`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Практический подход к безопасности, или почему онлайн-банкингу необходима дополнительная защита

+13
голоса

Развитие систем онлайн-банкинга и распространение интернет-магазинов существенно упростили жизнь современного человека. Благодаря технологиям обработки финансовых транзакций онлайн, пользователи получили возможность быстро оплачивать товары и услуги, управлять личными финансами, делать пожертвования, не вставая из-за компьютера. Однако эта тенденция не осталась без внимания киберпреступников и требует специальных мер безопасности.

Кибератаки, целью которых являются электронные кошельки пользователей, гораздо более привлекательны для злоумышленников, чем все прочие типы атак. И это легко объясняется: в случае успеха злоумышленник получает прямой доступ к аккаунту онлайн-банкинга жертвы и, соответственно, возможность сразу похитить деньги, в то время как монетизация большинства других типов киберпреступлений, связанных с хищением данных, требует дополнительных действий. Например, получив с помощью фишинговой атаки базу номеров платежных карт, злоумышленнику нужно кому-то ее продать. А в случае успешного развертывания бот-сети для распространения вредоносного ПО и спама или для проведения DDoS-атак — найти заказчиков для своих «услуг».

Казалось бы, когда речь заходит о взаимоотношениях банка и клиента, защита денег клиента — это забота банка. И эта мысль справедлива, когда речь идет о физической безопасности банка или о безопасности электронных внутрибанковских и межбанковских финансовых транзакций. Однако, как ни странно, когда речь заходит об онлайн-транзакциях между банком и частным клиентом, банки не готовы брать на себя такую же ответственность.

Парадокс банковской безопасности

Сегодня киберпреступники сравнительно редко устраивают атаки на банковскую ИТ-инфраструктуру, целью которых является похищение денежных средств банка и его клиентов. Банковские информационные системы хорошо защищены — для того чтобы взломать их, преступникам потребовалось бы провести серьезную и дорогостоящую подготовительную работу, окупить которую могла бы только очень крупная кража. А крупную сумму даже в виртуальном пространстве гораздо труднее спрятать, чем несколько небольших сумм. Другими словами, атака на банки с точки зрения злоумышленников — скорее ворох опасностей и проблем, чем реальная возможность незаконно обогатиться. К тому же, у злоумышленников есть и более доступные цели — клиенты этих банков, которые далеко не всегда применяют даже базовые меры предосторожности, не говоря уже о специализированных защитных средствах.

По информации сервиса Kaspersky Security Network, аккумулирующего данные об актуальных киберугрозах, более 20% всех фишинговых атак, зарегистрированных в период с мая 2012 г. по апрель 2013 г. пришлось на сайты банков и других финансовых организаций. Примерно за тот же период только защитные продукты «Лаборатории Касперского» отразили почти миллион попыток заражения ПК пользователей вредоносной программой Zeus, созданной специально для хищения денег из онлайн-банкинга.

Практический подход к безопасности, или почему онлайн-банкингу необходима дополнительная защита

Типичная фишинговая страница, направленная на клиентов Bank of America

Эти цифры — иллюстрация парадоксальной ситуации: банки неплохо защищены от взломов, но злоумышленники продолжают предпринимать попытки хищения из них денег, которые нередко оказываются успешными. Ситуация усугубляется еще и тем фактором, что, пользуясь онлайн-банкингом, клиент справедливо рассчитывает на защиту со стороны банка, который на самом деле просто не может ее обеспечить, ведь атакуют не его компьютеры, а пользовательские.

В итоге, сегодня клиенты систем онлайн-банкинга фактически остались один на один с армией мотивированных преступников, защита от действий которых требует особого подхода.

Риск vs. удобство использования: ограничения традиционных решений обеспечения безопасности

Теоретически защитить онлайн-деньги пользователя могут качественные традиционные решения. Они хорошо справляются с детектированием и блокировкой распространенных вредоносных программ, предупреждают о большинстве фишинговых страниц и распознают типичные спам-сообщения. При этом практически любой продукт можно настроить так, что он будет пресекать все подозрительные события в системе пользователя. Это повысит безопасность, но кардинально снизит удобство использования ПК. Именно поэтому большинство защитных решений предлагают «компромиссные» настройки, призванные дать сравнительно высокий уровень защищенности, но без существенного ущерба удобству пользователя. Такой подход оправдан в абсолютном большинстве сценариев использования ПК по одной простой причине: из экономических соображений злоумышленники не будут разворачивать сверхсложную атаку с использованием уязвимостей нулевого дня и других дорогостоящих инструментов, целью которой будет создание бот-сети для рассылки спама. Она просто не окупится. Для создания спам-ботнета преступники, скорее всего, воспользуются более распространенными и менее эффективными средствами, которые будут обнаружены и заблокированы большинством качественных защитных решений. Однако, когда речь заходит об атаках, целью которых является финансовая информация и непосредственно деньги, «компромиссный» подход едва ли можно считать надежным.

Особая защита особого сценария

Производители защитных решений — по крайней мере, некоторые — эту особенность видят и потому предлагают пользователям ряд специализированных средств, направленных на обеспечение дополнительной защиты отдельных сценариев использования ПК — в частности, сессий взаимодействия с системами онлайн-банкинга. К примеру, в продукте Kaspersky Internet Security реализован довольно широкий наборов защитных механизмов для пользователей систем онлайн-банкинга, получивший название «Безопасные платежи».

Практический подход к безопасности, или почему онлайн-банкингу необходима дополнительная защита

Интерфейс режима Безопасные платежи в Kaspersky Internet Security для всех устройств 2014

Обычное защитное решение обеспечивает защиту «в целом от вирусов» или «в целом от фишинга и спама» — угроз, с которыми пользователь может столкнуться при реализации различных сценариев использования компьютера. Технология «Безопасные платежи» отталкивается от конкретного сценария «работа с электронными деньгами» и обеспечивает защиту с учетом специфических угроз, характерных именно для него. Ориентируясь на собственную базу адресов систем онлайн-банкинга, интернет-магазинов и платежных систем, она распознает момент, когда пользователь собирается провести какую-либо финансовую операцию. После этого выполняются три основные проверки: подлинности сайта, надежности соединения с сайтом банка, а также компьютера и приложений пользователя на наличие уязвимостей. Кроме того, технология обеспечивает дополнительные меры защиты, в частности, переводит браузер в безопасный режим и активирует встроенные средства защиты от перехвата важных данных с клавиатуры (логина, пароля, номера платежной карты и т.д.). В результате платеж проводится в максимально защищенном режиме.

Деньгам необходима дополнительная защита

Конечно, «Безопасные платежи» и другие похожие решения — не единственный способ обеспечить безопасность личных финансов пользователя онлайн. Можно использовать классическое защитное решение и уповать на собственные опыт и интуицию: следить за актуальностью программного обеспечения на компьютере, обращать внимание на адрес, по которому располагается страница онлайн-банкинга, и т.д. Некоторые эксперты по информационной безопасности советуют использовать для финансовых транзакций отдельный компьютер с минимальным количеством стороннего ПО и жесткими настройками безопасности или виртуальную машину. Это не слишком удобный, но вполне приемлемый способ обеспечения сохранности онлайн-денег.

В целом же, вне зависимости от выбранного подхода, нужно помнить главное: банк способен обеспечить физическую сохранность денег, но их электронный эквивалент требует принятия самим пользователем определенных мер безопасности, пренебрегать которыми нельзя ни в коем случае.

+13
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT