БИФИТ в Украине

Главная страница
Написать письмо
Карта сайта
Пресс-релизы
О компании

07.04.2010

В компанию «БИФИТ» поступила информация о нескольких попытках хищений средств со счетов корпоративных клиентов, использующих USB-токены «iBank 2 Key».

Во всех выявленных случаях злоумышленники пользовались халатностью клиентов, оставляющих USB-токены «iBank 2 Key» постоянно (круглосуточно) подключенными к компьютеру.

Поскольку использование USB-токенов «iBank 2 Key» исключает хищение секретных ключей ЭЦП клиентов, все выявленные попытки хищений средств осуществлялись только в моменты, когда USB-токен был подключен к клиентскому компьютеру.

Для этого злоумышленники использовали следующие механизмы:

  • Программы для дистанционного управления компьютером клиента (Microsoft Remote Assistant, TeamViewer и др.).
     
    Злоумышленник с помощью трояна запускал на компьютере клиента программу для дистанционного управления, подключался к данному компьютеру, загружал и запускал на нем Java-апплет Internet-Банкинга, от имени клиента создавал и подписывал платежные документы с использованием постоянно подключенного к компьютеру USB-токена.

  • Новая разновидность трояна, который предоставляет удаленный доступ к USB-портам компьютера, а также осуществляет тунеллирование TCP-трафика с компьютера злоумышленника через компьютер клиента до банковского Сервера Приложения «iBank 2».
     
    При этом Java-апплет Internet-Банкинга загружается и исполняется на компьютере злоумышленника, а для входа в систему «iBank 2» и формирования ЭЦП клиента под платежными документами используется удаленный доступ к USB-портам компьютера клиента с постоянно подключенным USB-токеном.

Выводы:

1. Ни в одном из случаев секретный ключ ЭЦП корпоративного клиента не был похищен из USB-токена «iBank 2 Key». Во всех случаях злоумышленники подписывали документы, используя удаленный доступ к компьютеру корпоративного клиента или к «расшаренным» USB-портам компьютера клиента.

2. Во всех случаях злоумышленники воспользовались халатностью корпоративных клиентов — бесконтрольным постоянным подключением USB-токена «iBank 2 Key» к компьютеру.

3. Для осуществления хищения по описанному сценарию злоумышленнику необходимо:

  • подключиться к банковскому Серверу Приложения «iBank 2» и пройти аутентификацию с использованием секретного ключа ЭЦП клиента в USB-токене;

  • сформировать платежные документы, подписать их с помощью секретного ключа ЭЦП клиента в USB-токене и отправить на банковский сервер.

То есть атака может быть осуществлена злоумышленником только в онлайновом режиме, в те моменты, когда USB-токен подключен к компьютеру клиента.

Для противодействия новой угрозе банкам рекомендуется:

1. Информировать клиентов о новой угрозе — о появлении новой разновидности трояна с поддержкой удаленного доступа к USB-портам компьютера и туннелированием трафика.

2. Информировать клиентов о недопустимости постоянного подключения к компьютеру USB-токенов и смарт-карт «iBank 2 Key».

USB-токены и смарт-карты должны быть подключены к компьютеру только на время работы с системой «iBank 2».

3. Информировать клиентов о необходимости строго соблюдать порядок работы в системе «iBank 2», а именно:

  • соблюдать регламент доступа к компьютеру, к USB-токенам и смарт-картам «iBank 2 Key» с секретными ключами ЭЦП;

  • использовать системное и прикладное ПО, полученное из доверенных источников, а также регулярно обновлять указанное ПО;

  • использовать и регулярно обновлять специализированное ПО для защиты информации — антивирусное ПО, средства защиты от несанкционированного доступа, персональные межсетевые экраны и пр.;

  • соблюдать правила информационной безопасности при работе в Интернете — не посещать подозрительные сайты, не устанавливать программы из недоверенных источников, не открывать файлы от неизвестных отправителей и пр.;

  • немедленно информировать банк о внештатных ситуациях и подозрениях на нарушение безопасности рабочего места (заражение компьютера трояном).

4. Использовать в банке системы Fraud-мониторинга электронных платежей.

5. Использовать SMS-информирование клиентов о входе в систему, о поступлении платежных поручений, о движении средств и т.д.

6. Использовать расширенную многофакторную аутентификацию клиентов в дополнение к USB-токенам и смарт-картам «iBank 2 Key». Данный механизм для корпоративных клиентов встроен в систему «iBank 2» начиная с версии 2.0.15.73 (более года назад).

При использовании расширенной многофакторной аутентификации корпоративным клиентам для входа в Internet-Банкинг, Mobile-Банкинг, ЦФК-Онлайн и для синхронизации в PC-Банкинге требуется ввести одноразовый пароль. В качестве источника одноразового пароля может выступать OTP-токен и/или SMS-сообщение на мобильный телефон.

Таким образом, при использовании расширенной многофакторной аутентификации злоумышленник не сможет подключиться к банковскому Серверу Приложения «iBank 2» от имени клиента, поскольку не имеет возможности получения одноразового пароля.

Технические подробности использования дополнительных механизмов защиты информации направляются службой техподдержки компании «БИФИТ» по запросам банков.

Задать вопрос

О компании | Решения | Безопасность | Дистрибутивы | Документация | Техподдержка | Цены

Copyright © 1999-2012 BIFIT. Все права защищены.

Россия, 105203, г. Москва, ул. Нижняя Первомайская, дом 46
Тел. +7 (495) 532-15-02 | e-mail: info@bifit.com