Миф №87 "Ограничение на сумму платежа через Интернет спасает от незаконного снятия средств со счета"
Алексей Лукацкий - менеджер по развитию бизнеса Cisco Systems.
Совсем недавно я пытался купить авиабилеты в Екатеринбург, чтобы прочитать там свой курс по моделированию угроз. Зайдя на сайт «Уральских авиалиний», я указал номера рейсов, их даты и ввел реквизиты своей карты Visa… Однако в оплате мне было отказано. Я стал разбираться и выяснил, что процессинг моего банка ограничил сумму платежа по карте через Интернет лимитом в 300 долларов. Билеты же при этом стоили около 350-380 долларов. Это один из распространенных механизмов защиты клиентов Интернет-банков от незаконного снятия средств со счет (хотя и им пользуются далеко не все банки, не желая ограничивать своих клиентов). Но достаточно ли его для борьбы с данной угрозой?
Оказывается только одного этого механизма для борьбы с мошенничеством уже недостаточно и вот почему. В октябре прошлого года был обнаружен новый троянец, получивший название URLzone (он же Bebloh), который атаковал клиентов нескольких немецких банков. Механизмы, заложенные в URLzone, раньше специалистам не встречались. Клиент Интернет-банка, зайдя в свою виртуальную сейфовую ячейку, начинал как обычно работать со своими счетами. В этот момент, спящий до поры до времени троянец, активизировался и начинал скрытно переводить деньги на подставные счета. Что в этом удивительного, спросите вы? Удивительно то, что, во-первых, URLzone по окончании своей работы демонстрировал пользователю неверное состояние баланса его счета, на лету подменяя финансовые показатели в выписке. Это позволяет скрыть на время факт кражи денег. За этот период злоумышленники успевали обналичить деньги и скрыться от правоохранительных органов.
Второй инновацией можно назвать интеллектуальную систему подбора суммы перевода. Если другие банковские троянцы пытаются украсть либо максимальную сумму на счете, либо фиксированную. А вот URLzone каждый раз подбирает сумму так, чтобы обойти систему борьбы с мошенничеством, установленную в банке. Также URLzone не полностью опустошал счет жертвы, а оставлял небольшую сумму, чтобы опять не возбудить интереса у банковской службы безопасности. При этом реквизиты подставных счетов, пороговые значения перевода и опустошения счета могут динамически меняться по команде из центра, расположенного на Украине. Данный троянец был направлен в первую очередь на европейские (преимущественно немецкие) банки, но не исключена его переквалификация и на другие страны. Тем более, что в состав данного троянца входит специальный модуль URLzone Builder, который и создает конфигурационный файл, в соответствии с которым и действует URLzone, в т.ч. и указать адрес любого банка.
Кстати, у URLzone есть и еще ряд функций, как стандартных (например, пересылка копий экрана), так и достаточно интересных. В частности, в URLzone реализован механизм обхода одноразовых TAN-кодов. Работает эта схема следующим образом – после ввода одноразового пароля и нажатия кнопки «Оплатить» троянец просто подменяет реквизиты перевода «на лету».
Как видим обычный контроль пороговых значений переводимых средств не решает проблему незаконного снятия денег со счета. Нужна комбинация подходов. Например, в ряде банков совершить перевод на внешний счет невозможно, если этот счет предварительно не введен в соответствующий справочник. Это простая, но эффективная (при правильной реализации) мера борьбы с несанкционированными переводами. Но гораздо более эффективным является внедрение специализированных решений по борьбе с мошенничеством, которые, опираясь на профиль поведения клиента, контролируют все его транзакции. К числу компаний, выпускающих такие решения, относятся Actimize, Cydelity (сейчас часть Digital Resolve), Bharosa (сейчас часть Oracle), Cyota (сейчас часть EMC RSA), Business Signatures (сейчас часть Entrust) и т.д.
