PINPAD ПОЗВОЛЯЕТ клиенту ДБО проверить реквизиты платежа и подписать их электронной подписью |
На круглом столе по проблемам дистанционного банковского обслуживания, прошедшем на выставке «Инфобезопасность 2011», Илья Сачков, генеральный директор Group-IB, отметил, что он видел всего два нападения на информационную систему банка, подавляющее же большинство инцидентов направлено против клиентов ДБО. Как правило, целью атак является конфиденциальная информация, предназначенная для подтверждения денежного перевода. При этом больше половины инцидентов связано с воровством информации с незащищенных носителей. Однако авторы специализированных вредоносных программ активно атакуют и системы с использованием аппаратных устройств аутентификации.
Наиболее популярная атака на аппаратные средства аутентификации направлена на подмену платежного поручения в момент его подписания клиентом банка, то есть клиенту на экране компьютера показываются введенные им реквизиты платежа, а на подпись в устройство и затем в банк троянец отсылает совсем другое поручение — персональный компьютер клиента уже нельзя считать доверенной средой, которая гарантирует неизменность поручения.
Поэтому возникла необходимость в создании дополнительной доверенной среды для заверения банковских транзакций на стороне клиента. Причем эта среда должна предоставлять возможность визуальной проверки реквизитов, изменить которые в дальнейшем будет уже нельзя. Для этого производители выпустили целый класс новых устройств, подключающихся к компьютеру и дающих пользователю возможность безопасно вводить данные в систему ДБО, не боясь, что они будут перехвачены троянской программой.
Наиболее простым из них является дополнительная клавиатура с шифрованием и привязкой к идентификационному номеру устройства, которую предложила компания СОГАЗ. Данная клавиатура подключается по USB, но всю информацию о нажатых клавишах шифрует и помечает своим идентификационным номером. Если клиент принимает реквизиты только от этой клавиатуры, то вмешиваться в его работу становится сложнее.
Также на выставке были представлены два устройства разных производителей, которые позволяют на небольшом экранчике проверить правильность введенных реквизитов платежа и сгенерировать для них электронную подпись. Компания «Актив» показала PINPad, специализированное устройство с экраном, на котором можно посмотреть номер счета и сумму перевода, и разъемом для подключения USB-ключа «руТокен», где и генерируется подпись. Аналогичное устройство продемонстрировала и компания SafeTech. Оно представляет собой считыватель для смарт-карт SafeTouch, который снабжен небольшим экранчиком для проверки реквизитов. В этом случае цифровая подпись генерируется на смарт-карте, в роли которой может выступать eToken Java, выпускаемый компанией «Аладдин Р.Д.» в формфакторе смарт-карты.
Следует отметить, что эти устройства проверки реквизитов требуют установки на компьютер пользователя специального программного обеспечения и драйверов. Использовать эти технологии для оплаты из интернет-кафе или с помощью терминала невозможно. Компания Agses показала посетителям выставки устройство, которое считывает с экрана реквизиты платежа, показывает их на своем экране и генерирует одноразовый пароль по ним. Кроме того, устройство имеет встроенный биометрический сканер, который позволяет программному комплексу ДБО надежно аутентифицировать клиента. Для использования этого устройства не требуется установка драйверов — работать с ним можно через любой сайт или даже терминал. Основным рынком для этого устройства является интернет-банкинг и мобильная оплата, однако и в ДБО можно применять такое же решение.