Миф №87 "Ограничение на сумму платежа через Интернет спасает от незаконного снятия средств со счета"
Алексей Лукацкий - менеджер по развитию бизнеса Cisco Systems.
Совсем недавно я пытался купить авиабилеты в Екатеринбург, чтобы прочитать там свой курс по моделированию угроз. Зайдя на сайт «Уральских авиалиний», я указал номера рейсов, их даты и ввел реквизиты своей карты Visa… Однако в оплате мне было отказано. Я стал разбираться и выяснил, что процессинг моего банка ограничил сумму платежа по карте через Интернет лимитом в 300 долларов. Билеты же при этом стоили около 350-380 долларов. Это один из распространенных механизмов защиты клиентов Интернет-банков от незаконного снятия средств со счет (хотя и им пользуются далеко не все банки, не желая ограничивать своих клиентов). Но достаточно ли его для борьбы с данной угрозой?
Оказывается только одного этого механизма для борьбы с мошенничеством уже недостаточно и вот почему. В октябре прошлого года был обнаружен новый троянец, получивший название URLzone (он же Bebloh), который атаковал клиентов нескольких немецких банков. Механизмы, заложенные в URLzone, раньше специалистам не встречались. Клиент Интернет-банка, зайдя в свою виртуальную сейфовую ячейку, начинал как обычно работать со своими счетами. В этот момент, спящий до поры до времени троянец, активизировался и начинал скрытно переводить деньги на подставные счета. Что в этом удивительного, спросите вы? Удивительно то, что, во-первых, URLzone по окончании своей работы демонстрировал пользователю неверное состояние баланса его счета, на лету подменяя финансовые показатели в выписке. Это позволяет скрыть на время факт кражи денег. За этот период злоумышленники успевали обналичить деньги и скрыться от правоохранительных органов.
Второй инновацией можно назвать интеллектуальную систему подбора суммы перевода. Если другие банковские троянцы пытаются украсть либо максимальную сумму на счете, либо фиксированную. А вот URLzone каждый раз подбирает сумму так, чтобы обойти систему борьбы с мошенничеством, установленную в банке. Также URLzone не полностью опустошал счет жертвы, а оставлял небольшую сумму, чтобы опять не возбудить интереса у банковской службы безопасности. При этом реквизиты подставных счетов, пороговые значения перевода и опустошения счета могут динамически меняться по команде из центра, расположенного на Украине. Данный троянец был направлен в первую очередь на европейские (преимущественно немецкие) банки, но не исключена его переквалификация и на другие страны. Тем более, что в состав данного троянца входит специальный модуль URLzone Builder, который и создает конфигурационный файл, в соответствии с которым и действует URLzone, в т.ч. и указать адрес любого банка.
Кстати, у URLzone есть и еще ряд функций, как стандартных (например, пересылка копий экрана), так и достаточно интересных. В частности, в URLzone реализован механизм обхода одноразовых TAN-кодов. Работает эта схема следующим образом – после ввода одноразового пароля и нажатия кнопки «Оплатить» троянец просто подменяет реквизиты перевода «на лету».
Как видим обычный контроль пороговых значений переводимых средств не решает проблему незаконного снятия денег со счета. Нужна комбинация подходов. Например, в ряде банков совершить перевод на внешний счет невозможно, если этот счет предварительно не введен в соответствующий справочник. Это простая, но эффективная (при правильной реализации) мера борьбы с несанкционированными переводами. Но гораздо более эффективным является внедрение специализированных решений по борьбе с мошенничеством, которые, опираясь на профиль поведения клиента, контролируют все его транзакции. К числу компаний, выпускающих такие решения, относятся Actimize, Cydelity (сейчас часть Digital Resolve), Bharosa (сейчас часть Oracle), Cyota (сейчас часть EMC RSA), Business Signatures (сейчас часть Entrust) и т.д.
The web application you are attempting to access on this web server is currently unavailable. Please hit the "Refresh" button in your web browser to retry your request.
Administrator Note:
An error message detailing the cause of this specific request failure can be found in the application event log of the web server. Please review this log entry to discover what caused this error to occur.
Copyright 2000-2010 iFin.ru, e-mail:
создание сайта: Aplex, Дизайн: Максим Черемхин
