Чому традиційна захист від крадіжки грошових коштів у системах ДБО вразлива

Банківські електронні сервіси безпосередньо чи опосередковано оперують грошима. А там, де є гроші, завжди знайдуться ті, хто захоче їх вкрасти. Особливий інтерес у кіберзлочинців викликають системи дистанційного банківського обслуговування для юридичних осіб, так як на рахунках останніх акумулюються значні суми грошових коштів.
Для захисту від крадіжки грошових коштів у таких системах, як правило, потрібно вирішити наступні основні завдання: перевірити справжність користувача, а також автентичність та цілісність електронного документа, що виражає намір користувача. На практиці, таким документом є платіжне доручення, в числі реквізитів якого задаються сума грошових коштів і рахунок одержувача.
Ці завдання традиційно вирішуються з використанням засобів суворої двофакторної аутентифікації і електронного підпису, виконаних у вигляді USB-токенів або смарт-карт (далі – токени).
Токени, наявні на нашому ринку, умовно можна розділити на 2 типи:
  • зберігають закритий ключ в контейнері, доступ до якого для прикладного надається при пред'явленні PIN-коду. Підпис при цьому формується програмним ЗКЗІ в оперативній пам'яті ПК. Закритий ключ при формуванні підпису залишає токен, тобто є вилученими;
  • самостійно генерують ключову пару (критий і відкритий ключ). Підпис формується «на борту» сертифіката, у токен для цього передається хеш документа. Закритий ключ ніколи не покидає токен, тобто є неизвлекаемым.
При використанні маркер першого типу крадіжка ключа може бути реалізована як мінімум двома способами.
  1. Шкідливе ПО перехоплює PIN-код для токена при його введенні на клавіатурі ПК, потім за допомогою PIN-коду розшифровує вміст контейнера на токені, отримуючи таким чином доступ до самого закритого ключа.
  2. Шкідливе ПО перехоплює закритий ключ в оперативній пам'яті ПК в ході виконання операції, що вимагає його використання (наприклад, при формуванні ЕП).
Після того, як ключ опинився «в руках» кіберзлочинця, останній отримує можливість підписувати будь-які підроблені документи на цьому ключі. Крадіжка грошових коштів в цьому випадку може бути реалізована шляхом нав'язування банківського сервісу підписаних на ключі легального клієнта банку підроблених платіжних доручень, в яких в якості рахунки одержувача грошових коштів вказаний рахунок кіберзлочинця або пов'язаних з ним осіб. Особливу небезпеку при використанні контейнера представляє можливість безконтрольного тиражування закритого ключа. Підписувати транзакції з його допомогою стає можливим з будь-якого комп'ютера.
При використанні токена другого типу, з неизвлекаемым ключем електронного підпису, такий токен надійно захищає ключ від крадіжки. Однак кіберзлочинці з допомогою шкідливого ПО, зробленого з урахуванням специфіки роботи атакується системи, навчилися підписувати підроблені документи без крадіжки ключів.
  1. Атаки з підміною підписаного документа. Користувач бачить на екрані ПК одне платіжне доручення, а в момент його підписання шкідливе ПЗ непомітно підмінює в ньому реквізити одержувача і суму. У токен для обчислення ЕП відправляється хеш підміненого документа. В результаті гроші з рахунку клієнта банку «йдуть» на рахунок кіберзлочинця. Більш того, шкідливе ПЗ після цього здатне підміняти відображаються клієнту банку залишки на рахунках. В результаті користувач може довго не підозрювати про вчинену крадіжку. Такі атаки можуть бути реалізовані різними способами.

    • Перехоплення трафіку по протоколу USB CCID.
    • Впровадження в код банківського додатка або браузера. Шифрований канал, який може бути встановлений між банківським додатком і токеном, в цьому випадку не допомагає.
  2. Атаки, що використовують стан «залогиненности» маркер. Отримавши віддалене управління, або, впровадивши зловмисне програмне забезпечення на комп'ютер клієнта банку, кіберзлочинець може підписувати будь-які підроблені документи на його ключах в період, коли токен підключений до ПК і користувач перед цим ввів PIN-код. Перехопивши заздалегідь PIN-код за допомогою шкідливого ПО, кіберзлочинець може сам «залогуватися» на токені і підписати на ньому підроблений документ. Віртуальні клавіатури не дають гарантію захисту від перехоплення PIN-коду.
Можна знизити ризики подібних атак шляхом чіткого дотримання політикам безпеки:
  • користуватись легальним сертифікованим ПО;
  • своєчасно встановлювати оновлення;
  • встановити і правильно настроювати міжмережевий екран;
  • використовувати антивірус зі свіжою оновленою базою;
  • встановити і налаштувати модуль довіреної завантаження і контролю цілісності середовища.
Такий підхід міг би бути виправданий в закритому корпоративному середовищі, контрольованої адміністраторами безпеки. Однак на масовому ринку користувачі навряд чи будуть слідувати всім цим правилам. Це дорого, і вимагає наявності спеціальних знань і навичок. Більш того, навіть виконання всіх цих правил все одно не може дати гарантії захисту від атак кіберзлочинців.
Необхідність додаткового захисту від шахраїв відома і банкам, і регулятору. Дана проблема є досить актуальною. Зокрема, за інформацією «КоммерсантЪ» від 14 липня 2016 р. Мінфін і ЦБ підготували нові поправки щодо захисту клієнтів банків від несанкціонованих операцій. Поправки банки пропонують наділити правом призупиняти транзакції, якщо є підозра, що операція здійснюється без згоди клієнта, незважаючи на правильно введений пін-код та використання реальної електронного підпису. Тобто масштаб лиха такий, що законодавець явно допускає фрод і готує рекомендації з протидії йому.
Що реально використовується сьогодні для захисту від крадіжки грошових коштів
Для захисту від крадіжки грошових коштів у системах ДБО банки запроваджують додаткові заходи.
  1. Серверні антифрод-системи, що дозволяють виявляти підозрілі транзакції по тим чи іншим ознакам.
  2. Trust Screen-пристрої на клієнтській стороні, що дозволяють підтверджувати ключові реквізити платіжних документів у довіреної середовищі таких пристроїв.
Серверні антифрод-системи
Серверні антифрод-системи, що використовують ті чи інші математичні моделі, в тому числі технології машинного навчання, з урахуванням накопичення даних дозволяють згодом знижувати ймовірність виникнення помилок першого (помилкова тривога) і другого (пропуск реальної атаки), пологів, що позитивно позначається на їх ефективності. Плюсом таких антифрод-систем з точки зору користувачів Інтернет-банкінгу є те, що такі системи, як правило, не змінюють звичний для користувача порядок речей. Користувач працював з системою, так і продовжує працювати, від нього не потрібно виконувати додаткові дії.
Справедливості заради варто відзначити, що на ринку з'являються рішення, здатні додатково ідентифікувати людей по голосу. Більш поширений варіант назви цієї технології містить в собі слово «ідентифікація», а не «аутентифікація», на що натякає навіть Google:


Ідентифікація, як правило, використовується для представлення свого ідентифікатора, а аутентифікація – для доказу, що суб'єкт є тим, за кого себе видає.
Голосова ідентифікація не дає 100% гарантію, що на тому кінці клієнт банку. Існує технології і навіть готові рішення для клонування голоси. І цілком можливо, що вони вже вміють або в найближчому майбутньому навчаться підробляти голос «жерты» так, щоб успішно обманювати системи розпізнавання. Разом з тим розпізнавання голосу є ще одним ешелоном, який дозволяє знизити ризик крадіжки грошових коштів.
Trust Screen-пристрої

Trust Screen-пристрій, як правило, представляють із себе невеликий пристрій з екраном і (опціонально) кнопками. Такий пристрій використовуються на клієнтській стороні і його основне завдання – дати користувачеві можливість підтвердити (або відхилити) транзакцію у довіреної середовищі, відмінною від середовища комп'ютера, в якому створюються платіжні документи. Класичний сценарій використання Tust Screen-пристрої виглядає так:
  1. Користувач на комп'ютері готує платіжне доручення з зазначенням реквізитів одержувача і дає банківського додатком команду підписати платіжний документ і відправити його на виконання.
  2. Банківське додаток відображає платіжний документ на екрані ПК і додатково просить підтвердити його ключові реквізити на Trust Screen-пристрої.
  3. Користувач дивиться на екран Trust Screen-пристрої і підтверджує операцію спеціальною кнопкою на вашому пристрої (або на сенсорномэкране пристрою).
  4. У разі підтвердження платіжний документ підписується за допомогою використовуваного засобу ЕП і підпис відправляється на сервер.
Плюсом використання таких пристроїв є те, що при їх коректної реалізації і правильної інтеграції в прикладне істотно знижується ризик крадіжки грошових коштів.
Слабкою ланкою при коректної реалізації залишається користувач. Можливість крадіжки грошових коштів у цьому випадку визначається тим, наскільки відповідально користувач звіряє реквізити на Trust Screen-пристрої. Якщо при інтенсивній роботі змушувати його щодня підтверджувати сотні документів, користувач може почати робити це машинально, не приділяючи достатньої уваги тому, що саме виводиться на екран пристрою. У зв'язку з цим сценарій інтеграції таких пристроїв в банківські системи повинен приділяти особливу увагу зручності їх використання.
На щастя, є хороший спосіб істотно знизити кількість документів, які потрібно підтверджувати на Trust Screen-пристрої без шкоди для безпеки. Рішення – використовувати «білі списки» довірених контрагентів. До такого списку включаються ті контрагенти, з якими користувач працює регулярно і яким довіряє. Чим більше частка таких контрагентів, тим менше транзакцій потрібно додатково підтверджувати. Якщо з 100 транзакцій близько 90 будуть виходити на адресу надійних контрагентів, то користувачеві буде потрібно підтвердити тільки 10 з 100.
Багато банків вже давно практикують використання таких списків і без використання Trust Screen-пристроїв для підвищення довіри до транзакцій. У деяких випадках такі списки банки створюють самі для кожного клієнта на підставі історії його взаємодії з контрагентами. В інших випадках банки надають користувачам можливість самим формувати такі списки.
Важливим при роботі з білими списками є те, яким чином цей список створюється і змінюється. Якщо кіберзлочинець зможе несанкціоновано додати себе в «білий список», вся ідея таких списків стає нікчемною. Наприклад, якщо «білий список» готується користувачем в ненадійна середовищі, то до такого списку не може бути довіри.
Антифрод-термінал


Деякий час тому ми вивели на ринок Trust Screen-пристрій Антифрод-термінал. Даний продукт розроблявся нами спільно з компанією Vasco, був заснований на добре зарекомендував себе пристрої DIGIPASS 920, яке було продано по всьому світу в кількості більше мільйона штук. Саме тому Антифрод-термінал так схожий на нього зовні.
Особливість Антифрод-терміналу полягає в тому, що пристрій:
  1. Веде внутрішній журнал операцій. У цьому журналі фіксується інформація, яка була відображена на екрані пристрою і підтверджена користувачем шляхом натискання кнопки «ОК» на клавіатурі пристрою.
  2. Містить власний криптографічний чіп, в якому реалізована російська криптографія.
  3. Підписує журнал операцій власної ЕП на цьому чіпі.
Журнал операцій зберігається у пристрої постійно. Антифрод-термінал починає вести журнал кожен раз заново при початку т. н. SWYX-режиму роботи пристрою. SWYX означає Sign What You eXecuted – підписую те, що виконується. По закінченні SWYX-режиму термінал підписує журнал власної ЕП і повертає його разом з підписом в прикладне ПЗ. Для управління SWYX-режимом є спеціальні команди, які прикладне відправляє на термінал.
Перед видачею клієнту Антифрод-термінал реєструється в обліковій системі банку з прив'язкою до його відкритого ключа. Відповідний закритий ключ терміналу є неизвлекаемым і зберігається на вбудованому в термінал криптографічному чіпі.



Після підписання документа та підтвердження його ключових реквізитів на Антифрод-терміналі клієнтське прикладне відправляє на сервер не тільки підписаний документ, але і підписаний журнал операцій. Сервер перевіряє підпис документа і підпис журналу. Перевірка підпису журналу дозволяє переконатися в тому, що користувач працює з надійними, зареєстрованим терміналом і захищає від підробки пристрою на клієнтській стороні. Після аутентифікації терміналу сервер звіряє реквізити з підписаного документа з реквізитами, підтвердженими користувачем на Антифрод-терміналі (з підписаного терміналом журналу), і при їх збігу приймає документ на виконання.
Журнал операцій зберігається на сервері банку для можливості розбору конфліктних ситуацій і розслідування інцидентів.
Наявність такого журналу є також додатковою мотивацією для клієнтів більш уважно ставитися до процедури підтвердження, так як журнал згодом може бути використаний банком в якості доказової бази.
Для захисту від «ліні клієнтів» у Антифрод-терміналі реалізований додатковий контроль того, що користувач ознайомився з усіма даними, які були відображені на екрані терміналу. Якщо дані не вмістилися на один екран, то термінал не дозволить підтвердити операцію до тих пір, поки користувач не прокрутить їх до кінця. Це також важливо і з точки зору доказової бази, оскільки така реалізація дозволяє при необхідності довести, що користувач власноруч прокрутив всі дані до кінця, перевіривши всі реквізити, що і підтвердив операцію, ознайомившись з усіма реквізитами.
Нова версія Антифрод-терміналу підтримує будь-які типи засобів ЕП
Перша версія Антифрод-терміналу в якості засобу ЕП вміла працювати тільки зі смарт-картами, які підключалися безпосередньо до пристрою. Однак на російському ринку за багато років накопичилося достатньо велика інсталяційна база засобів ЕП, виконаних у вигляді програмних ЗКЗІ та/або USB-токенів. А перехід на нові типи засобів ЕП потребує часу та додаткових витрат як для банків, так і для кінцевих клієнтів.
У зв'язку з цим нами була розроблена нова версія Антифрод-терміналу, яка не накладає ніяких обмежень на тип використовуваного засобу ЕП. Це може бути і програмне ЗКЗІ, зберігає ключ в реєстрі або на звичайній флешці, і програмне ЗКЗІ, зберігає ключ ЕП на відчужуваному USB-токені, і USB-токен з неизвлекаемым ключем ЕП, і смарт-карта ISO 7816.
Як нам вдалося досягти цього? Архітектура Антифрод-терміналу дозволила повністю відокремити функцію підписання документа від функції підтвердження на Антифрод-терміналі. Робота із засобом ЕП здійснюється як би незалежно від Антифрод-терміналу. Засіб ЕП нічого не знає про наявність Антифрод-терміналу, а Антифрод-термінал нічого не знає про типі використовуваного засобу ЕП, йому це і не потрібно.

Якщо в якості засобу ЕП використовується USB-токен, то він підключається в один USB-порт ПК, а Антифрод-термінал – в іншій. Прикладне ПЗ працює з USB-токеном як із засобом ЕП, а з Антифрод-терміналом як із засобом довіреної підтвердження ключових реквізитів документа.
Виконання групових операцій
Для скорочення документів, які потрібно підтверджувати на терміналі, слід використовувати «білі списки» довірених контрагентів.
Важливо те, що Антифрод-термінал дозволяє безпечно створювати і змінювати списки. Для цього достатньо всі операції, пов'язані зі зміною «білого списку», в тому числі його створення, підтверджувати на Антифрод-терміналі. Це захищає від несанкціонованого внесення змін у «білий список» кіберзлочинцями.



При виконанні групової операції досить підтвердити зведене платіжне доручення на адресу всіх контрагентів, які потрапили в «білий список», і кожне доручення на адресу контрагентів, що не потрапили в «білий список».
Для всіх одержувачів, які потрапили в «білий список», клієнт підписує і підтверджує на терміналі одне зведене платіжне доручення, що містить, наприклад:
  • загальну суму платежу на адресу одержувачів з «білого списку»;
  • число таких отримувачів або їх список.





Клієнт підписує і підтверджує на терміналі кожне і залишилися платіжних доручень.

Підписання довільних документів
Антифрод-термінал дозволяє відображати на своєму екрані будь-які текстові дані довжиною до 400 символом.
Це дозволяє підтверджувати не тільки платіжні документи, але і операції підписання довільних неструктурованих документів. Для таких документів слід відображати на Антифрод-терміналі ключові дані таких документів, якими можуть бути, наприклад, істотні умови договорів, угод. Наприклад:


Завдяки тому, що операція підписання логічно відділена від операції підтвердження зберігається можливість підписувати реальний документ, а не якусь структуру, яка включає в себе цей документ або хеш від цього документа. Це дозволяє користувачам після підписання документа у особистому кабінеті бачити реальний підписаний документ і окремо підпис від цього реального документа.
Особливість інтеграції Антифрод-терміналу в прикладне
При інтеграції терміналу в прикладне доробки виконуються на клієнтської і серверної сторони.
Особливість інтеграції полягає в тому, що доопрацювання не змінюють поточну реалізацію підписання платіжних документів, а доповнюють.
Перед звичайним підписанням документа прикладна програма додатково:
  • формує текстовий рядок (до 400 символів), що містить ключові реквізити документа;
  • відправляє цю рядок на Антифрод-термінал і отримує підтвердження/відхилення користувача.
Після звичайного підписання документа прикладна програма додатково:
  • запитує у Антифрод-терміналу журнал операцій;
  • відправляє журнал операцій разом з підписаним документом на сервер ДБО.




Сервер отримує від клієнта не тільки платіжний документ, але і підписаний журнал операцій
Після звичайною перевірки підпису документа прикладна програма додатково:
  • перевіряє підпис журналу, здійснюючи тим самим сувору автентифікацію терміналу;
  • обчислює хеш від даних платіжного документа, які клієнт повинен був підтвердити на екрані терміналу;
  • порівнює обчислений хеш з хешем з журналу операцій;
  • при розбіжності обробка документа блокується.




В профілі клієнта зберігається журнал операцій (потрібен при розборі конфліктних ситуацій)
Тим самим на сервері додатково формується юридично значуща доказова база (УЕП), що клієнт отримав саме цей документ, бачив його і підтвердив підписання на своєму (отриману в банку на своє ім'я) терміналі.

Для інтеграції Антифрод-терміналу ми підготували 2 типу комплектів розробника:

  1. JaCarta SDK для інтеграції в десктопні програми.
  2. JC-WebClient SDK – для інтеграції у веб-додатки з підтримкою всіх популярних браузерів.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.