БИФИТ в Украине

Главная страница
Написать письмо
Карта сайта
Пресс-релизы
О компании

28.07.2011

В начале июля 2011г. в российских банках были зарегистрированы попытки хищения средств клиентов с использованием новой разновидности вредоносной программы.

Нативная компонента вредоносной программы устанавливалась на компьютер клиента, используя критические уязвимости в старых версиях Java-машин (JVM). Вредоносная программа встраивалась в JVM, подменяла вызовы JVM для сокрытия мошеннических действий и предоставляла злоумышленнику удаленное управление компьютером клиента.

С помощью новой вредоносной программы мошенническое платежное поручение создавалось, подписывалось ЭЦП клиента (в том числе с использованием подключенного USB-токена) и отправлялось в банк непосредственно на инфицированном компьютере клиента. При этом все мошеннические действия выполнялись невидимо для пользователя.

После отправки мошеннического платежа в банк вредоносная программа предпринимала действия по сокрытию попытки хищения:

  • При работе на инфицированном компьютере мошеннический платеж не отображался в списке платежных поручений. При работе с обычного компьютера мошеннический платеж отображался.

  • При работе на инфицированном компьютере операция списания средств не отображалась в выписке. При работе с обычного компьютера проводка отображалась.

  • При работе на инфицированном компьютере остаток на счете модифицировался – не уменьшался на сумму мошеннического платежа. При работе с обычного компьютера отображался реальный остаток.

В результате действия вредоносной программы корпоративный клиент не мог с инфицированного компьютера обнаружить факт несанкционированного списания и оперативно помешать злоумышленнику осуществить вывод похищенных средств.


Для противодействия новой угрозе банкам необходимо принять следующие меры:

1. Полное и корректное информирование корпоративных клиентов о новой угрозе.

2. Напоминание корпоративным клиентам о необходимости строго соблюдать порядок работы в системе «iBank 2»:

  • соблюдать правила информационной безопасности, регламент доступа к компьютерам для работы в системе «iBank 2», регламент работы с секретными ключами ЭЦП клиента;

  • использовать только лицензионное системное и прикладное ПО, оперативно его обновлять;

  • использовать и оперативно обновлять персональный межсетевой экран (firewall), антивирусное ПО, средства обнаружения вредоносных программ;

  • при использовании клиентом двух секретных ключей ЭЦП (ключ ЭЦП директора с правом первой подписи, и ключ ЭЦП главного бухгалтера с правом второй подписи) осуществлять работу с системой «iBank 2» на двух отдельных компьютерах с хранением секретных ключей ЭЦП на двух отдельных USB-токенах или смарт-картах.

3. Использование банком встроенного в систему «iBank 2» механизма дополнительного подтверждения платежных поручений с помощью одноразовых паролей, отправляемых по SMS.

При включенном механизме дополнительного подтверждения после подписи платежного поручения необходимым количеством ЭЦП документ получает статус «Требует подтверждения».

Для перевода документа в статус «Доставлен» клиенту необходимо ввести одноразовый пароль, полученный в SMS-сообщении.

SMS-сообщение с одноразовым паролем содержит также критичные реквизиты подтверждаемого платежа: сумму, наименование получателя, счет получателя, БИК банка получателя. Это обеспечивает защиту от подмены отображаемых клиенту реквизитов документа вредоносной программой.

Подтверждение одноразовым паролем в Internet-Банкинге может быть выполнено как сразу после подписания документа, так и позднее. В PC-Банкинге подтверждение документов выполняется в ходе синхронизации.

Настройка механизма дополнительного подтверждения осуществляется администратором банка. Клиент не имеет возможности отключить данный механизм, изменить номера мобильных телефонов или пороговую сумму платежных поручений, требующих подтверждения одноразовым паролем. Пороговая сумма настраивается индивидуально для каждого корпоративного клиента.

Механизм дополнительного подтверждения платежных поручений с помощью одноразовых паролей, рассылаемых по SMS, встроен в систему «iBank 2» начиная с версии 2.0.22.22. Для его использования приобретать Лицензию на серверный модуль «SMS-Банкинг для корпоративных клиентов» не нужно.

С целью противостояния новым угрозам компания «БИФИТ» рекомендует банкам для всех корпоративных клиентов осуществить принудительное включение в системе «iBank 2» дополнительного подтверждения платежных поручений с помощью одноразовых паролей, отправляемых по SMS.

В случае добровольного подключения клиентом дополнительного подтверждения процесс может затянуться на несколько месяцев. В течение всего этого срока у клиентов будут сохраняться повышенные риски хищений.

Принудительное включение дополнительного подтверждения всем корпоративным клиентам без возможности выбора позволяет банку быстро и радикально решить проблему.


Сценарий принудительного включения дополнительного подтверждения платежных поручений:

1. Банк подключает систему «iBank 2» к SMS-центру «ИБАНК2.РУ» или любому другому SMS-центру.

2. Банк рассылает своим сотрудникам (операторы Call-центра, операционисты) информационное письмо, которое содержит сценарий общения с клиентами, обратившимися после включения SMS-подтверждения. План информационного письма:

  • Краткое описание новой угрозы хищений.

  • Информирование о решении службы информационной безопасности банка включить дополнительную защиту всем клиентам без исключения.

  • Информирование о невозможности отправки платежных поручений на сумму свыше пороговой без подключения мобильных телефонов для SMS-подтверждения.

  • Описание порядка действий клиента: загрузить с сайта банка бланк заявления, распечатать, заполнить, подписать и доставить заявление в банк.

3. Банк информирует клиентов о новой угрозе и о дате перехода к обязательному использованию в системе «iBank 2» механизма дополнительного подтверждения. Для информирования клиентов банк использует важное (обязательное к прочтению) письмо в системе «iBank 2».

4. Банк модифицирует стартовые страницы Internet-Банкинга для корпоративных клиентов (index.html и client_su.html). На стартовые страницы добавляется информационный блок о новой угрозе и принудительном включении дополнительного подтверждения с определенной даты. Также на стартовых страницах размещается ссылка на бланк заявления для подключения механизма дополнительного подтверждения.

5. С заданной даты банк принудительно включает дополнительное подтверждение для всех корпоративных клиентов, которые за отведенное банком время не передали в банк заявление на подключение механизма дополнительного подтверждения платежей.

С этого момента все корпоративные клиенты обязаны подтверждать платежи сверх установленной банком суммы одноразовыми паролями, рассылаемыми по SMS.

  • При подписании последней подписью платежное поручение на сумму выше пороговой переходит в статус «Требует подтверждения». Клиенты, подавшие ранее заявление на подключение дополнительного подтверждения, смогут получить пароль для подтверждения с помощью SMS на указанные в заявлении мобильные телефоны.

  • Клиент, проигнорировавший требование банка и не подавший ранее заявление, не сможет получить SMS с паролем и обратится в банк за разъяснениями. После консультации клиент распечатывает, заполняет, подписывает и передает заявление в банк. На основании заявления администратор банка для данного клиента добавляет номера мобильных телефонов для SMS-подтверждения и задает пороговую сумму платежного поручения.

  • Все вновь подключаемые клиенты заполняют заявление сразу при оформлении договора.

Технические подробности использования дополнительных механизмов защиты информации направляются службой техподдержки компании «БИФИТ» по запросам банков.

ы

Задать вопрос

О компании | Решения | Безопасность | Дистрибутивы | Документация | Техподдержка | Цены

Copyright © 1999-2012 BIFIT. Все права защищены.

Россия, 105203, г. Москва, ул. Нижняя Первомайская, дом 46
Тел. +7 (495) 797-88-89 | e-mail: info@bifit.com