Известные уязвимости современных клиент-банков

Системы дистанционного банковского обслуживания являются основной целью атак киберпреступников. И самое популярное ответвление в этом направлении – рабочие компьютеры банковских клиентов и хищение конфиденциальной информации и денежных средств.

В чем сложность

Одна из основных проблем защиты клиент-банков заключается в том, что в их основе используется однотипное программное обеспечение. Не все банки готовы вкладывать средства в создание и поддержку собственных систем. Между тем одинаковое ПО значительно упрощает работу хакеров – мошеннические операции при таких условиях проводятся с меньшими трудозатратами и с большим ущербом.

Основные источники уязвимостей клиент-банков

  • Коды операционной системы (отсутствие обновлений ОС, нехватка памяти).
  • Дефекты прикладного программного обеспечения.
  • Мобильные носители (флэш, DVD, iPhone).
  • Подбор паролей.
  • Обмен сообщениями и файлами в беспроводных системах.

Предупрежден – значит вооружен

Виды активных атак и угроз для клиент-банков исчисляются десятками, приведем самые популярные из них.

  1. Сканирование сетей и поиск открытых портов.
  2. Поиск уязвимых участков операционной системы (как показывает практика, наименее надежны в этом смысле – недавно вышедшие ОС).
  3. Рассылками всевозможными способами бекдоров. С их помощью мошенники открывают черные ходы в систему. Появляются после того, как злоумышленник уже однажды побывал в системе и оставил себе небольшую лазейку для повторного беспрепятственного проникновения. Сюда же стоит отнести и трояны, которые любят маскировать под безобидные кодеки либо обновления для браузеров. Словом, отсылка к греческой мифологии здесь вполне оправдана. И, наконец, черви: крайне неприятный код, который инфицирует сеть и стремительно размножается по сети (в этом их сходством с рекуррентными вирусами).
  4. Сниффинг – особый вид атак, отслеживание работы пользователя в интернете и передача собранных данных злоумышленнику.
  5. Криптология – расшифровка паролей и прочих закодированных сведений.
  6. Брутфорс – предполагает простой подбор паролей. Его еще называют методом школьников. Иногда может приносить ощутимые результаты – так, многие клиент-банки из-за этого перешли с цифровых паролей на более сложные с включением разных символов, вплоть до самых необычных (например, *, %, « и пр.).
  7. Внедрение SQL-инъекции – использует ошибки в работе сервера для несанкционированного доступа к базе.
  8. Переполнение буфера – внешне безобидная ошибка: данные копируются из одного места в другое без проверки последнего на предмет достаточной свободной памяти. В результате этого часть данных может оказаться «за бортом». И если злоумышленник знает, куда лишние данные «приземляются», ему не составит труда произвести любые манипуляции с компьютером.
  9. DOS-атаки – метод агрессивных и напористых хакеров, заставляющий сервер серьезно подвисать. При этом может быть похищен фрагмент системного кода либо причинен иной вред.
  10.  Атака на Wi-Fi – злоумышленникам не составляет труда взламывать такие системы и получать доступ к компьютерам в сети.
  11.  Перехват сессии (сеанса): злоумышленники вклиниваются в деловую переписку, отправляя с похожих почтовых адресов письма с измененными реквизитами. В итоге переведенные деньги приходят не туда, куда следует. Банки всячески борются с этим, вводя новые способы авторизации почты.

После того как несанкционированное проникновение было совершено, шансов обеспечить защиту клиент-банка становится катастрофически мало. Мошенники могут туннелировать USB-поток, использовать доступ типа Radmin или USB-токены с зараженной станции. Злоумышленники тем самым получают доступ к компьютеру даже без похищения криптоключей.

 

Cross-SiteScripping или фишинг

Если верить статистике, то это самая распространенная категория уязвимостей. Суть такого рода опасностей в том, что злоумышленник может изменять содержимое открываемой клиентом банком web-страницы. Иными словами, для атаки на клиента мошенник использует сайт банка. Генерируемая им страница внешне не отличается от нормальной страницы сайта, поэтому у пользователей, как правило, не возникает никаких подозрений: они просто вводят свои учетные данные, которые тут же попадают в руки злоумышленников.

Как видите, умело подделанный дизайн сайта, купленный домен, похожий на адрес банка, но не идентичный ему – вот и все, что требуется киберпреступникам.

А теперь ВНИМАНИЕ!

Основные симптомы того, что ваш компьютер заражен:

  • Окна открываются сами собой, без ваших команд;
  • При попытке зайти на тот или иной сайт происходит переадресация;
  • В окне браузера и в нижней части экрана отображаются посторонние иконки инородного ПО;
  • В браузере сменилась стартовая страница;
  • Некоторые клавиши в браузере отказываются работать;
  • Часто всплывают сообщения об ошибках;
  • Необоснованно снижается быстродействие компьютера.

Как с этим быть?

Прежде всего, спасение утопающих – дело рук самих утопающих. Поэтому нужно неукоснительно следовать правилам, рассмотренным в отдельной статье. На данный момент защищенность систем клиент-банков никак не регламентирована: нет никакого стандарта, который бы устанавливал требования к разработке, тестированию и, самое главное, защите таких систем. Между тем дистанционный банкинг находится под серьезной угрозой: число нарушений информационной безопасности здесь становится критическим, в связи с чем некоторые банки уже отказываются от него.

Оценить статью:
Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (1 оценок, среднее: 5,00 из 5)