Позвонили с банка, украли все деньги
Как жить среди хакеров и интернет-разводил?
Популярность дистанционного цифрового банкинга продолжает расти. А миссия компании SafeTech - сделать так, чтобы у клиентов банков не крали деньги через этот канал. Решениями компании уже пользуются клиенты более чем 60 российских банков. Как защитить платежи от хакерских атак и подтверждать свои операции в электронных каналах, не выходя из дома? Об этом на митапе FTh рассказал Денис Калемберг- основатель и CEO SafeTech.

Денис Калемберг
-Два фактора вынуждают нас быть лучше конкурентов из западных стран.

1. Россия входит в топ стран по уровню развития цифрового банкинга. С гордостью говорю, что такого сервиса, как у нас нет, практически нигде в мире. Скорее всего, это вызвано тем, что наши банки начали развивать дистанционные каналы чуть позже западных коллег, поэтому не имеют «груза» устаревших технологий, в которые были вложены значительные средства. К этому можно прибавить высокий уровень технического образования в стране и получим очень хороший результат.

2. Мы живем среди тех самых российских хакеров, о которых все говорят. Они действительно страшно продвинутые ребята.

Нашей компании, которая занимается безопасностью цифровых каналов, приходится прикладывать много усилий, чтобы соответствовать высоким стандартам отечественных банков и защищаться от наших взломщиков.
С какими киберугрозами сталкиваются пользователи Интернет-банков?
Подмена реквизитов платежа

Когда клиент нажимает кнопку «Подписать», у него на компьютере активируется троян. Он меняет реквизиты и сумму платежки, при этом на экране клиент все так же видит свой платеж. Деньги уходят на другой счет.

Социальная инженерия

Мошенник, например, звонит клиенту банка с номера телефона, указанного на его банковской карте, представляется сотрудником банка и под разными предлогами выведывает пароль, пин-код и др. важную информацию. Мошеннику верят, ведь кажется, что он звонит с call-центра банка. А на самом деле подмена номера телефона в специальных сервисах стоит всего 85 центов.

Фишинг

Достигается путём проведения массовых рассылок электронных писем от имени банков, а также личных сообщений внутри банковских сервисов.

Перехват SMS

Сегодня имея полторы тысячи долларов и некоторое оборудование хакеры могут перехватить любую SMS-ку абонента в любой части мира. Еще хуже обстоят дела с безопасностью push-уведомлений.

Подмена SIM-карт

С помощью поддельных документов мошенники в России могут получить SIM-карту, зарегистрированную на имя другого человека. В итоге его телефон перестает работать, а sms-ки перенаправляются злоумышленникам.

Удаленное управление

Даже самый простой «троян» имеет функцию удаленного управления зараженным компьютером. Соответственно, хакер может спокойно действовать от имени бухгалтера, пока тот отошел попить чаю и оставил средство подписи (например токен) подключенным к компьютеру.
Как мы сегментируем наших клиентов, и что им предлагаем
Я часто посещаю конференции об информационной безопасности и там слышу о решениях, которые невозможно реализовать на практике. Например, выдать всем флешки, с которых будет загружаться «безопасная ОС» или другое железо, чтобы люди работали с платежами в безопасной среде, мол, так и им и банку будет хорошо. Но население России-146 миллионов. Слишком дорого выдавать каждому устройство. И одно решение не подходит для всех клиентов. Если говорить про крупное сегментирование, то мы выделили два типа пользователей: «классики» и «современники».

Классик
- это эдакий бухгалтер, который работает за компьютером или ноутбуком в Интернет-банке или Клиент-банке с токеном или криптопровайдером. Основные угрозы для него - это удаленное управление и подмена реквизитов платежа.

Наш первый продукт SafeTouch был как раз разработан для «классиков». Устройство стоит «в разрыве» между компьютером и средством подписи, и через него невозможно незаметно «протащить» подмененный документ.
«Современник» в основном работает в мобильном банке на смартфоне или планшете. Для него основные угрозы - это фишинг, социальная инженерия, перехват SMS и подмена SIM-карт.

Для современников мы разработали продукт PayControl. Технология позволяет безопасно подтверждать любые электронные документы и операции прямо в мобильном телефоне. Решение состоит из двух частей: серверная часть, которая разворачивается в ИТ-инфраструктуре банка, и клиентская часть, которая представляет собой приложение для мобильных платформ iOS и Android.

Коды подтверждения транзакции, вырабатываемые PayControl, формируются на основе 4-х составляющих: они «привязаны» к реквизитам платежа, времени его создания, ключу пользователя и «отпечатку» мобильного устройства, поэтому перехват кодов подтверждения операции бесполезен для злоумышленников. Есть режим, в котором можно подтверждать документы даже при отсутствии Интернет-соединения и сотовой связи на мобильном телефоне.
Агентство Markswebb, которое составляет рейтинги мобильных банков, включило в тренды развития подписание платежа через мобильное приложение. Они прогнозируют, что эта функция в ближайшем будущем станет «must have» для банков.
Квалифицированная электронная подпись в смартфоне
КриптоПро myDSS - это беспрецедентная для России технология. Мы вместе с партнерами, компанией КриптоПро разработали ее и получили первый в Российской Федерации сертификат ФСБ на средство облачной электронной подписи. Нам многие говорили, что ничего не получится, что решение, работающее на смартфоне сертифицировать нельзя. Но мы проломили эту стену, что сняло стопоры использования средств электронной подписи в федеральных проектах. Хотя это чисто российская тема, наши регуляторы смотрят друг на друга, и думаю, что в Беларуси это тоже станет возможным. Мы уже встречались с представителями Национального центра электронных услуг Беларуси, и я представил им наше решение.
КриптоПро myDSS может применяться при автоматизации любых видов деятельности, в которых необходимо обеспечение юридической значимости подтверждения волеизъявления пользователей. Сегодня россияне c помощью смартфона могут зарегистрировать юридическое лицо, сдать налоговую отчетность, участвовать в электронных торгах и т.д.

Таким образом, мы вносим свой вклад в развитие цифрового государства, позволяя человеку совершать больше действий, требующих, идентификации и подписи, не выходя из своего дома.
Текст: Ольга Шавела