Пресс-завтрак «Лаборатории Касперского»: защита интернет-банкинга
Согласно данным исследования, проведенного специально для «Лаборатории Касперского» исследовательским агентством Harris Interactive, 57 % пользователей ПК удаленно работают с банковским счетом, причем 31 % опрошенных постоянно хранят на жестком диске необходимые для этого данные. Тенденция лишь продолжится, неудивительно, что киберпреступники устроили за банковской информацией настоящую охоту. Всего за первые месяцы 2012 года «Лаборатория Касперского» обнаружила более 15 тыс. новых троянов, нацеленных на кражу банковских данных. На фоне общего количества угроз это не очень много, но для того, чтобы потерять все деньги на банковском счете, достаточно одного заражения. Поэтому для защиты пользовательской информации при совершении онлайн-транзакций «Лаборатория Касперского» разработала две новые технологии: «Автоматическая защита от эксплойтов» для блокирования самых опасных угроз и «Безопасные платежи». Именно о них рассказали собравшимся журналистам представители антивирусной компании.
О современных информационных угрозах рассказал ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. По его словам, главной целью злоумышленников являются данные, с помощью которых они могут выдать себя за владельца счета и таким образом получить возможность совершать банковские операции. Как правило, это логин и пароль для удаленного доступа, а также одноразовые коды или платежный пароль, необходимые для подтверждения перевода денежных средств. Существует множество способов хищения этой информации, одним из наиболее простых из них является массовая рассылка сообщений якобы от администрации банка (чаще всего предлагается пройти по ссылке на «официальный сайт банка»). Согласно исследованию «Лаборатории Касперского», подобную корреспонденцию получали до четверти (23 %) пользователей по всему миру. При получении сомнительной корреспонденции нужно внимательно посмотреть на адрес отправителя и ссылку, по которой предлагается пройти. И помнить о том, что банки и другие финансовые организации никогда не присылают подобные письма, в случае каких-либо сомнений лучше потратить немного времени и перезвонить в банк, кликать по предложенной ссылке не стоит ни в коем случае. В противном случае дальнейшие события зависят уже от способностей киберпреступников.
Они могут создать копию официального сайта банка и разместить ее на домене, схожем по написанию с банковским. Пользователь проходит по ссылке и, думая, что находится на настоящем сайте, вводит свои данные в стандартную форму, откуда они попадают к злоумышленникам. Другой вариант: ссылка ведет на сторонний ресурс, где пользователю быстро загружают вредоносное ПО, используя скрипт или уязвимость в браузере, а затем перенаправляют на реальный сайт банка. В качестве подобного примера Сергей Голованов привел банковский троян Trojan Banker.MSIL.MultiPhishing.gen, обнаруженный в январе 2012 года и действующий в основном в Великобритании для похищения данных при авторизации на сайтах Santander, HSBC Bank UK, Metro Bank, Bank Of Scotland, Lloyds TSB, Barclays и других банков. Попадая на компьютер жертвы, троян никак не проявляет себя, пока пользователь не зайдет на сервис онлайн-банкинга одного из этих банков. После этого он начинает демонстрировать пользователю окно, имитирующее форму авторизации соответствующего банка, и, если человек не заподозрит подвоха и введет в нее свои данные, вся информация будет незамедлительно отправлена владельцам трояна.
Из числа технических средств в «Лаборатории Касперского» особенно отмечают кейлоггеры, способные делать снимки экрана и данные авторизации в момент их ввода пользователем. Большой популярностью пользуются троянские программы, предназначенные для извлечения банковской информации из хранящихся на компьютере файлов, в том числе из менеджера паролей браузера. Некоторые вредоносные программы могут во время работы пользователя подменять сайт банка на сайт злоумышленников (путем манипуляций с DNS) или модифицировать загруженные в браузере веб-страницы реального сайта, например, добавляя в них собственные поля. Именно так поступал универсальный (то есть крадущий всевозможную личную информацию) троян Zeus, заразивший 3,5 млн компьютеров в США. Один из его наследников, троян Trojan-Spy.Win32.Carberp, проникает в систему, используя эксплойты, и затем крадет деньги с банковских счетов физических и юридических лиц (местом обитания трояна являются преимущественно Россия и страны СНГ). Всего за первые месяцы 2012 года «Лаборатория Касперского» обнаружила более 15 тыс. новых троянов, нацеленных на кражу банковских данных. География их распространения охватывает практически весь мир, наиболее «популярными» странами являются Россия, Бразилия и Китай. На фоне общего количества угроз 15 тыс. – это не очень много, но для того, чтобы потерять все деньги на банковском счете, достаточно одного заражения.
Банки и другие финансовые организации не меньше своих клиентов заинтересованы в сохранении конфиденциальности информации, используя собственные средства защиты от злоумышленников (двойная аутентификация, система одноразовых динамических SMS-паролей, дополнительный список одноразовых паролей или аппаратный ключ, защищенное протоколом SSL-соединение и так далее). Однако перечисленные средства не являются панацеей: троян может перехватить платежный пароль пользователя или подделать сертификат подлинности сайта, мобильная версия Zeus, известная как Zeus-in-the-Mobile, может перехватить SMS с одноразовым кодом, а затем передать его злоумышленникам. Поэтому, по словам г-на Голованова, пользователю не стоит надеяться на банк, лучше с помощью собственного защитного ПО усилить предлагаемые им возможности. И в первую очередь для обеспечения безопасности банковской информации и системы в целом нужен качественный антивирус, входящий в продукт уровня Internet Security. Помимо антивируса нужны средства поиска уязвимостей, проверки подлинности ссылок, блокировки зловредных веб-скриптов и всплывающих окон, защиты данных от перехвата, а также виртуальная клавиатура для борьбы с кейлоггерами. «Лаборатория Касперского» воплотила эти пожелания в технологиях «Автоматическая защита от эксплойтов» и «Безопасные платежи».
О новых технологиях рассказал руководитель лаборатории антивирусных исследований «Лаборатории Касперского» Олег Ишанов. По его словам, одним из наиболее эффективных и опасных способов запуска вредоносного ПО на компьютере жертвы является использование уязвимостей в популярных программах или в самой операционной системе. При этом наибольшую угрозу представляют так называемые уязвимости «нулевого дня» – прорехи в программном обеспечении, для которых производитель еще не выпустил обновление, решающее проблему. Согласно данным «Лаборатории Касперского», две атаки из трех приходятся на программу Adobe Acrobat Reader и виртуальную машину Java, в то время как другое ПО пользуется значительно меньшей популярностью. Такой «выбор» киберпреступников связан с максимальной распространенностью этих программ, причем на различных платформах. В частности, в начале этого года одинаковая уязвимость была обнаружена в версиях платформы Java, работающих как на Windows, так и на компьютерах Apple под управлением Mac OS X. Чуть позже уязвимость привела к эпидемии вируса FlashFake и регистрации первого массового ботнета из зараженных компьютеров Apple.
Значительная часть эксплойтов – вредоносных программ, использующих уязвимости в ПО, может быть заблокирована традиционными средствами антивирусной защиты. Многофункциональное защитное ПО, такое как Kaspersky Internet Security или Kaspersky CRYSTAL, также может блокировать зараженные веб-сайты и фильтровать нежелательную почту с вредоносными ссылками или вложениями. Но для борьбы с самыми сложными вредоносными программами, использующими в том числе уязвимости «нулевого» дня, требуются более продвинутые решения. Именно поэтому в «Лаборатории Касперского» разработали специальную технологию «Автоматическая защита от эксплойтов», в основе которой лежит анализ поведения существующих эксплойтов и сведения о приложениях, которые чаще других подвергаются атакам злоумышленников. За такими программами устанавливается особый контроль: как только одна из них пытается запустить подозрительный программный код, процедура прерывается и начинается проверка. При этом запуск исполняемого кода может быть вполне легитимным, например, таким образом программа может запросить обновление с сайта разработчика. Поэтому, чтобы различить обычную деятельность и попытку заражения, новая технология использует информацию о наиболее типичном поведении известных эксплойтов. Характерное поведение таких вредоносных программ позволяет предотвратить инфекцию, даже если речь идет о неизвестном ранее эксплойте либо об использовании уязвимости «нулевого дня» (как правило, эксплойт можно идентифицировать попыткой запустить файл, загруженный из подозрительного источника и без ведома пользователя). Еще один используемый в «Автоматической защите от эксплойтов» метод основан на технологии Address Space Layout Randomization (ASLR). Поддержка подобной технологии встроена в операционную систему Windows (начиная с Vista) и обеспечивает случайное расположение ключевых данных (например, системных библиотек) в адресном пространстве, что значительно усложняет использование некоторых уязвимостей. Технология «Лаборатории Касперского» предлагает пользователю функцию Forced Address Space Layout Randomization, которая выполняет те же операции и способна работать в тех случаях, когда аналогичная система в Windows бессильна. В частности, Forced ASLR может работать и в Windows XP.
Что касается технологии «Безопасные платежи», то, по словам Олега Ишанова, она предназначена для защиты финансовой и другой важной информации во время совершения платежных операций, включая в себя три ключевых компонента защиты. Во-первых, это база доверенных адресов платежных и банковских систем. Как только пользователь заходит на сайт одной из таких систем, ему предлагается перевести браузер в защищенный режим (так технология «Безопасные платежи» гарантирует, что открываемый веб-ресурс является именно сайтом банка или платежной системы, а не подделкой злоумышленников). Но не менее важно выполнять проверку подлинности сервера, с которым устанавливается соединение. Часто злоумышленники создают фальшивые онлайн-магазины с целью сбора пользовательской информации, поэтому сайт должен иметь сертификат подлинности. Этот электронный документ гарантирует, что данные онлайн-магазина проверены, владеющая им компания действительно существует, а соединение с сервером защищено от перехвата. Сервис проверки сертификатов, второй ключевой компонент «Безопасные платежи», поможет точно определить подлинность веб-сайта. Одновременно с запуском защищенного режима браузера происходит проверка компьютера пользователя на наличие уязвимостей – это третий ключевой компонент модуля «Безопасные платежи».
Этот процесс проходит быстро, так как проверяются лишь уязвимости определенного типа, влияющие на безопасность онлайн-банкинга (к примеру, уязвимости класса повышения привилегий). В случае обнаружения «дыр» пользователю будет предложено устранить их в автоматическом режиме. При желании отложить обновление и продолжить операцию это негативно скажется на безопасности системы. Также стоит отметить новую функцию «Защита ввода данных с аппаратной клавиатуры», позволяющую защитить ввод данных с аппаратной клавиатуры посредством специализированного драйвера, и управляемую при помощи мыши виртуальную клавиатуру, которые исключают перехват логинов и паролей в те моменты, когда пользователь вводит их в браузере или другой программе. Технология «Безопасные платежи» работает для любых сайтов, требующих идентификации и работающих с различными платежными системами через протокол HTTPS. Кроме того, пользователь самостоятельно может добавить в список доверенных ресурсов любой банк, платежную систему или интернет-магазин. Активация защитных механизмов не требует предварительной настройки модуля, за исключением подтверждения использования технологии для конкретного сайта. В дальнейшем активация будет происходить автоматически, но при этом пользователь всегда сможет отменить запуск «Безопасных платежей» и продолжить работать в обычном браузере. Также возможен простой запуск режима модуля для выбранного заранее сайта с помощью специального ярлыка на рабочем столе. Это дает возможность создать легкодоступную и безопасную точку входа на нужный сайт.
Согласно прогнозам IDC, в 2012 году будет совершено более 1 млрд онлайн-покупок на общую сумму более $1,2 трлн. В сложившихся условиях рост онлайн-платежей сопровождается ростом активности мошенников, а пользователи все чаще переживают за сохранность своих данных. При этом, отвечая на вопросы журналистов, представители «Лаборатории Касперского» отметили, что размер банковского счета не является определяющим для злоумышленников. Средняя сумма незаконных списаний, по данным компании, составляет около $300, поэтому в равной опасности перед кибер-преступниками находятся как владельцы малых, так и крупных счетов. Это подтверждают данные аналитиков: кража финансовой информации всерьез беспокоит 40 % опрошенных, а 21 % считают ее хищение наиболее серьезной угрозой. Справиться с новыми угрозами способно лишь специализированное ПО, две новые технологии, разработанные в «Лаборатория Касперского» не только помогают снизить риск утечки данных до минимума, но и открывают все свои возможности для массового рынка.
