Системы дистанционного обслуживания клиентов, позволяющие проводить платежи через Интернет, привлекают не только клиентов, но и мошенников, активно ищущих уязвимости в системах интернет-банкинга. Задача банка — найти разумный компромисс между безопасностью и удобством использования системы.

В 2005 году «Альфа-Банк» реализовал дистанционное банковское обслуживание на базе новой версии системы интернет-банка для розничных клиентов — «Альфа-Клик». С точки зрения информационной безопасности в системе изначально были реализованы механизмы, получившие на тот момент распространение в западноевропейских практиках. Для работы с системой пользователю достаточно было ввести свой идентификатор и пароль. Кроме того, банком были предусмотрены ежедневные лимиты, в пределах которых клиент мог беспрепятственно проводить платежи на те или иные денежные суммы. Все это позволяло сделать систему дистанционного банковского обслуживания (ДБО) более привлекательной для частных клиентов, поскольку обеспечивался достаточный, как казалось, уровень безопасности, но при этом не требовались сложные механизмы защиты. Однако уже в 2007 году специалисты банка столкнулись с претензиями клиентов, у которых без их ведома списывались деньги со счетов. Злоумышленники воспользовались возможностью системы «Альфа-Клик» осуществлять мгновенные платежи. В частности, перевод другому клиенту банка происходит мгновенно, и как только деньги перечислены злоумышленнику, он может тут же обналичить их в банкомате. Традиционные на тот момент средства защиты не позволяли обеспечить надлежащий уровень безопасности и нуждались в срочном обновлении.

«Мобильный телефон клиента — это идеальное устройство, на которое можно поставить мобильный токен — программу, позволяющую формировать разовые пароли», Сергей Корсун, начальник управления развития электронного бизнеса «Альфа-Банка»

Оперативным решением стала практика разовых паролей на операции, которые доставляются клиентам в виде SMS на их мобильные телефоны. Например, клиент оформляет платеж в интернет-банке, после чего для подтверждения операции ему на сотовый номер приходит разовый пароль, который он должен ввести в систему. Внедрение в 2007 году этого решения позволило существенно обезопасить банк и его клиентов от мошенничества, что подтвердилось в ходе DDoS-атаки на банк, имевшей место вскоре после внедрения. «В запросах, которыми нас пытались забросать, преобладало сообщение «уберите разовый пароль». Мы расценили это как признание эффективности нашего решения. С другой стороны, было понятно, что злоумышленники на этом не остановятся», — вспоминает Сергей Корсун, начальник управления развития электронного бизнеса «Альфа-Банка».

 

Упредить мошенников

Чтобы быть на шаг впереди действий мошенников, необходимо было перейти к проактивному подходу в ИБ. На первый взгляд, на рынке есть множество предложений, но методики их применения зачастую не учитывают особенностей бизнес-модели услуг ДБО, оказываемых розничным клиентам. Во-первых, чтобы система стала популярна среди клиентов, она должна быть простой и удобной. Например, не нужно требовать, чтобы пользователь подъехал в отделение банка, чтобы подключиться к этой услуге. «Клиенту не придется ехать в отделение банка, следовательно, у нас, скорее всего, не будет возможности передать ему дополнительное внешнее устройство, например аппаратный токен. И это проблема не клиента, а банка, — считает Корсун. — Думаю, для корпоративных клиентов подобных ограничений не будет, так как их сотрудники несколько раз в месяц приходят в отделение банка за бумажными документами, а вот в массовом розничном сегменте это могло бы создать лишнюю нагрузку на отделения, но, главное, клиенты просто не придут за такой услугой».

Розничные клиенты, как правило, не являются ни финансистами, ни специалистами в ИТ. Тем не менее у них должна быть возможность использовать систему с любого компьютера. Следовательно, решение должно быть простым и обеспечивать клиентское обслуживание с использованием различных каналов взаимодействия и программно-аппаратных платформ. Но ведь не к каждому устройству можно подключить какое-то внешнее оборудование...

 

Злоумышленники не дремлют

Статические пароли уже давно не считаются надежным средством защиты от мошенников. Западные банки статический пароль обычно дополняют одноразовым, он меняется каждый раз при входе в систему и имеет ограниченное время жизни. В качестве генератора одноразовых паролей может быть использовано устройство, которое позволяет работать по различным каналам. Но как доставить и вручить персонифицированые устройства многочисленным клиентам? Кроме того, у клиента должен быть выбор, в том числе и в отношении средств защиты. Все, что остается в этом случае банку, — это мотивировать клиентов к тому, чтобы они применяли наиболее надежные механизмы защиты, дав им, например, возможность проводить операции на большие суммы.

Впрочем, одноразовый пароль сам по себе нельзя рассматривать как панацею. Имеются варианты атак, для которых простейший генератор одноразового пароля неэффективен. Впервые в реальной жизни специалисты столкнулись с такой атакой, известной под названием «Man in the Middle» («человек посередине») в 2004 году: если клиент подтверждает свои платежи паролем, который никак не связан с содержанием транзакции, то злоумышленник, перехватив клиентское сообщение, может от себя отправить запрос с тем же одноразовым паролем, изменив сумму и адрес получателя платежа. В этом случае у банка нет формальных причин отклонить платеж.

Долгое время считалось, что эту атаку сложно реализовать. Но возможности технологий изменились, и атака модифицировалась. Теперь эту угрозу называют «человек в браузере»: шпионский код подменяет сообщение клиента, работая через браузер клиента, обходя шифрование средствами протокола SSL. В этом случае формирование пароля, зависящего от параметров транзакции, — единственное работоспособное решение. Появление такого рода атак и возможность новых угроз заставили банк задуматься о внедрении платформы, которая позволит оперативно предотвратить новые способы атак на системы ДБО. В сентябре 2010 года было принято решение о создании аутентификационного центра, который возьмет на себя защиту клиентов «Альфа-банка» от мошенников.

 

Близкое к клиенту решение

«Мобильный телефон клиента — это идеальное устройство, на которое можно поставить мобильный токен — программу, позволяющую формировать разовые пароли. Для их формирования нет необходимости соединять это устройство с банком через мобильную сеть оператора, программа работает автономно. Таким образом, исчезает угроза перехвата SMS-трафика или неполучения SMS-пароля клиентом», — поясняет Корсун.

Чтобы сформировать пароль, клиент должен ввести данные о содержании банковской транзакции. Если злоумышленник попытается внести в платеж изменения, то действия будут расценены как несанкционированные, это даст банку основания отклонить операцию.

Специалисты банка в тесном сотрудничестве со специалистами компании CompuTel создали гибкое и масштабируемое решение, которое позволило подготовить банк к отражению новых угроз со стороны мошенников. Что важно для банка, это решение имеет приемлемую общую стоимость владения. Основной компонент центра — сервер аутентификации SafeSign Authentication Server от компании Thales e-security. Разработанная специалистами CompuTel система SDAC, предназначенная для управления жизненным циклом мобильных токенов, обеспечивает взаимодействие центра с сервером аутентификации и с информационными системами банка. В качестве средств аутентификации клиентов «Альфа-Клика» были выбраны мобильные токены компании Vasco Data Security.

По оценке Корсуна, это решение привлекательно с точки зрения охвата мобильных платформ, кроме того, оно позволит в дальнейшем использовать токены различных моделей и фирм-производителей. Чтобы получить ПО, реализующее мобильный токен, клиенту достаточно скачать соответствующее приложение через Интернет и установить, используя предоставленный персональный ключ. В случае хищения устройства злоумышленнику придется попытаться подобрать еще и пароль для входа в токен. «В настоящее время система проходит опытно-промышленную эксплуатацию. Сотрудники и небольшое число клиентов банка оценивают удобство использования новой системы», — поясняет Корсун.

Как видим, несмотря на то что злоумышленники пытаются придумать все новые и новые способы взлома, ведущие банки используют достаточно надежные механизмы для предотвращения хищения средств со счетов клиентов. Интернет-банкинг и в дальнейшем будет удобным и надежным сервисом, позволяющим клиенту оперативно распоряжаться своими финансами.