Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов

всего такое устройство представляет собой переходник – конвертер интерфейсов, например USB-RS485. Переходник через USB-кабель подключается к портативному компьютеру. Как правило, это недорогие, бывшие в употреблении ноутбуки, которые злоумышленникам не жалко бросить на месте проведения атаки. На компьютере установлена программа удаленного администрирования, например TeamViewer. С ее помощью подключается находящийся на удалении сообщник (либо организатор), запускающий программу, которая взаимодействует с диспенсером банкомата. От подобного рода воздействий может дополнительно защитить включение шифрования данных, передаваемых между диспенсером и системным блоком банкомата, однако на старых банкоматах или банкоматах, расположенных в удаленных от федерального центра регионах, такое шифрование применяется не всегда.

Вторая из наиболее популярных атак на устройства самообслуживания получила название TRF-атаки (transaction reversal fraud – мошенничество с отменой транзакций). Можно выделить два основных способа осуществления TRF-атаки: первый использует конструктивный недостаток отдельных моделей банкоматов, которые подготавливают денежные средства к выдаче, но держат их за закрытой шторкой шаттера («пре-кэш»); второй направлен на нарушение логики работы процессингового программного обеспечения.

В первом случае злоумышленник осуществляет «стандартный» съем наличных денежных средств, но не забирает карту из картоприемника. За время, пока банкомат не изъял карту, злоумышленник взрывает шторку шаттера, повреждая механизм шторки, и забирает подготовленные денежные средства. При этом банкомат прекращает клиентское обслуживание («out of service») и считает, что денежные средства не выданы, в результате чего происходит восстановление баланса на счете клиента.

Во втором случае эксплуатируется некорректность настроек некоторых процессинговых систем. Ошибка заключается в последовательности обработки запросов банка-эквайрера и банка-эмитента при выполнении операции возврата денежных средств на платежную карту отправителя, когда денежные средства переводятся от клиента к клиенту. Банк возвращает денежные средства на платежную карту отправителя, а от банка – эмитента платежной карты получателя приходит отказ в списании денежных средств, при этом с карты получателя деньги не списываются. В максимально короткое время после проведения такого рода операции происходит обналичивание обеих платежных карт во избежание блокировки денежных средств.

Упрощенно данный вид TRF-атаки выглядит следующим образом:

– в банкомате выбирается тип операции – Р2Р-перевод (от клиента к клиенту), указывается номер карты получателя;

– банк-инициатор одновременно направляет два авторизационных сообщения: банку получателя и банку отправителя;

– банку-инициатору практически одновременно приходит одобрение от обоих банков (в случае если операция возможна: имеется необходимое количество денежных средств на балансе карты отправителя и т. д.);

– выполняется фактический перевод: увеличивается сумма на карте получателя, одновременно такая же сумма холдируется у отправителя. Сценарий Р2Р-перевода в банкомате при этом еще не закончен;

– банкомат «спрашивает» у отправителя согласие на списание комиссионных за операцию;

– отправитель не соглашается, поэтому банк-инициатор отправляет в банк отправителя и банк получателя сообщение о возврате денежных средств;

– холд со счета отправителя снимается, вместе с тем денежные средства уже выведены получателем.

Согласно данным, представленным в отчете ФинЦЕРТ Банка России за 1 сентября 2017 г. – 31 августа 2018 г., в отчетном периоде отмечено отсутствие атак вида cash trapping. Суть атаки заключается в установке на банкомат специального устройства, удерживающего выдаваемую наличность для ее хищения после того, как клиент, пытавшийся снять денежные средства, отойдет от банкомата. Типовая конструкция таких «ловушек» позволяет захватывать до четырех купюр. По всей видимости, низкая распространенность таких атак обусловлена именно тем, что сумма денежных средств, получаемая злоумышленником в результате успешного проведения атаки, небольшая [18, с. 33].

Кроме того, в последнее время эксперты по информационной безопасности отмечают существенное снижение числа атак типа skimming и shimming, которые заключаются в копировании данных платежной карты с магнитной полосы и микропроцессора соответственно. Такая тенденция обусловлена тем, что копирование данных с магнитной полосы платежной карты – занятие бесперспективное, поскольку кредитные организации обязаны осуществлять переводы денежных средств с применением платежных карт, оснащенных микропроцессором (п. 2.19 Положения № 382-П), а копирование данных с микропроцессора платежной карты с последующей корректной обработкой клона карты банком-эмитентом в Российской Федерации бесполезно.

3. Влияние «теневого интернета» на безопасность электронного банкинга

Опыт – самый лучший учитель, только плата за обучение слишком велика.

Томас Карлейль, английский философ

Введение

Опасность тем страшней, чем она маловероятней.

Джон Голсуорси, английский прозаик и драматург

Конец XX и начало XXI вв. олицетворяют собой быстрое развитие информационных технологий, которые существенно упрощают жизнь людей и позволяют им вести более динамичный образ жизни, сосредоточив свои усилия на организации решения той или иной задачи, а не на ее самостоятельном решении. Жизнь человека уже не представляется возможной без мобильных устройств, компьютеров, технологий «умного дома», корпоративных систем, систем электронного правительства, электронных денег, ЭБ и, конечно же, локальных и глобальных сетей.

Специфика интернета размывает такие привычные понятия, как государственные границы, начало и конец совершения преступления, традиционная идентификация индивидуума и т. д. Однако специфичность виртуальной среды не отменяет законы и признанные правила реального мира. Свобода слова, неприкосновенность жизни человека, защита прав физических и юридических лиц, интеллектуальной собственности, легальность денежной эмиссии, обеспечение защищенного перевода денежных средств по-прежнему остаются актуальными проблемами, в связи с чем повышается значимость вопросов информационной безопасности.

Работа ведется на всех уровнях: от защиты пароля персонального компьютера владельцем до противодействия кибертерроризму и кибершпионажу со стороны органов государственной безопасности. И чем активнее повседневные процессы переносятся в виртуальное пространство, тем острее становятся вопросы безопасности. Это обусловлено неизменностью человеческой сущности, которая может породить действия как хулиганского характера (пример: молодой человек, который создает дома вредоносное программное обеспечение и распространяет его посредством электронной почты), так и идеологического характера (пример: применяемая в КНР практика подготовки хакеров, которые в дальнейшем атакуют серверы государственных служб других стран)[68].

Технологии обхода защитных средств и технологии защиты развиваются в совместном противоборстве, и бывает так, что одни технологии переходят в другие. Хорошим примером являются технологии так называемого «теневого интернета» (примером могут служить системы TOR и I2P).

«Теневой интернет» представляет собой часть интернета, которая скрыта от непосвященных людей, не имеющих идентификатора для работы со скрытыми сервисами. Эти технологии предположительно были созданы спецслужбами Соединенных Штатов Америки для обеспечения конфиденциальности работы агентов[69]. В итоге «теневой интернет» стал решать задачи совершенно иного характера, в том числе связанные с незаконными сделками по продаже наркотиков, вооружения, организацией заказных убийств, а также взаимодействием террористических и радикальных ячеек по всему миру с целью организации акций устрашения. «Теневым интернетом» пользуются и различные хакерские группы, например Anonymous, цель которых – отстаивание свобод человека и неприкосновенности его жизни. Такой феномен, как группа Anonymous, вызывает общественный резонанс, потому что действия группы, с одной стороны, не направлены на извлечение прибыли, а с другой – являются незаконными, поскольку обычно влекут за собой порчу чужого имущества (визуального представления официального веб-сайта, оборудования и т. д.).

В условиях размытости границ в интернете, а также плотного взаимодействия индивидуумов одна и та же группа лиц зачастую может по заказу выполнять