Упрощенная HTML-версия
ДВУХФАКТОРНАЯ
АУТЕНТИФИКАЦИЯ
Не успели банки внедрить двухфак-
торную аутентификацию для под-
тверждения операций в интернет-
банке, как появились вредоносные
программы для перехвата данных
с мобильных устройств. В результате
сегодня даже двух факторов защи-
ты недостаточно. Одни банки ищут
её альтернативную реализацию.
MasterCard, например, эксперимен-
тирует с селфи для подтверждения
платежей, а британский Halifax Bank
тестирует устройства для считывания
сердцебиения клиента. Другие банки
приняли в качестве нового стандарта
многофакторную аутентификацию.
Правда, пока в повседневной рабо-
те можно встретить подтверждение
крупных платежей по телефону. По-
смотрим, какая технология победит
в результате экспериментов, а пока
работаем над защитой мобильных
устройств клиентов.
УГРОЗЫ ДЛЯ ИНТЕРНЕТА
ВЕЩЕЙ
Нет, здесь не будет рассказа о мил-
лиардах устройств, которые ско-
ро будут подключены к Интернету.
Вместо этого будет рассказ о роутерах,
POS-терминалах и банкоматах.
В коллекции вирусной лабора-
тории ESET ещё с 2000-х годов есть
вредоносные программы для роу-
теров, а в 2015 году она активно по-
полнялась образцами для банкоматов
и POS-терминалов. В США последнее
становится чуть ли не обыденностью:
крупные атаки, в которых задействова-
но вредоносное программное обеспе-
чение для POS-терминалов, затронули
сначала клиентов ритейлера Target, а
затем сети фаст-фуда Wendy’s. Так что
требования Банка России к защите
банкоматов, в том числе с помощью
антивирусного программного обеспе-
чения, сегодня вполне оправданны.
APT-АТАКИ
Сложные направленные атаки, та-
кие как Buhtrap, обнаруженная ESET
в 2014 году, не обходят банки сто-
роной. Правда, если забыть о слове
«сложный» и «распределённый», при
разборе большинства из них окажет-
ся, что начинаются они с банальных
фишинговых спам-рассылок с «опо-
вещениями судов», «счетами», «ак-
тами» и т.д. Заражение начинается
с неосторожности сотрудника банка
и заканчивается кражей конфиден-
циальных документов или, в худших
случаях, списанием средств со счетов.
Так что обучение сотрудников осно-
вам безопасности может оказаться не
менее ценным, чем внедрение самых
инновационных ИБ-решений.
ЗАБЫТЫЕ
СИСТЕМЫ
При разборе сетевого периметра
банков-заказчиков мы часто нахо-
дим забытые всеми сайты и системы.
Например, у одного банка, помимо
официального ресурса и нескольких
свежих промосайтов, был старый
интернет-магазин туристических пу-
тёвок. У второго нашёлся сайт в от-
крытом доступе, куда системные ад-
министраторы выкладывали пароли
и ключи от разных интернет-сервисов
для работы. Авторы идеи давно уво-
лились, а пароли продолжали лежать
в открытом доступе. Общее название
для такого типа угроз найти сложно,
но все эти проблемы, как правило, об-
наруживаются после аудитов.
Мне остаётся только порекомен-
довать хотя бы бюджетные аудиты раз
в год любому банку независимо от его
размера.
КИБЕРУГРОЗЫ, КОТОРЫЕ МЕНЯЮТ
ПОДХОД К БЕЗОПАСНОСТИ В БАНКАХ
Антон ПОНОМАРЁВ
Директор департамента
по работе с крупными
корпоративными клиентами
ESET
БОЛЕЕ 20 КРУПНЫХ КИБЕРАТАК НА БАНКИ БЫЛО СОВЕРШЕНО
с середины 2015-го по середину 2016 года, сообщил FinCERT.
За это время злоумышленники попытались украсть 2,87 миллиарда
рублей. Как мы видим, интерес киберпреступников к онлайн-
платежам и системам дистанционного банковского обслуживания
не уменьшается. Разберёмся, каким видам киберугроз стоит уделить
больше внимания при планировании новых проектов в области
безопасности.
72
БАНКИ И ДЕЛОВОЙ МИР
АВГУСТ 2016
B2B:
ЭФФЕКТИВНОСТЬ БИЗНЕСА. БЕЗОПАСНОСТЬ