Как уберечь личные финансы от хищения через интернет?

Слово «банк» у многих из нас ассоциируется с такими понятиями как: надёжность, безопасность, компетентность, ответственность, респектабельность. В этой статье речь пойдёт об одной из составляющих — об информационной безопасности средств электронной коммерции (он-лайн банкинг, интернет-магазины, автоматизированные пункты продаж, электронные платёжные системы и т.п.), которые набирают свою популярность в Украине с каждым годом.

fishingПо роду своей работы мне часто приходилось заниматься тестированием безопасности веб-сайтов зарубежных компаний. Я не раз убеждался в том, что большинство сайтов имеют серьёзные проблемы информационной безопасности, что подтверждает официальная статистика хищений в сети Интернет. Цифры впечатляют. Только за один 2007 год прямой финансовый ущерб потребителей США составил 3.2 миллиарда долларов (не учитывая косвенных потерь американского бизнеса). В целом же общие мировые потери эксперты оценивают около 100 миллиардов долларов в год. И это только официально зарегистрированные случаи. Считается что не более 5% потерпевших заявляет о подобных проблемах. А сколько тех, кто даже и не заметил, что стал жертвой виртуальных карманников? Можно разве что догадываться о реальных масштабах проблемы.

Читатель может возразить — а, ну то в Америке, у них совсем другие денежные обороты электронных платежей, практически каждый житель имеет (и главное регулярно пользуется) платёжной картой, а часто и не одной. Покупка товаров и услуг в США в Интернет для многих стала повседневной рутиной, не то что в нашей стране, где кредитные карты чаще всего используются только как средство хранения или обналичивания денег, а не как средство платежа. Это факт. Как факт и то, что «их» производители программного обеспечения, провайдеры интернет-услуг и просто рядовые пользователи поднаторели в противостоянии интернет-мошенникам.

Что же касается Украины (да и прочих стран постсоветского пространства), то наш развивающийся рынок электронной коммерции может оказаться (или уже есть) следующей мишенью хакеров, чему «благоприятствуют» такие факторы как:

  • Значительное отставание Украины от западных стран по степени развития и внедрения компьютерных технологий, в том числе средств защиты передаваемой и хранимой информации;
  • Лидирование постсоветских стран по числу хакерских атак, производимых с их территории (примерно 20% от общего числа);
  • Недостаточно развитая культура потребления интернет услуг и просто банальная компьютерная неграмотность наших сограждан;
  • Отсутствие обязательных регламентирующих норм, правил обеспечения и контроля информационной безопасности в сети Интернет;
  • Сложность выявления и доказательства фактов интернет-мошенничества как с технической, так и юридической точки зрения.

Интернет — это сеть, состоящая из множества дыр

Изначально Интернет создавался как средство коммуникации между университетами, поэтому о вопросах информационной безопасности тогда никто не задумывался. В результате чего большинство веб-сайтов сегодня имеют серьёзные уязвимости безопасности, и в том числе сайты весьма популярных украинских банков, интернет- магазинов и платёжных систем, в чём я лично убедился при беглом обзоре ряда таких веб-сайтов.

Даже такое поверхностное исследование выявило, что примерно треть веб-сайтов банков и почти все сайты интернет-магазинов имеют неудовлетворительную защиту конфиденциальной информации. Исходя из собственного опыта тестирования можно ожидать, что число «дырявых» сайтов может вырасти до 70% при более тщательном их тестировании.

Вот примеры наиболее типичных уязвимостей:

  • Ваша персональная информация такая как: регистрационное имя (логин), пароль, e-mail, паспортные данные, индивидуальный идентификационный код, девичья фамилия матери, даже данные кредитной карты (!!!) и многое другое — всё это может передаваться в Интернет открытым текстом без какого-либо шифрования. Перехват такой информации в сети Интернет не представляет особых трудностей. Вы бы, наверное, не стали отправлять денежные купюры в обычном конверте, надеясь на добропорядочность работников почты.
  • Информация о ваших платежах может быть доступна другим пользователям. Например, любой зарегистрированный пользователь сможет увидеть когда и за что вы платили, номер счёта, какой у вас телефон, адрес, e-mail, ICQ и т.д. То есть ваша личная финансовая жизнь становится публичной помимо вашей воли.
  • Вы просто открваете страницу популярного блога а в это время деньги с вашего счёта преводятся на другой. Если похищена небольшая сумма то единственное что вы можете заметить — некоторые элементы веб-страницы блога не отображаются.
  • Часто встречается возможность внедрения хакерских ссылок, полей ввода и программного кода на сайтах, при этом сервер воспринимает этих «подкидышей» как своих собственных до тех пор пока кукушонок не клюнет приёмного родителя. Уязвимые веб-страницы могут быть использованы для хищения паролей, номеров кредиток или размещения компрометирующего или неподобающего материала.
  • Возможен прямой доступ к базе данных для чтения, изменения и удаления не только информации хранимой в базе данных, но и самой структуры базы данных. т.е. «Бери — не хочу» — всё зависит только от опытности и намерений взломщика.
  • Можно войти в систему под чужим именем вообще без пароля. Достаточно просто ввести «волшебное слово» (известное хакерам) в поле ввода пароля или командную строку браузера и …. вуа-ля — вы совсем другой человек (для банка) с его активами и пассивами.
  • Нередко встречаются случаи, когда можно читать, изменять, удалять, создавать и даже запускать на выполнение файлы, хранящиеся на веб-серверах. Эти файлы могут содержать такие важные данные как:

1. идентификаторы и персональные данные клиентов банка;

2. параметры конфигурации системы (включая права доступа);

3. администраторские логины и пароли для доступа к базе данных или локальной файловой сети;

4. исходные коды программ, файлы данных и резервные копии баз данных

5. и т.п.

Довольно часто при сбое системы на экран выводится много технической информации. Для обычного пользователя — это информационный мусор, но для взломщиков — это просто подарок судьбы. Такие сообщения запросто могут содержать администраторские пароли и логины, название таблиц и полей базы данных, программный код, пути к файлам с конфиденциальной информацией и много другой ценной информации. К сожалению, это является практически стандартным поведением для многих популярных веб-серверов.

  • Почтовый сервер банка может быть использован для рассылки СПАМа с компрометирующим его же содержанием.
  • В конечном итоге несколько сотен или даже тысяч компьютеров пользователей могут быть использованы для проведения массированной атаки на сайт их банка, чтобы вывести его из строя на пару часов, а, может, и навсегда если «повезёт»…

Этот список можно было бы продолжать и дальше. Всё это выглядит так, как будто при строительстве банка забыли поставить одну из стен… Или как минимум, что ключи от бронированной входной двери хранятся снаружи под ковриком.

Заказчики и исполнители

Большинство хакеров взламывают сайты только из побуждений профессионального самоутверждения или любопытства. Убедившись, что защита сломлена, они обычно не идут дальше. В крайнем случае могут умыкнуть небольшую сумму, чтобы «компенсировать» свои технологические издержки. Известны даже случаи когда сами «взломщики» из благих побуждений сообщали “жертвам” об обнаруженной лазейке и … оказывались за решёткой.

Сами по-себе хакеры особой опасности не представляют, но несомненно, стоит опасаться закзчиков и потребителей хакерских «отмычек». Кто же они, люди без страха и упрёка? Заказчиками хакеров могут быть:

  • жулики, те что снимают небольшие суммы денег с большого числа банковских счетов, а так же те кто обналичивают или «отоваривают» их;
  • конкуренты, ведущие технический и финансовый шпионаж;
  • спецслужбы, наблюдающие за банками или их клиентами;
  • рейдеры, собирающие компромат или готовящие кибер-атаки, способные парализовать работу приглянувшегося им учреждения.
  • продавцы конфидециальной частной и коммерческой информации (базы данных паспортных столов, налоговых инспекций, клиентов баков и тп.).

Но ситуация не является патовой. Большинство уязвимостей уже выявлены, и существуют доступные методы и средства, которые позволяют закрыть бреши в защите веб-приложений. Проблема в другом — руководство и технические специалисты не уделяют этим проблемам должного внимания, а может быть просто игнорируют их.

Больше всего поражает «откровения» персонала поддержки и руководства некоторых сайтов. Когда я, например, позвонил в службу поддержки одного известного интернет-магазина чтобы предупредить о найденных на их сайте «дырах», то мне ответили (с большим апломбом) буквально следующее: «Персональная информация пользователя, никакой ценности не представляет, и вводится пользователем для его же удобства, поэтому он (пользователь) сам отвечает за то- где, кому и какую информацию он предоставляет…». Если не обращать внимания на тон ответа, то как ни печально, но это правда — спасение утопающих дело рук самих утопающих. Если мы с вами не будем беспокоиться о собственной информационной и финансовой безопасности, то могут найтись те, кто «побеспокоится» об этом, но только в сугубо своих интересах…

Письма «мёртвого» человека

Наибольшее число хакерских атак в настоящее время происходит при помощи Фишинга. Это наиболее простой (с технической точки зрения) и наиболее эффективный способ хищения информации в сети интернет. Как это работает?

Обычно в случае Фишинга вы получаете от хакера e-mail или чат сообщение (ICQ, MSN, Skype и т.п.) которое содержит в себе ссылку-приманку (подобные сообщения могут приходить даже на мобильные телефоны). Такие ссылки-приманки также могут появится на популярных сайтах, посетители которых могут публиковать свои сообщения, в том числе и ссылки (форумы, блоги, социальные сети и т.п.). Это в полной мере относится и к форумам тех банков, на которые нацелены хакерские атаки. Причём адрес отправителя сообщения будет в точности соответствовать e-mail службы поддержки вашего банка. На это не стоит полагаться — злоумышленник может подставить любой обратный адрес. При нажатии на эту ссылку вы попадаете на страницу-ловушку, которая либо очень похожа, либо в точности повторяет страницу регистрации и/или оплаты вашего банка или интернет-магазина. При этом адрес страницы может быть идентичным адресу «настоящей» страницы или быть очень похожим на него. Вам остаётся только ввести ваши логин/пароль или данные кредитной карточки и нажать Ok. И … ждать пока ваш счёт не похудеет на энную сумму без вашего ведома.

Ниже перечислены наиболее типичные признаки писем-приманок:

  • В приветствии письма отсутствует ваши имя и фамилия или как минимум имя учётной записи (логин). Письмо начинается безличным обращением , например «Уважаемый клиент».
  • Письмо приходит внезапно — вы уже давно зарегистрировались, не меняли свою учётную запись, не производили покупок или других операций, после которых обычно приходит уведомление, не подписывались на рассылку рекламы и новостей.
  • Под вполне благовидным предлогом вам предлагают сменить ваш пароль, например, во избежании мошенничества. В любом случае, упоминание о том, что надо явно ввести ваш пароль или тем более данные кредитки должно вызывать подозрение и звонок в службу поддержки этого сайта.

Особо обратите внимание на письма якобы от вашего банка с примерно таким содержанием:

  • Банк информирует вас о возможном хищении с вашей карточки. Чтобы попасть на страницу последних платежей по вашей карточке вам необходимо ввести регистрационное имя и пароль.
  • Приходит уведомление о успешном или отклонённом платеже, который вы не совершали. Естественно такое письмо имеет ссылку на «страницу регистрации».
  • Требуется материальная помощь в лечении тяжелобольного и предлагается сделать пожертвование он-лайн.
  • Вы выиграли денежный приз в лотерее проводимой вашим банком и вам надо указать номер кредитной карточки и PIN-код для его получения.
  • Вам предлагают купить товар по смешной цене.
  • И т.п.

Банкиру на заметку

Как же поступить руководству банка, чтобы уберечь своих клиентов (а значит и банк) от подобных «неприятностей»? Есть несколько простых советов:

  • Проведите комплексное независимое тестирование безопасности вашего веб-сайта и веб-сервисов (если такие имеются). Все найденные уязвимости должны быть немедленно устранены или максимально минимизированы.
  • Проводите тестирование безопасности регулярно — хакеры не дремлют и постоянно изыскивают новые лазейки для своих атак. Плюс новые версии программного обеспечения, могут содержать новые уязвимости.
  • Своевременно обновляйте программное обеспечение: веб-серверов, баз данных, операционных систем и т.д. Злоумышленники могут легко определить устаревшую версию приложения, установленного на вашем сервере и воспользоваться известными уязвимостями старой версии.
  • Веб-страницы содержащие конфиденциальную информацию должны шифроваться и предаваться по безопасному протоколу HTTPS. Не стоит экономить на приобретении SSL сертификата — безопасность стоит дороже.
  • Используйте Intrusion Detection System (IDS) приложения, которые подобно антивирусам могут блокировать хакерские атаки, используя базу данных известных уязвимостей, или выявить потенциально опасные запросы, основываясь на эвристических методах оценки.

Послесловие

100% защищённости информации, хранимой и передаваемой в Интернет, никто гарантировать не может, поэтому нам, пользователям, следует помнить — что безопасность нашей конфиденциальной информации всё ещё сильно зависит от того, как мы ею распоряжаемся. С другой стороны, владельцы веб-сайтов и провайдеры интернет-услуг могут (и должны) принять все меры, чтобы снизить эти риски на несколько порядков относительно текущей ситуации. Информационные риски — это и финансовые риски, а безопасность клиентов — это и безопасность бизнеса в целом.

Вадим Мережко, Ведущий специалист по тестированию безопасности компьютерных систем, TestAssure.