неизвлекаемым хранением секретных ключей.

Подробная информация об устройствах «iBank 2 Key» представлена ниже.

Новые угрозы

Весной 2010 г. в нескольких банках были зафиксированы первые попытки хищений средств у клиентов, использовавших устройства с неизвлекаемыми секретными ключами электронной подписи (USB токены).

Во всех выявленных случаях злоумышленники пользовались халатностью клиентов, оставляющих USB-токен постоянно и бесконтрольно подключенным к компьютеру с доступом в Интернет.

С помощью вредоносных программ со встроенным механизмом удаленного управления (RAdmin, TeamViewer, VNC и др.) злоумышленники подключались к консоли инфицированного компьютера корпоративного клиента, запускали Web-браузер и подключались к порталу банка.

Далее с использованием ранее перехваченного пароля доступа и постоянно подключенного USB-токена злоумышленники от имени клиента заходили в Internet-Банкинг, создавали платежные поручения, подписывали их и отправляли в банк.

Одновременно были зафиксированы попытки хищений с использованием вредоносных программ, обеспечивающих дистанционный доступ к USB-портам компьютера клиента. При этом вход в Internet-Банкинг осуществлялся с компьютера злоумышленника, а работа с USB токеном, подключенным к компьютеру клиента происходила дистанционно. Для преодоления механизма контроля доступа клиента с заданных IP-адресов вредоносная программа осуществляла туннелирование TCP-трафика с компьютера злоумышленника до компьютера клиента внутри XMPP-трафика (Jabber и т.п.), производила трансляцию IP-адресов (NAT) и направляла TCP-трафик злоумышленника от клиента в банк.

Важно:

  • Новые угрозы не являются специфичными для системы «iBank 2», удаленный доступ к USB-портам или удаленное управление компьютером клиента упрощают злоумышленникам задачу хищений при работе с любыми системами ДБО.
  • Ни в одном из инцидентов ключ подписи клиента не был похищен из устройства «iBank 2 Key». Применение USB-токенов и смарт-карт «iBank 2 Key» сильно ограничивает возможности злоумышленников по хищению средств.

Сокрытие мошеннических платежей

В июле 2011г. в банках были зарегистрированы попытки хищения средств клиентов с использованием новой разновидности вредоносной программы.

Нативная компонента вредоносной программы устанавливалась на компьютер клиента, используя критические уязвимости в старых версиях Java-машин (JVM). Вредоносная программа не только предоставляла возможность дистанционного управления компьютером клиента, но и подменяла вызовы JVM для сокрытия мошеннических действий.

Платежное поручение создавалось от имени клиента, подписывалось и отправлялось в банк непосредственно на инфицированном компьютере клиента. При этом все мошеннические действия и их результаты оставались скрытыми от клиента:

  • При работе на инфицированном компьютере мошеннический платеж не отображался в списке платежных поручений. При работе с обычного компьютера мошеннический платеж отображался.
  • При работе на инфицированном компьютере операция списания средств не отображалась в выписке. При работе с обычного компьютера проводка отображалась.
  • При работе на инфицированном компьютере остаток на счете модифицировался – не уменьшался на сумму мошеннического платежа. При работе с обычного компьютера отображался реальный остаток.

В результате таких действий попытка хищения могла длительное время оставаться скрытой от сотрудников корпоративного клиента.

Под Internet Explorer версии до 6ой включительно, отображение сайта невозможно!
Выбранный браузер не поддерживает современные веб-стандарты и представляет угрозу вашей безопасности.