Фото з відкритих джерел

Оригінал на сторінці Департаменту кіберполіції Нацполіції у Facebook

На сьогодні є досить велика кількість класифікацій атак на інтернет-банки з різними підходами та цілями.

Основна кількість випадків шахрайства в системах інтернет-банкінгу припадає на шахрайство за допомогою шкідливого програмного забезпечення (ШПЗ), соціальної інженерії, фішингових атак. Причому, якщо за прогнозом масштаби використання шкідливого програмного забезпечення на комп'ютерах поступово будуть зменшуватися, то використання троянів на платформі Android буде тільки зростати. Одночасно особи, які створюють віруси для комп'ютерів, будуть все більше орієнтуватися на західні банки, а фішингові атаки автоматизуватися.

У більшості випадків перелічені атаки є спрямованими (Advanced Persistent Threat, APT), тобто атаками, метою яких стає конкретний інтернет-банк, а іноді і конкретні клієнти. Зловмисники за допомогою різних методів установлюють на комп'ютер клієнта троян, який замість клієнта формує платіжні доручення або підміняє в ньому реквізити платежу.

Новини за темою: Шахраї використовують "групи смерті", щоб отримати доступ до банківських карток

При відновленні обставин інцидентів у ході криміналістичних досліджень робочих станцій, на яких працювали з ДБО, ретельному аналізу піддаються журнали міжмережевих екранів та проксі-серверів, а також інші джерела інформації. Нашими експертами визначаються причини інциденту, методи і засоби, якими користувалися зловмисники, хронологія їхніх дій. Найбільш частий сценарій скоєння злочину складається з трьох основних етапів: отримання інформації для доступу до системи ДБО, проведення шахрайської операції, переведення в готівку грошей.

Насамперед варто розібратися, які засоби захисту є в самій системі ДБО і як їх можна використовувати. Частіше за все клієнти банків навіть не знають про можливості контролю доступу до системи ДБО за IP-адресами або про використання токенів для зберігання ключів ЕЦП (Електронний цифровий підпис). Іншою проблемою є небажання клієнта платити за додаткові засоби забезпечення безпеки, оскільки в нього немає розуміння ступеня критичності ризику шахрайства. За можливості вибору банку варто віддати перевагу тій кредитній організації, яка пропонує своїм клієнтам безпечний сервіс по роботі з системою ДБО: засоби надійного зберігання ключів, одноразові паролі, систему протидії шахрайству, вбудовану в ДБО.

У будь-якому випадку, необхідно розуміти, що наявність засобів захисту на стороні банку не гарантує абсолютної безпеки. Наш досвід показує, що у 80% випадків причиною інциденту є недотримання вимог безпеки на стороні клієнта банку.

При організації робочого місця, на якому будуть працювати із системою "Банк-Клієнт" або "інтернет-банк", необхідно передбачити можливі шляхи компрометації даних авторизації та забезпечити їхній надійний захист. Ідеальним варіантом є виділена робоча станція, призначена виключно для роботи з банком. На ній необхідно обмежити мережеві взаємодії списком IP-адрес і доменних імен довірених вузлів: сервер ДБО банку, корпоративний сервер 1С, сервер податкової інспекції. Така машина повинна мати оновлений антивірус і встановлені оновлення безпеки програмного забезпечення.

Новини за темою: "Культура" шахрайства в Україні гальмує відновлення кредитування, - Нацбанк

Не забувайте про організаційні заходи, які в більшості випадків є набагато ефективнішими за технічні заходи. Необхідно регулярно змінювати паролі у всіх системах, надавати користувачеві тільки необхідні для роботи права, приділяти увагу зберіганню ключів ЕЦП, мати відпрацьовані процедури реагування на інциденти. Наявність добре налагоджених схем своєчасної реакції на події дозволить знизити збитки в разі шахрайства і запобігти розкраданню. Своєчасне виявлення факту злочину та оперативне реагування протягом 4 годин з моменту відправлення платіжного доручення гарантують повернення грошових коштів на рахунок у 80% випадків.

Найбільш яскравими ознаками підготовки кібершахрайства є:

- нестабільне функціонування ПК, на якому працюють із системою ДБО (повільна робота, довільне перезавантаження, інші проблеми);

- вихід з ладу ПК, на якому працюють з ДБО;

- перебої з доступом до системи ДБО;

- неможливість авторизації в системі ДБО;

- DDoS-атака на вашу ІТ-інфраструктуру;

- невідповідність порядкових номерів платіжних доручень;

- спроби авторизації в ДБО з інших IP-адрес або в неробочий час.

У разі виявлення факту шахрайства необхідно максимально швидко повідомити про подію в банк з метою призупинення платежу і блокування доступу до системи ДБО зі скомпрометованими ключами і паролем. Також слід негайно знеструмити ПК, з якого імовірно були викрадені ключі та дані для авторизації в системі ДБО, і забезпечити незмінність його стану до приїзду правоохоронних органів. Якщо в компанії є міжмережевий екран або проксі-сервер, на якому ведуться логи, то необхідно здійснити їхнє збереження на носій інформації. У разі самостійного розслідування або залучення для таких цілей консультантів не допускається робота з оригіналами носіїв інформації, оскільки це може зашкодити цілісності доказів, що зберігаються на них.

Обов'язково напишіть заяву про подію до Департаменту кіберполіції. По можливості доповніть заяву результатами самостійного розслідування інциденту. Навіть якщо шахрайство не було завершено, і ви встигли його зупинити, інцидент залишається кримінальним злочином, який підпадає під декілька статей, починаючи від створення і розповсюдження шкідливого програмного забезпечення та закінчуючи спробою розкрадання грошових коштів в особливо великому розмірі.