УДК 336.719

АНАЛИЗ ОСНОВНЫХ УГРОЗ БЕЗОПАСНОСТИ БАНКОВСКИХ СЕРВИСОВ В ПОТРЕБИТЕЛЬСКОМ СЕКТОРЕ

Каширина Евгения Александровна1, Курганов Андрей Николаевич1
1Мордовский государственный университет имени Н. П. Огарёва, магистрант второго года обучения

Аннотация
Статья посвящена проблемам обеспечения безопасности в современных банковских сервисах, ориентированных на физических лиц. Рассмотрены основные банковские продукты, упрощающие проведение транзакций клиентов: онлайн-банкинг, мобильные приложения банков, бесконтактные платежи. Приведены основные киберугрозы, целью которых является дискредитация потребителей банковских услуг: создание фишинговых сайтов, MitM-атаки, использование NFC-технологии для хищения платежной информации карты.

Ключевые слова: , , , ,


Рубрика: 08.00.00 ЭКОНОМИЧЕСКИЕ НАУКИ

Библиографическая ссылка на статью:
Каширина Е.А., Курганов А.Н. Анализ основных угроз безопасности банковских сервисов в потребительском секторе // Современные научные исследования и инновации. 2018. № 1 [Электронный ресурс]. URL: http://web.snauka.ru/issues/2018/01/85489 (дата обращения: 07.06.2018).

Мобильные приложения банков, бесконтактные платежные карты, онлайн-банкинг и многое другое – за последние годы произошел большой скачок в технологической составляющей предоставления банковских услуг. Развитие информационных технологий накладывает определенные обязательства на банки предоставлять свои услуги так быстро, насколько позволяет соединение с Интернетом, без снижения качества этих услуг. Для многих потребителей, качество банковских услуг в первую очередь связано с безопасностью предоставления услуг. В настоящее время с внедрением новых технологий обеспечение защиты денежных средств и проведения финансовых операций является главной задачей банков.

Одним из первых сервисов, направленных на упрощение предоставления банковских услуг, стал интернет-банкинг. Он позволил пользователям не только иметь быстрый доступ к своим счетам и операциям, но и почти полностью заменить обслуживание в отделении банка. Быстрый рост технологий и возросшая востребованность в предоставлении банковских услуг в режиме реального времени через Интернет обязали банки обеспечить наивысшую степень безопасности при работе клиентов с личными кабинетами в системе онлайн-банка. Однако, на любое действие со стороны систем безопасности найдется противодействие в лице мошенников. В отчете «Лаборатории Касперского» (российской компании-разработчике антивирусного программного обеспечения) за 2017 год говорится [1], что впервые возникла ситуация перехвата электронных операций клиентов банка с использованием временного захвата доменных имен банка (адреса в сети Интернет). Клиенты были ограждены от настоящей банковской инфраструктуры, поддельной, находящейся под руководством злоумышленников. В течение нескольких часов они могли проводить фишинговые атаки, цель которых – получение идентификационных данных пользователя, внедрять вредоносные коды и манипулировать операциями клиентов, которые в этот момент использовали онлайн-сервисы банка. За третий квартал 2017 года [2] 47,54% всех фишинговых атак наблюдаются в финансовом секторе Интернета: 24,1% приходится на категорию «Банки», 13,94% – категория «Платежные системы», 9,49% – «Онлайн-магазины». Заключения «Лаборатории Касперского» подтверждает и руководитель отдела по исследованию угроз компании PhishLabs Крейн Хассольд [3]. По его словам, в третьем квартале 2017 года почти четверть всех фишинговых сайтов расположена на доменах HTTPS. Аналогичный показатель за 2016 год составляет всего лишь 3%, а за 2015 – менее 1%. Для определения причин такого резкого увеличения числа фишинговых сайтов необходимо понять механизм работы протокола HTTPS.

В настоящее время, адрес практически каждого сайта в Интернете начинается с https://. Это означает, что данный сайт работает с использованием протокола передачи данных с поддержкой шифрования для повышения уровня безопасности – HTTPS. Как правило, это обеспечивается за счет криптографического протокола SSL [4]. При его использовании информация передается в закодированном виде, которую можно расшифровать с помощью специального ключа. Чтобы сайт стал поддерживать протокол HTTPS необходимо получить SSL-сертификат, который подтверждает, что данный сайт принадлежит реальному лицу и его владелец вправе пользоваться секретным ключом на законных основаниях. Выдачей SSL-сертификатов занимаются специальные организации.

Одна из причин роста числа фишинговых сайтов заключается в том, что «переезд» на HTTPS осуществляется вслед за «добропорядочными» ресурсами, поскольку фишеры (создатели фишинговых сайтов) полностью копируют компрометируемый сервис. Увеличение безопасных HTTPS-сайтов влечет за собой увеличение преследующих их «клонов». Следующая причина объясняется легкостью получения SSL-сертификата. Оформление происходит достаточно быстро (от 10 минут), а стоимость самого дешевого сертификата с поддержкой на один год в России не превышает 5000 рублей. Кроме того, некоторые организации, например, Comodo и Let’s Encrypt, предоставляют SSL-сертификаты бесплатно. К тому же, фишинговые сайты успешно функционируют и без такого сертификата, его получение необходимо лишь для стопроцентной гарантии того, что пользователь попадется «на крючок». Такая доверчивость пользователя является третьей причиной. Многие уверены: если адрес сайта начинается с https://, то это автоматически гарантирует его подлинность и безопасность соединения. К сожалению, сертификат SSL говорит лишь о шифровании между устройством, с которого осуществлен выход на сайт, и самим сайтом, который, в свою очередь, может оказаться поддельным.

У многих держателей банковских карт на смартфоне установлено мобильное приложение банка-эмитента. Плюсы установки такого приложения очевидны: всегда доступен баланс платежной банковской карты, оплата счетов и перевод средств в несколько касаний, возможность открыть вклад, подать заявку на оформление кредита и многое другое без очередей и длительного ожидания у банкомата или в отделении банка. Принцип работы таких приложений очень прост: по своей сути они являются копией личного кабинета клиента на сайте интренет-банка, где все услуги доступны в режиме онлайн.

С развитием мобильных устройств повышается уровень безопасности доступа к личному кабинету через приложение: наряду с двухфакторной аутентификацией или вводом кода доступа, определенного клиентом при регистрации в приложении, может также использоваться дактилоскопический сканер, встроенный в смартфон. Однако, идентификация пользователя на этапе входа является лишь частью в сложной системе мероприятий по обеспечению безопасности работы со своим банковским счетом в мобильном приложении. При в входе в личный кабинет через банковское приложение существует опасность перехвата сетевого трафика, т.е. информации передаваемой между смартфоном клиента и серверами банка. Исследовательской группой из университета Бирмингема [5, 6] был опубликован доклад об угрозах, которым подвержены некоторые мобильные приложения крупных банков для мобильных операционных систем iOS и Android. Дело в том, что проблемные приложения подвержены уязвимости перед атаками типа MitM (man-in-the-middle – «человек посередине» или атака посредника) по причине возникновения проблем в реализации механизма привязки сертификатов безопасности соединения [7]. Злоумышленники, находясь в той же сети, что и жертва, имели возможность перехватывать и дешифровывать SSL-соединения, получая таким образом доступ к банковским данным пользователей, даже если в исследуемом приложении был реализован механизм привязки SSL-сертификата. Иными словами, соединение пользователя приложения и сервера банка происходит не напрямую, а через некоторое количество сетевых посредников. Получая ответ от сервера, правильно настроенное приложение должно проверять соответствие отправленного адреса сервера и полученного. Исследование показало, что из-за неверного определения имени сервера многие банковские приложения можно «обмануть», так как при соединении с банком они не проверяли, что соединяются с доверенным источником. Из-за обнаруженной проблемы были остановлены мобильные приложения банков HSBC, NatWest, Co-op, Santander, а также Allied Irish [8].

С 2017 года на территории России повсеместно действуют бесконтактные платежи от платежных систем Visa, MasterCard и НСПК (Национальная Система Платежных Карт). Такая возможность реализована за счет технологии NFC (Near Field Communication – «коммуникация ближнего поля» или «ближняя бесконтактная связь») – беспроводной передачи данных на малых расстояниях. Внутри платежной карты размещены специальный электронный чип и антенна, которые «отвечают» на запрос, поступающий от платежного терминала, в котором также установлен NFC-чип, на радиочастоте 13,56 МГц [9]. Расстояние между терминалом и подносимой картой составляет несколько сантиметров, при увеличении этого расстояния происходит разрыв связи. Принцип работы таких карт аналогичен платежным картам без NFC-чипа, когда транзакции осуществляются посредством передачи взаимных запросов от всех участников платежной операции: «прочитав» данные карты, которые хранятся на магнитной ленте или электронном чипе, платежный терминал отправляет их в банк-эквайер и платежную систему банку-эмитенту. Основываясь на этих данных, банк-эмитент распознает платежную карту и одобряет транзакцию. В случае использования бесконтактной карты, физическое взаимодействие с терминалом сводится к минимуму: держатель карты просто прикладывает ее к терминалу, оплата происходит моментально – время установления соединения не превышает 0,1 секунды. NFC-чипы могут быть внедрены не только в банковские карты, но и в смартфоны, смарт-часы, фитнес-браслеты, и могут использоваться для связи устройств друг с другом. Кроме того, некоторые банки могут выдавать дополнительные NFC-стикеры или браслеты, которые выполняют ту же функцию, что и карта.

Число пользователей бесконтактных карт растет с каждым годом: проведенный компанией Visa опрос в сентябре 2016 года, показал [10], что 41% граждан России владеют такими картами. По данным торговых сетей «М.Видео» и «Эльдорадо» [11], за январь-сентябрь 2017 объем бесконтактных платежей составил 20% и 17% соответственно. С середины 2017 года крупнейший российский банк «Сбербанк» объявил [12] о переводе всех банковских карт на бесконтактную технологию, за исключением карт моментальной выдачи.

Для пользователя главным преимуществом использования бесконтактной карты становится скорость совершения операций: больше не потребуется установка карты в терминал, ввод PIN-кода, время ожидания соединения терминала и банка также значительно сокращается. К тому же, исключается передача карты в руки третьему лицу, например, кассиру. К сожалению, как и обычные платежные карты, бесконтактные карты не лишены недостатков в плане обеспечения безопасности. Так, в начале 2016 года [13] в России были зафиксированы случаи мошенничества, когда злоумышленники похищали средства с карты при помощи смартфонов с поддержкой NFC или самодельных терминалов, которые могут вступить во взаимодействие с NFC-картой на расстоянии 5-20 сантиметров. Это подтверждается исследователями из британского Университета Суррей, которыми была продемонстрирована возможность считывания данных с NFC-карты на расстоянии 80 сантиметров с помощью карманного сканера. Получив данные карты, например, номер и срок действия, преступники могли расплачиваться на некоторых онлайн-площадках.

Бесконтактные карты оснащены также и обычным чипом, стандарт работы которого допускает хранение некоторых данных в незашифрованном виде в памяти чипа, например, номер карты, последние совершенные операции. Эти данные можно узнать с помощью NFC-смартфона, на котором установлено считывающее приложение. Исследователям британского потребительского издания «Which?» удалось декодировать номер карты и срок ее действия с использованием NFC-считывателя и бесплатного программного обеспечения. Для некоторых интернет-магазинов этой информации достаточно, чтобы совершить онлайн-транзакцию без ввода подтверждающего CVV/CV2-кода, указанного на обратной стороне карты.

Кроме того, существует возможность и программного взлома карты с помощью внедренного в смартфон держателя карты вируса, который позволяет ретранслировать NFC-сигнал через подключение к Интернету. Оказавшись в непосредственной близости с бесконтактной картой, зараженный NFC-смартфон отправляет на смартфон злоумышленника сигнал о доступности совершения операции. Преступник активирует обычный платежный терминал, поднося к нему свой смартфон с поддержкой NFC, и совершает операцию списания средств [14]. Однако просто поднести карту к считывателю NFC-сигнала недостаточно – необходимо преодолеть криптографическую защиту. По запросу терминала, находящаяся в карте микросхема каждый раз генерирует одноразовый ключ для подтверждения операции. Но создать терминал, в котором содержались бы такие ключи проблематично, так как набор таких ключей выдается банком-эквайером, что упрощает обнаружение факта мошенничества. Еще одним барьером выступает ограничение суммы бесконтактной транзакции, для России – это 1000 рублей. Если же операция превышает заданный порог, ее необходимо подтвердить дополнительно, например, ввести PIN-код. Такое подтверждение необходимо и в случае попытки последовательной выдачи средств, на суммы ниже заданного ограничения.

Развитие технологии бесконтактных платежей позволило превратить смартфон в полноценное платежное устройство, к которому привязана банковская карта. Необходимыми составляющими являются соединение с Интернетом, приложение, установленное на смартфоне, с помощью которого будет осуществляться контроль карты, наличие в смартфоне двух чипов: NFC, выполняющего роль передатчика, и Secure Element, который необходим для хранения данных карты. Запись данных на SE-чип осуществляется удаленно: банк-эмитент передает их в компанию, играющей роль TSM (Trusted Service Manager) – доверенного посредника между поставщиком услуг и чипом в смартфоне. Поднося смартфон к терминалу бесконтактной оплаты, NFC-антенна запускает SE-чип, который генерирует одноразовые ключи, необходимые для проведения транзакции, как и в случае с бесконтактными картами. Однако, чип SE может и не присутствовать в смартфоне для осуществления NFC-платежей. В этом случае генерация ключей осуществляется на удаленном «облачном» сервере, из-за чего эта технология получила название «облачные платежи» (Cloud-Based Payments). Такой способ оплаты в начале 2016 года был реализован российским банком «Тинькофф» [15].

Осенью 2016 года на территории России были запущены платежные сервисы от компаний Apple и Samsung – ведущих производителей мобильных устройств – Apple Pay и Samsung Pay, работающих на устройствах с операционной системой iOS и Android соответственно. В мае 2017 года был запущен сервис Android Pay от компании Google для прочих устройств с операционной системой Android. Эти сервисы позволяют хранить данные карты на устройстве и расплачиваться, используя встроенный в него NFC-чип. Процесс оплаты аналогичен бесконтактной карте: нужно поднести устройство к считывающему терминалу, после чего средства с привязанной карты будут списаны автоматически.

Чтобы воспользоваться сервисом бесконтактной оплаты, необходимо установить соответствующее приложение на смартфон и зарегистрировать в нем платежную карту, после чего подтвердить ее одноразовым кодом, высланный банком в SMS-сообщении. При передаче данных от терминала в банк-эквайер используются не зашифрованные криптографическим ключом данные карты, а токены – набор случайных символов, используемых платежным сервисом для идентификации карты. Это в разы повышает уровень защиты информации клиента, поскольку токен не несет в себе никаких реальных данных о карте. Как и в случае с бесконтактными картами, сумма операции ограничена 1000 рублей. Кроме того, все транзакции подтверждаются на самом устройстве с помощью дактилоскопического сканера или пароля, которые используются для разблокировки экрана устройства.

К сожалению, приведенные платежные сервисы не лишены недостатков. Например, сервис Samsung Pay может использовать не только технологию NFC, но и MST (Magnetic Secure Transmission) – магнитная безопасная передача, которая позволяет бесконтактно устанавливать соединение с терминалом, не оснащенным NFC-чипом [16, 17]. Как известно, при связи через магнит, терминал передает статичную информацию о карте. Перехватить такой магнитный сигнал довольно просто, достаточно установить рядом специальное устройство, считывающее магнитное поле карты, – скиммер.

Следует помнить, что Android, для которых разработаны Samsung Pay и Android Pay, является самой популярной в мире операционной системой, например, 90% смартфонов в России работают именно на ней. Кроме того, Android является открытой ОС, т.е. ее исходный код открыт для стороннего редактирования, что делает ее очень популярной среди кибермошенников. Опасность может подстерегать и iOS, код которой закрыт. Дактилоскопический сканер может не всегда корректно откликаться на прикосновение, поэтому некоторые пользователи в качестве подтверждения платежной операции устанавливают PIN-код, используемый и при разблокировке экрана. Завладев устройством с Apple Pay и зная код подтверждения, злоумышленник сможет использовать его в качестве платежного инструмента [18, 19].

В заключение, стоит отметить, что в большинстве случаев кражи данных карты или вывода с нее денежных средств виноват сам пользователь. Слепая доверчивость и невнимательность может, буквально, дорого обойтись. При работе с онлайн-банкингом необходимо своевременно обновлять интернет-браузеры и антивирусное ПО, которые блокируют подозрительные сайты и предупреждает об отсутствии SSL-сертификата. Не следует устанавливать сторонние банковские приложения из непроверенных источников, а также не вводить данные банковской карты в приложениях, которые не предназначены для проведения платежных операций. Настройка SMS-уведомлений при оплате бесконтактной картой поможет следить за расходом средств, к тому же, на рынке существуют специальные экранирующие кошельки, которые блокируют NFC-сигнал. Используя платежные сервисы от Apple, Samsung или Android в качестве подтверждения операции следует использовать дактилоскопический сканер. Кроме того, шифрование данных при оплате NFC-картой и токенизация при оплате NFC-устройством обеспечивает высокий уровень безопасности при совершении платежа.

Поделиться в соц. сетях

0

Библиографический список
  1. Киберпреступники против финансовых организаций: чего ждать в 2018 году [Электронный ресурс]. URL:https://securelist.ru/ksb-threat-predictions-for-financial-services-and-fraud-in-2018/88040/
  2. Спам и фишинг в третьем квартале 2017 [Электронный ресурс]. URL: https://securelist.ru/spam-and-phishing-in-q3-2017/87797/
  3. Фишинговые сайты дружно переезжают на HTTPS [Электронный ресурс]. URL: https://threatpost.ru/phishers-put-fake-ssl-to-their-sites-we-are-all-gonna-die/23649/
  4. Что такое SSL-сертификат, зачем он нужен и где его взять [Электронный ресурс]. URL: https://te-st.ru/2014/12/03/what-is-ssl/
  5. Мобильные приложения ряда крупных банков уязвины перед MitM-атаками [Электронный ресурс]. URL:https://xakep.ru/2017/12/08/flaw-in-banking-apps/
  6. Банковские приложения уязвимы к MitM-атакам [Электронный ресурс]. URL: https://threatpost.ru/banking-apps-found-vulnerable-to-mitm-attacks/23655/
  7. Безопасность мобильного банкинга: возможность реализации атаки MitM [Электронный ресурс]. URL:https://dsec.ru/ipm-research-center/research/a_security_analysis_of_mobile_banking_applications_for_2013/
  8. Все приложения мобильного банкинга в России уязвимы [Электронный ресурс]. URL: https://dsec.ru/news/press-about-us/all_applications_of_mobile_banking_in_russia_vulnerable/
  9. Мобильные банковские приложения: семь причин для недоверия [Электронный ресурс]. URL:http://www.banki.ru/news/daytheme/?id=9092601
  10. Рынок безналичных платежей Российской Федерации в 2016 году: краткий обзор [Электронный ресурс]. URL: http://www.plusworld.ru/professionals/rynok-platezhnykh-kart-rossiyskoy-federatsii-v-2016-godu-kratkiy-obzor/
  11. «М.Видео» и «Эльдорадо»: объемы бесконтактных платежей в России выросли в 3 раза [Электронный ресурс]. URL: https://roem.ru/27-11-2017/264050/m-video-i-eldorado/
  12. «Сбербанк» решил перевести «абсолютно все» карты на бесконтактную оплату до конца года [Электронный ресурс]. URL:  https://rb.ru/news/sbernfc/
  13. С пластиковых карт начали угонять деньги «по воздуху» [Электронный ресурс]. URL:  https://iz.ru/news/602196
  14. Деньги из воздуха: безопасны ли бесконтактные платежи? [Электронный ресурс]. URL: https://www.kaspersky.ru/blog/contactless-payments-security/8608/
  15. Пользователи мобильного банка Тинькофф теперь могут оплачивать покупки одним касанием смартфона с помощью бесконтактной технологии MasterCard [Электронный ресурс]. URL:  https://www.tinkoff.ru/about/news/14012016-tinkoff-smartphone-paypass/
  16. Что такое Samsung Pay и как обстоят дела с безопасностью [Электронный ресурс]. URL: https://www.kaspersky.ru/blog/samsung-pay-security/7229/
  17. Банк в смартфоне: тест-драйв нового сервиса Samsung Pay [Электронный ресурс]. URL: https://www.rbc.ru/money/28/09/2016/57eaab939a7947237e8969f6
  18. Мошенники активно осваивают Apple Pay [Электронный ресурс]. URL:  https://threatpost.ru/moshenniki-aktivno-osvaivayut-apple-pay/6633/
  19. Apple Pay: безопасно ли платить айфоном? [Электронный ресурс]. URL: https://www.kaspersky.ru/blog/apple-pay/5161/


Количество просмотров публикации: Please wait

Все статьи автора «Каширина Евгения Александровна»


© Если вы обнаружили нарушение авторских или смежных прав, пожалуйста, незамедлительно сообщите нам об этом по электронной почте или через форму обратной связи.

Связь с автором (комментарии/рецензии к статье)

Оставить комментарий

Вы должны авторизоваться, чтобы оставить комментарий.

Если Вы еще не зарегистрированы на сайте, то Вам необходимо зарегистрироваться:
  • Регистрация