Покупки в интернет-магазинах, онлайновые денежные переводы и банковские операции экономят нам много времени и упрощают жизнь. Но те же технологии упрощают и жизнь злоумышленников, сильно облегчая кражу средств пользователя. Получение денежных средств с помощью украденных платежных данных — это эффективный способ наживы, который активно используется киберпреступниками. Несмотря на то что банки стараются защитить своих клиентов, атаки на физических лиц по-прежнему очень распространены. Взломать банк дольше и дороже, риск преследования выше. А компьютеры клиентов банка часто содержат целый букет уязвимостей, что упрощает взлом. Получив «с миру по нитке», то есть по относительно небольшой сумме с каждого пользовательского счета в системе интернет-банкинга, преступник с большей вероятностью может остаться незамеченным. Немаловажно и то, что атаки на клиента в значительной степени автоматизированы и почти не требуют участия оператора.
Оружие массового заражения
На криминальном рынке уже несколько лет стабильно высока популярность банковских троянских программ. Огромное количество потенциальных жертв, которые не следят за обновлением приложений на своем компьютере, — непаханое поле для киберпреступника. Троянец заражает рабочую станцию и самостоятельно осуществляет сбор платежной информации, а иногда от имени пользователя осуществляет финансовую транзакцию.
Так, например, банковский троян ZeuS внедряет в веб-страницу собственную форму для ввода данных и таким образом получает реквизиты пользователя (номер платежной карты, CVC2/CVV2, Ф.И.О., координаты отправителя и т.п.).
Распространенный на российском рынке зловред Carberp, внедрившись в браузер, осуществляет сохранение данных пластиковой карточки (номер карты) с главной страницы системы онлайн-банкинга и затем запрашивает дополнительную информацию (CVV2, персональные данные и т.п.) у пользователя.
В дополнение к веб-инъекции троянцы используют другие возможности получения платежной информации. К примеру, последние экземпляры вышеупомянутого зловреда Carberp научились «на лету» модифицировать код одной из популярных систем онлайн-банкинга iBank 2 и таким образом перехватывать платежные реквизиты.
В обход второго фактора
Банки усложняют жизнь злоумышленникам и вводят хитрые разновидности дополнительного фактора аутентификации, например токены — маленькие USB-устройства, содержащие уникальный пользовательский ключ, который запрашивается всякий раз, когда совершается платежная операция. Создатели банковского троянца Lurk нашли не менее хитрый способ санкционировать платежную операцию в обход данной защиты:
- Пользователь инициирует платежную операцию в системе онлайн-банкинга и вводит ее реквизиты.
- Троянец перехватывает реквизиты и ждет запрос системы на предъявление токена.
- Система онлайн-банкинга запрашивает токен, и пользователь предъявляет свой ключ, вставляя USB-брелок в соответствующий аппаратный разъем.
- Троянец перехватывает это событие и демонстрирует пользователю «синий экран», который информирует его о создании снимка оперативной памяти для последующего анализа и просит не выключать рабочую станцию до завершения операции.
- Пока пользователь дожидается завершения операции (при этом его токен находится в USB), злоумышленник, имея на руках доступ к пользовательскому аккаунту, самостоятельно завершает оформление платежного поручения и переводит пользовательские деньги на свой счет.
Система безопасности финансовых транзакций
После того как банковский зловред попадает на компьютер, он должен каким-то образом перехватить платежные данные. Для этого трояны преимущественно используют следующие техники кражи платежной информации:
- веб-инъекция (модификация контента веб-страниц перед показом их пользователю);
- перехват HTTP/HTTPS-сессии (классический вариант атаки «человек посередине»);
- подмена аутентификационной формы или перенаправление на целевую фишинговую страницу;
- создание снимков рабочего стола;
- перехват клавиатурного ввода.
На основе вышеперечисленного списка угроз можно составить сценарий безопасной платежной операции:
- Пользователь открывает веб-ресурс системы онлайн-банкинга в своем браузере.
- Антивирусный комплекс распознает данное событие и проводит сканирование операционной системы на наличие критичных уязвимостей ОС. Например, программное решение Safe Money, которое разработано для защиты платежной информации и полностью реализует описываемую концепцию, опирается на базу знаний антивирусного продукта.
- В это же время модуль антифишинга проверяет, содержится ли URL в базе доверенных ресурсов. Программный комплекс защиты платежной информации реализует это посредством обращения к базе знаний для получения информации о доменном имени из облака.
- Антивирусный комплекс осуществляет проверку сертификата, с помощью которого устанавливается защищенное соединение.
- В случае наличия предоставляемого сертификата в базе доверенных сертификатов антивирусное решение запускает процесс браузера и устанавливает защищенное HTTPS-соединение по указанному URL. При этом данный процесс браузера находится под контролем антивирусного ПО, которое защищает этот процесс от манипуляций со стороны других приложений.
- Пользователь вводит реквизиты платежной операции (номер карты, CVV2/CVC2, свои персональные данные и прочее) в режиме защищенной клавиатуры, при котором скан-код нажатой клавиши гарантированно передается в браузер.
«Серебряная пуля»
Банки и платежные системы активно защищают своих пользователей. Хитрая многофакторная аутентификация, использование в процессе платежа дополнительных устройств (токены, чиптаны и т.п.), всевозможные предупреждения о возможном мошенничестве — все это сделано для того, чтобы сохранить деньги клиента. Однако злоумышленники постепенно придумывают все новые и не менее хитрые способы кражи платежной информации вместе с дополнительными кодами подтверждения транзакции.
Поэтому абсолютно необходимым элементом защиты становится «круговая» защита на стороне пользователя, включающая проверку безопасности его компьютера, защищенности соединения и подтверждения подлинности платежного сервера, с которым устанавливается связь. Именно такая «круговая оборона» реализована в технологии «Безопасные платежи», которая включена в состав Kaspersky Internet Security. Она не оставляет возможностей для вредоносных действий очередного банковского зловреда.