|
21.01.2008
О попытках хищения денежных средств со счетов корпоративных клиентов с использованием системы электронного банкинга «iBank 2»
За последние несколько месяцев в российских банках были выявлены случаи хищения (предотвращенные и свершившиеся) денежных средств с расчетных счетов корпоративных клиентов путем совершения электронных платежей по системе «iBank 2».
Анализ выявленных ситуаций показывает, что хищения денежных средств с расчетных счетов осуществляются:
1. Ответственными сотрудниками корпоративных клиентов, имевшими доступ к секретным ключам ЭЦП организации. Как правило, это уволенные директора, бухгалтеры и их заместители, а также совладельцы организации.
2. Штатными ИТ-сотрудниками корпоративных клиентов, имевшими технический доступ к носителям (дискеты, флеш-носители, жесткие диски и пр.) с секретными ключами ЭЦП клиентов, а также доступ к компьютерам клиентов, с которых осуществлялась работа по системе электронного банкинга «iBank 2».
3. Нештатными, приходящими по вызову, ИТ-специалистами, обслуживающими компьютеры корпоративного клиента, с которых осуществлялась работа по системе электронного банкинга «iBank 2».
Как правило, это приходящие ИТ-специалисты, осуществляющие профилактику и подключение к Интернет, установку и обновление бухгалтерских и информационно-правовых программ, установку, обновление и настройку другого ПО.
4. Злоумышленниками путем заражения через Интернет компьютеров корпоративных клиентов вредоносными программами. Используя уязвимости системного и прикладного ПО (операционные системы, Web-браузеры, почтовые клиенты и пр.), злоумышленники заражали компьютеры корпоративных клиентов троянскими программами с последующим дистанционным похищением секретных ключей ЭЦП клиента и паролей.
Во всех выявленных случаях злоумышленники тем или иным образом получали доступ к секретным ключам ЭЦП и паролям корпоративного клиента и направляли в банк платежные поручения с корректной ЭЦП клиента.
Успешно прошедшие проверку ЭЦП, но при этом подозрительные, абсолютно не свойственные данному клиенту платежные поручения в большинстве случаев пресекались банковскими операционистами на этапе принятия решения об исполнении документов.
В то же время часть платежей, направленных злоумышленниками с использованием действующих секретных ключей ЭЦП клиента, не вызывала подозрений у банка. Такие документы имели корректную ЭЦП, вполне обычные реквизиты получателей и типовое назначение платежа. Их исполнение банком приводило к хищению денежных средств с расчетного счета клиента. При этом вся ответственность за убытки безусловно и полностью возлагалась на клиента как единственного владельца секретных ключей ЭЦП.
Отдельную группу составляют ситуации, когда банки не соблюдают регламент регистрации сертификатов открытых ключей ЭЦП клиентов. В подобных случаях банковские сотрудники закрепляют за клиентом сертификат открытого ключа ЭЦП, созданного злоумышленником. В результате злоумышленник получает возможность управлять счетом корпоративного клиента. При таких хищениях ответственность за убытки полностью несет банк.
Текущая ситуация требует от банков превентивных мер
1. Полное и корректное информирование корпоративных клиентов о росте угрозы.
2. Напоминание о необходимости строгого соблюдения клиентами порядка работы в системе «iBank 2»:
- соблюдение правил информационной безопасности, регламентов доступа к компьютеру и секретным ключам ЭЦП;
- использование лицензионно чистого ПО;
- использование и постоянное обновление персональных средств защиты (файрволы), антивирусного ПО, средств обнаружения вредоносных программ.
3. Информирование клиентов о действиях при возникновении внештатных ситуаций, подозрении на компрометацию секретных ключей ЭЦП или среды исполнения (заражение компьютера вредоносной программой).
4. Использование банком встроенного в систему «iBank 2» механизма ограничения доступа клиента с определенных IP-адресов/подсетей (настраивается на стороне банка).
5. Использование банком встроенного в систему «iBank 2» механизма «черного списка» – выявления подозрительных платежных поручений на основании анализа реквизитов получателей (настраивается на стороне банка).
6. Использование банком модуля «SMS-Банкинг для корпоративных клиентов» системы «iBank 2» для оперативного информирования клиентов с помощью SMS о входе в систему, по поступлении от клиента платежных поручений, о списании средств со счета и т.д.
7. Плановый переход от хранения секретных ключей ЭЦП клиентов в файлах на отчуждаемых носителях к использованию аппаратного криптопровайдера в виде USB-токена «iBank 2 Key».
При использовании USB-токена «iBank 2 Key» секретный ключ ЭЦП генерируется внутри USB-токена (чипа), никогда не покидает USB-токен, никогда и никем не может быть считан из USB-токена.
Формирование ЭЦП клиента под электронным документом осуществляется по ГОСТ Р34.10-2001 непосредственно внутри чипа USB-токена: на вход токен принимает электронный документ, на выходе выдает ЭЦП под данным документом.
В USB-токене «iBank 2 Key» применяется сертифицированная ФСБ РФ криптобиблиотека. Сертификат соответствия рег. № СФ/114-1009 от 14.05.2007г.
8. Использование дополнительных механизмов защиты информации:
- OTP-токенов Vasco Digipass Go3 для дополнительной аутентификации корпоративных клиентов;
- MAC-токенов Vasco Digipass 260 для дополнительной аутентификации корпоративных клиентов и обеспечения аутентичности их электронных документов.
Подробная информация о предлагаемых превентивных мерах предоставляется службой технической поддержки компании «БИФИТ» по требованию банка.
|
