О бессильном ФСБ и Управлении К.
Создатели трояна Carberp зарабатывают миллионы долларов еженедельно
22.11.11, Вт, 18:50, Мск
Компания ESET, международный разработчик антивирусного ПО и решений в области компьютерной безопасности, сообщила о том, что специалисты российского Центра вирусных исследований и аналитики обнаружили новую модификацию троянской программы Carberp, которая нацелена на популярные системы дистанционного банковского обслуживания (ДБО).
На сегодняшний день, Россия - абсолютный лидер по количеству инцидентов в области информационной безопасности с использованием банковского трояна Carberp - 72% от общего количества инцидентов в различных странах. Пострадавшими от данного вредоносного ПО стали клиенты практически всех крупнейших российских банков - не только коммерческие компании, но и государственные структуры. При этом доходы киберпреступной группы Carberp исчисляются миллионами долларов еженедельно.
«Разработчики Carberp постоянно совершенствуют свою троянскую программу, щедро инвестируя финансовые средства в ее развитие, - сказал Александр Матросов, директор Центра вирусных исследований и аналитики ESET. - Эволюция этого вредоносного ПО за два года сделала его номером один по количеству инцидентов, связанных с ДБО».
В новой версии трояна Carberp присутствует буткит-функционал, благодаря чему угроза может обходить защитные системы, внедренные в ИТ-инфраструктуре компании, и загружать в систему вредоносный функционал. Стоимость подобного дополнения к троянской программе на «черном» рынке составляет несколько десятков тысяч долларов, что в разы больше, чем цены на другие известные троянские программы - SpyEye и Zeus. Carberp также эксплуатирует 4 уязвимости в операционных системах Microsoft Windows для повышения привилегий пользователя, что позволяет ему красть финансовые средства даже с тех компьютеров корпоративной сети, где есть доступ к ДБО, но нет прав администратора. Кроме того, Carberp имеет функционал, позволяющий объединять зараженные ПК в ботсеть. На данный момент она насчитывает сотни тысяч компьютеров.
«Несмотря на то, что сейчас основной целью Carberp являются клиенты российских банков, ситуация может быстро измениться, так как технологических препятствий для атак на банки в других странах у этой киберкриминальной группы нет, - отметил Александр Матросов. - И скорее всего злоумышленники в ближайшем будущем начнут искать партнеров по атакам в других регионах».
По данным компании Group IB, рост инцидентов в области информационной безопасности, связанных с мошенничеством в системах ДБО, только за последний год составляет более 200%, и в ближайшее время этот показатель будет увеличиваться. При этом основная цель злоумышленников - финансовые счета юридических лиц, поскольку они приносят огромные доходы киберпреступникам.
http://www.cnews.ru/news/line/index.shtml?2011/11/22/465450
---------------------------
Поймать реальных хакеров гораздо сложнее, чем идиота, писавшего в интернете угрозы в адрес президента РФ (http://news.rambler.ru/11868925/). Что еще раз доказывает убогость и некомпетентность наших силовиков.
А теперь немного о взломах глазами банков.
Сейчас самыми распространенными системами ДБО от сторонних производителей (те, что написаны не банковскими программистами) являются Система ДБО Клиент-Банк от компании BSS и I-Bank2 от компании Bifit. Я работал как с той, так и с другой системой у каждой есть свои преимущества и недостатки. В первом случае клиентская часть написана в виде ActiveX объекта и запускается только в браузере Internet Explorer на ОС Windows, вторая в виде Java-аплета и запускается на любых ОС. Пока рассмотрим проишествия с второй системой.
Первые случаи взлома системы вирусом были зафиксированы где-то в 2009 году. Но т.к. банки у нас не очень любят правоохранительные органы (в том числе из-за слива информации в прессу), расследования инцидентов в подавляющем большинстве случаев не доходили до МВД, а ограничивались лишь собственной службой безопасности банка и производителем системы ДБО. Не стоит думать, что служба безопасности банков это что-то вроде агентов Смитов - в подавляющем большинстве это отставники МВД или ФСБ работающие в банках не из-за высокого профессионализма, а из-за обширных связей в силовых структурах. Содержать же отдельное управление информационной безопасности могут лишь единицы самых крупных банков, т.к. такие специалисты стоят больших денег, даже если их услуги будут востребованы раз в месяц. И так ситуация выглядит примерно следующим образом: Есть хакеры, есть вирус, есть клиенты у которых порой даже нет штатного системного администратора и есть банки, которые ничего не могут сделать с вирусом.
Так вот, еще раз перенесемся в 2009 год, система ДБО I-Bank2. На тот момент система работала следующим образом: клиентская часть выполнена в виде java-аплета загружается на компьютер клиента. (Тут стоит заметить, что помимо своих преимуществ java-аплеты имеют и один большой недостаток - они достаточно легко поддаются реверс-инженирингу, т.е. восстановлению исходного текста программы из от транслированного объектного файла аплета. Впрочем, это не должно быть препятствием для создания клиентской части систем ДБО. Ведь основная логика обработки запросов системы клиент-банк находится на стороне сервера и даже, если злоумышленники узнают внутренний код клиентской части, это не должно нарушить работу сервера). Клиентский аплет I-Bank2 использовал систему шифрования/постановки ЭЦП в отдельной библиотеке, выполненной вне аплета. Она устанавливалась отдельно в системный каталог виндовс и обрабатывала вызовы аплета к крипто функциям. Криптографическая библиотека была сертифицирована ФСБ (Фапси) и гарантировала, что никто не сможет подобрать пароль для имитации оригинальной ЭЦП клиента. Как оказалось, этого и не потребовалось. Хакеры поступили проще. Файл с ключом ЭЦП, который генерировал себе пользователь системы, хранился или на флешке или даже на жестком диске компьютера пользователя. Т.к. интернет круто вошел в нашу жизнь не только дома, но и на работе, многие клиенты (бухгалтеры) пользовались рабочим компьютером для доступа в интернет, где и получали себе вирус. Первые модификации вируса выполняли простейшие действия:
1. Ставили в систему программку перехвата нажатия клавиш с клавиатуры (так называемых кей-логгер). Цель - записать момент ввода пароля с клавиатуры.
2. Искали на компьютере файлы конфигурации аплета, узнавали там путь до диска и каталога, где хранился ключ с ЭЦП клиента и копировали этот файл, отсылая его на сервер злоумышленников.
3. Как только хакеры получали пароль и файл с ключом ЭЦП они заходили в систему от имени пользователя и делали платеж со счета организации на счет индивидуального предпринимателя или физ. лица в другой банк. Тут стоит отметить, что платеж выполнялся как можно незаметнее для банка: Доступ в систему осуществлялся с публичных Wifi точек города Москвы (как мы выяснили часто это был Мак Дональдс и прочие кафешки), он аккуратно без ошибок заполнялся, в назначении платежа указывалось тоже, что и в предыдущих платежках клиента с небольшими изменениями, дабы не вызывать подозрение у операционистов банка. Банк получателя тоже выбирался хитрым образом: Нужен был банк, у которого была бы разветвленная сеть банкоматов и большое количество платежей, чтобы при обналичивании средств не появляться в отделении банка, а снимать все через пластиковую карту в банкомате. Так же было необходимо, чтобы этот платеж в банке получателя прошел как можно быстрее и без реального участия человека, дабы его нельзя было вовремя остановить. А вот дальше начинались совсем страшные вещи. После того как платеж на крупную сумму отправлялся от имени клиента на IP адрес клиента начиналась атака типа DDos. Чтобы клиенты не смог зайти в систему БДО и не смог отозвать отправленный злоумышленниками платеж. Но данный трюк не всегда удавался, клиенты или выходили в интернет из другого места или звонили в банк и узнавали состояние своих платежей. Атака начала давать осечки. Тогда хакеры обнаглели в конец и после отправки платежа стали атаковать IP адрес сервера банка. Что оказалось намного эффективнее. И хотя банк уже понимал, что на него совершается атака и усиливал бдительность работы операционистов, отловить в огромном количестве платежек одну подложную было весьма трудно. Представьте, нужно обзвонить всех клиентов и уточнить, посылали ли они платеж или это сделали хакеры. Да еще выяснить это деликатным способом, не пугая клиентов. На этом этапе противостояния умов, банки начали фильтровать подозрительные платежи в адрес физиков и ИП, задерживая их проведение до телефонного подтверждения от клиента. Это очень тормозило работу банка(. Почему хакеры отправляли деньги именно ИП и физикам? Потому, что ООО труднее зарегистрировать (для разовой операции) и даже, если деньги поступят на счет, обналичить их весьма проблематично, слава богу закон о "Противодействии легализации" худо-бедно работает. К сожалению, часто банки успевали обнаружить хакерский платеж уже после того, как он ушел в систему электронных платежей Банка России. В Санкт-Петербурге отозвать платеж из ЦБ с 98% вероятностью невозможно, т.к. платеж исполняется практически в режиме реального времени. В Москве более старая рейсовая система платежей, но и там хакеры применяли ход конем и отправляли платеж незадолго до момента ЦБшного клиринга, тем самым тоже не позволяя банку вернуть платеж из ЦБ. Также хакеры осуществляли платежи преимущественно после обеда, чтобы сократить оставшееся время для маневра банка. Порой бывали весьма жестокие ситуации( Один раз мы бились за такой платеж после 16 часов дня. Из ЦБ отозвать его не удалось, платеж улетел на карту физика .... Банка (одного из первой десятки). Стали звонить туда, объяснять ситуацию, там по десять раз переключали с одного начальника на другого, наконец попросили написать письмо с отзывом и отправить по факсу. Пока мы составляли письмо в 17.00 рабочий день у начальника этого банка кончился и он ушел домой. На следующий день в 8.00 звоним в тот банк, а платеж оказывается в 20.00 вечера был автоматически зачислен на пластиковую карту и в 22.00 его уже обналичили в каком-то банкомате... Современные скорости порой потрясают.
Первая волна взломов заставила производителей банк-клиентов отказаться от хранения ключа ЭЦП в файле. Разработчики оперативно начали внедрять электронные криптопровайдеры (токены). Это устройства внешне похожие на флешки, в которых установлена микросхема шифрования и флеш память для хранения ключа. Т.е. те функции, которые раньше выполняла сторонняя крипто библиотека переместились внутрь микросхемы. Производитель больше всего боялся, что ключ можно будет скопировать из флеш памяти устройства и поэтому сделал все возможное, чтобы исключить эту угрозу. Устройство сертифицировали в ФСБ(ФАПСИ) и стали раздавать клиентам. Теперь работа клиент-банка была устроена следующим образом:
Клиент генерирует ключ, он сохраняется внутри флеш памяти токена. (Прочитать его оттуда невозможно физически, только удалить). Когда необходимо зашифровать/поставить ЭЦП под электронным документом, документ из аплета передается в драйвер токена, потом в токен, там шифруется микросхемой и возвращается обратно в аплет. Вроде все красиво. Хакеры на какое-то время отступили... и стали работать по нерасторопным банкам, не успевшим перейти на новую систему шифрования.
Однако, уже тогда я понял, что все, что делает человек, может делать и программа. что мешает программе-вирусу точно также (после перехвата пароля с клавиатуры) обратится к драйверу и зашифровать подложную платежку в токене? НИЧЕГО! Т.е. у банков есть лишь некая фора во времени, пока хакеры будут обновлять ПО вируса. Да они не смогут больше удаленно входить в систему ДБО от имени клиента, но вирус на компьютере пользователя может все сделать сам. Для хакеров это будет даже еще безопаснее! Время шло... и вот в начале 2011 года чудо шпионкой мысли проявило себя. Как и предполагалось, вирус делал подложный платеж прямо с машины пользователя, используя вывоз драйвера Токена! Но к этому моменту банки уже поняли, что необходима система дополнительного подтверждения электронных платежей вне компьютера пользователя. Повсеместно были внедрены: СМС подтверждение одноразовым паролем, брелки с генерацией одноразового пароля, чеки от банкоматов с одноразовым паролем. Теперь даже, если на компьютере клиента присутствует вирус, он не может отправить подложный платеж без его подтверждения одноразовым паролем. Но одноразовый пароль никогда не поступал в компьютер клиента, так что вирус не может его прочитать. Ему остается только нервно заметать следы своего присутствия. На какое-то время банки снова одержали победу. Хакеры же сосредоточились на нерасторопных банках, не пожелавших тратить деньги на совершенствование информационных систем.
От себя хочу добавить, что самым уязвимым местом системы клиент-банк, как ни странно, является пользователь (ну и как следствие клавиатура). Конечно в идеале, ввод пароля нужно сделать не с клавиатуры, а напрямую с токена. Но если делать токен с клавиатурой, это сильно увеличит его стоимость. Можно конечно было бы придумать токен с дополнительным портом USB для подключения к нему компьютерной клавиатуры. Но все это потребует дополнительного экранчика на токене и как следствие рост его стоимости не менее, чем на 1000р. А наши люди пока не научились платить за свою безопасность!
Не ходите в интернет с компьютеров с установленными системами Клиент-Банк, пользуйтесь антивирусами и НИКОГДА не запускайте Internet Explorer (из-за его большой дружбы с ActiveX компонентами и хронической уязвимости)! А так же никогда не нажимайте на банеры с голыми тетками и не ходите на халявные сайты софта/ххх/ху/yy и прочих нетрадиционных развлечений. Запомните: Халява ведет к вирусам! Если очень уж хочется, купите лучше ДВД с фильмом.
С уважением, NeyroBlog!
22.11.11, Вт, 18:50, Мск
Компания ESET, международный разработчик антивирусного ПО и решений в области компьютерной безопасности, сообщила о том, что специалисты российского Центра вирусных исследований и аналитики обнаружили новую модификацию троянской программы Carberp, которая нацелена на популярные системы дистанционного банковского обслуживания (ДБО).
На сегодняшний день, Россия - абсолютный лидер по количеству инцидентов в области информационной безопасности с использованием банковского трояна Carberp - 72% от общего количества инцидентов в различных странах. Пострадавшими от данного вредоносного ПО стали клиенты практически всех крупнейших российских банков - не только коммерческие компании, но и государственные структуры. При этом доходы киберпреступной группы Carberp исчисляются миллионами долларов еженедельно.
«Разработчики Carberp постоянно совершенствуют свою троянскую программу, щедро инвестируя финансовые средства в ее развитие, - сказал Александр Матросов, директор Центра вирусных исследований и аналитики ESET. - Эволюция этого вредоносного ПО за два года сделала его номером один по количеству инцидентов, связанных с ДБО».
В новой версии трояна Carberp присутствует буткит-функционал, благодаря чему угроза может обходить защитные системы, внедренные в ИТ-инфраструктуре компании, и загружать в систему вредоносный функционал. Стоимость подобного дополнения к троянской программе на «черном» рынке составляет несколько десятков тысяч долларов, что в разы больше, чем цены на другие известные троянские программы - SpyEye и Zeus. Carberp также эксплуатирует 4 уязвимости в операционных системах Microsoft Windows для повышения привилегий пользователя, что позволяет ему красть финансовые средства даже с тех компьютеров корпоративной сети, где есть доступ к ДБО, но нет прав администратора. Кроме того, Carberp имеет функционал, позволяющий объединять зараженные ПК в ботсеть. На данный момент она насчитывает сотни тысяч компьютеров.
«Несмотря на то, что сейчас основной целью Carberp являются клиенты российских банков, ситуация может быстро измениться, так как технологических препятствий для атак на банки в других странах у этой киберкриминальной группы нет, - отметил Александр Матросов. - И скорее всего злоумышленники в ближайшем будущем начнут искать партнеров по атакам в других регионах».
По данным компании Group IB, рост инцидентов в области информационной безопасности, связанных с мошенничеством в системах ДБО, только за последний год составляет более 200%, и в ближайшее время этот показатель будет увеличиваться. При этом основная цель злоумышленников - финансовые счета юридических лиц, поскольку они приносят огромные доходы киберпреступникам.
http://www.cnews.ru/news/line/index.shtml?2011/11/22/465450
---------------------------
Поймать реальных хакеров гораздо сложнее, чем идиота, писавшего в интернете угрозы в адрес президента РФ (http://news.rambler.ru/11868925/). Что еще раз доказывает убогость и некомпетентность наших силовиков.
А теперь немного о взломах глазами банков.
Сейчас самыми распространенными системами ДБО от сторонних производителей (те, что написаны не банковскими программистами) являются Система ДБО Клиент-Банк от компании BSS и I-Bank2 от компании Bifit. Я работал как с той, так и с другой системой у каждой есть свои преимущества и недостатки. В первом случае клиентская часть написана в виде ActiveX объекта и запускается только в браузере Internet Explorer на ОС Windows, вторая в виде Java-аплета и запускается на любых ОС. Пока рассмотрим проишествия с второй системой.
Первые случаи взлома системы вирусом были зафиксированы где-то в 2009 году. Но т.к. банки у нас не очень любят правоохранительные органы (в том числе из-за слива информации в прессу), расследования инцидентов в подавляющем большинстве случаев не доходили до МВД, а ограничивались лишь собственной службой безопасности банка и производителем системы ДБО. Не стоит думать, что служба безопасности банков это что-то вроде агентов Смитов - в подавляющем большинстве это отставники МВД или ФСБ работающие в банках не из-за высокого профессионализма, а из-за обширных связей в силовых структурах. Содержать же отдельное управление информационной безопасности могут лишь единицы самых крупных банков, т.к. такие специалисты стоят больших денег, даже если их услуги будут востребованы раз в месяц. И так ситуация выглядит примерно следующим образом: Есть хакеры, есть вирус, есть клиенты у которых порой даже нет штатного системного администратора и есть банки, которые ничего не могут сделать с вирусом.
Так вот, еще раз перенесемся в 2009 год, система ДБО I-Bank2. На тот момент система работала следующим образом: клиентская часть выполнена в виде java-аплета загружается на компьютер клиента. (Тут стоит заметить, что помимо своих преимуществ java-аплеты имеют и один большой недостаток - они достаточно легко поддаются реверс-инженирингу, т.е. восстановлению исходного текста программы из от транслированного объектного файла аплета. Впрочем, это не должно быть препятствием для создания клиентской части систем ДБО. Ведь основная логика обработки запросов системы клиент-банк находится на стороне сервера и даже, если злоумышленники узнают внутренний код клиентской части, это не должно нарушить работу сервера). Клиентский аплет I-Bank2 использовал систему шифрования/постановки ЭЦП в отдельной библиотеке, выполненной вне аплета. Она устанавливалась отдельно в системный каталог виндовс и обрабатывала вызовы аплета к крипто функциям. Криптографическая библиотека была сертифицирована ФСБ (Фапси) и гарантировала, что никто не сможет подобрать пароль для имитации оригинальной ЭЦП клиента. Как оказалось, этого и не потребовалось. Хакеры поступили проще. Файл с ключом ЭЦП, который генерировал себе пользователь системы, хранился или на флешке или даже на жестком диске компьютера пользователя. Т.к. интернет круто вошел в нашу жизнь не только дома, но и на работе, многие клиенты (бухгалтеры) пользовались рабочим компьютером для доступа в интернет, где и получали себе вирус. Первые модификации вируса выполняли простейшие действия:
1. Ставили в систему программку перехвата нажатия клавиш с клавиатуры (так называемых кей-логгер). Цель - записать момент ввода пароля с клавиатуры.
2. Искали на компьютере файлы конфигурации аплета, узнавали там путь до диска и каталога, где хранился ключ с ЭЦП клиента и копировали этот файл, отсылая его на сервер злоумышленников.
3. Как только хакеры получали пароль и файл с ключом ЭЦП они заходили в систему от имени пользователя и делали платеж со счета организации на счет индивидуального предпринимателя или физ. лица в другой банк. Тут стоит отметить, что платеж выполнялся как можно незаметнее для банка: Доступ в систему осуществлялся с публичных Wifi точек города Москвы (как мы выяснили часто это был Мак Дональдс и прочие кафешки), он аккуратно без ошибок заполнялся, в назначении платежа указывалось тоже, что и в предыдущих платежках клиента с небольшими изменениями, дабы не вызывать подозрение у операционистов банка. Банк получателя тоже выбирался хитрым образом: Нужен был банк, у которого была бы разветвленная сеть банкоматов и большое количество платежей, чтобы при обналичивании средств не появляться в отделении банка, а снимать все через пластиковую карту в банкомате. Так же было необходимо, чтобы этот платеж в банке получателя прошел как можно быстрее и без реального участия человека, дабы его нельзя было вовремя остановить. А вот дальше начинались совсем страшные вещи. После того как платеж на крупную сумму отправлялся от имени клиента на IP адрес клиента начиналась атака типа DDos. Чтобы клиенты не смог зайти в систему БДО и не смог отозвать отправленный злоумышленниками платеж. Но данный трюк не всегда удавался, клиенты или выходили в интернет из другого места или звонили в банк и узнавали состояние своих платежей. Атака начала давать осечки. Тогда хакеры обнаглели в конец и после отправки платежа стали атаковать IP адрес сервера банка. Что оказалось намного эффективнее. И хотя банк уже понимал, что на него совершается атака и усиливал бдительность работы операционистов, отловить в огромном количестве платежек одну подложную было весьма трудно. Представьте, нужно обзвонить всех клиентов и уточнить, посылали ли они платеж или это сделали хакеры. Да еще выяснить это деликатным способом, не пугая клиентов. На этом этапе противостояния умов, банки начали фильтровать подозрительные платежи в адрес физиков и ИП, задерживая их проведение до телефонного подтверждения от клиента. Это очень тормозило работу банка(. Почему хакеры отправляли деньги именно ИП и физикам? Потому, что ООО труднее зарегистрировать (для разовой операции) и даже, если деньги поступят на счет, обналичить их весьма проблематично, слава богу закон о "Противодействии легализации" худо-бедно работает. К сожалению, часто банки успевали обнаружить хакерский платеж уже после того, как он ушел в систему электронных платежей Банка России. В Санкт-Петербурге отозвать платеж из ЦБ с 98% вероятностью невозможно, т.к. платеж исполняется практически в режиме реального времени. В Москве более старая рейсовая система платежей, но и там хакеры применяли ход конем и отправляли платеж незадолго до момента ЦБшного клиринга, тем самым тоже не позволяя банку вернуть платеж из ЦБ. Также хакеры осуществляли платежи преимущественно после обеда, чтобы сократить оставшееся время для маневра банка. Порой бывали весьма жестокие ситуации( Один раз мы бились за такой платеж после 16 часов дня. Из ЦБ отозвать его не удалось, платеж улетел на карту физика .... Банка (одного из первой десятки). Стали звонить туда, объяснять ситуацию, там по десять раз переключали с одного начальника на другого, наконец попросили написать письмо с отзывом и отправить по факсу. Пока мы составляли письмо в 17.00 рабочий день у начальника этого банка кончился и он ушел домой. На следующий день в 8.00 звоним в тот банк, а платеж оказывается в 20.00 вечера был автоматически зачислен на пластиковую карту и в 22.00 его уже обналичили в каком-то банкомате... Современные скорости порой потрясают.
Первая волна взломов заставила производителей банк-клиентов отказаться от хранения ключа ЭЦП в файле. Разработчики оперативно начали внедрять электронные криптопровайдеры (токены). Это устройства внешне похожие на флешки, в которых установлена микросхема шифрования и флеш память для хранения ключа. Т.е. те функции, которые раньше выполняла сторонняя крипто библиотека переместились внутрь микросхемы. Производитель больше всего боялся, что ключ можно будет скопировать из флеш памяти устройства и поэтому сделал все возможное, чтобы исключить эту угрозу. Устройство сертифицировали в ФСБ(ФАПСИ) и стали раздавать клиентам. Теперь работа клиент-банка была устроена следующим образом:
Клиент генерирует ключ, он сохраняется внутри флеш памяти токена. (Прочитать его оттуда невозможно физически, только удалить). Когда необходимо зашифровать/поставить ЭЦП под электронным документом, документ из аплета передается в драйвер токена, потом в токен, там шифруется микросхемой и возвращается обратно в аплет. Вроде все красиво. Хакеры на какое-то время отступили... и стали работать по нерасторопным банкам, не успевшим перейти на новую систему шифрования.
Однако, уже тогда я понял, что все, что делает человек, может делать и программа. что мешает программе-вирусу точно также (после перехвата пароля с клавиатуры) обратится к драйверу и зашифровать подложную платежку в токене? НИЧЕГО! Т.е. у банков есть лишь некая фора во времени, пока хакеры будут обновлять ПО вируса. Да они не смогут больше удаленно входить в систему ДБО от имени клиента, но вирус на компьютере пользователя может все сделать сам. Для хакеров это будет даже еще безопаснее! Время шло... и вот в начале 2011 года чудо шпионкой мысли проявило себя. Как и предполагалось, вирус делал подложный платеж прямо с машины пользователя, используя вывоз драйвера Токена! Но к этому моменту банки уже поняли, что необходима система дополнительного подтверждения электронных платежей вне компьютера пользователя. Повсеместно были внедрены: СМС подтверждение одноразовым паролем, брелки с генерацией одноразового пароля, чеки от банкоматов с одноразовым паролем. Теперь даже, если на компьютере клиента присутствует вирус, он не может отправить подложный платеж без его подтверждения одноразовым паролем. Но одноразовый пароль никогда не поступал в компьютер клиента, так что вирус не может его прочитать. Ему остается только нервно заметать следы своего присутствия. На какое-то время банки снова одержали победу. Хакеры же сосредоточились на нерасторопных банках, не пожелавших тратить деньги на совершенствование информационных систем.
От себя хочу добавить, что самым уязвимым местом системы клиент-банк, как ни странно, является пользователь (ну и как следствие клавиатура). Конечно в идеале, ввод пароля нужно сделать не с клавиатуры, а напрямую с токена. Но если делать токен с клавиатурой, это сильно увеличит его стоимость. Можно конечно было бы придумать токен с дополнительным портом USB для подключения к нему компьютерной клавиатуры. Но все это потребует дополнительного экранчика на токене и как следствие рост его стоимости не менее, чем на 1000р. А наши люди пока не научились платить за свою безопасность!
Не ходите в интернет с компьютеров с установленными системами Клиент-Банк, пользуйтесь антивирусами и НИКОГДА не запускайте Internet Explorer (из-за его большой дружбы с ActiveX компонентами и хронической уязвимости)! А так же никогда не нажимайте на банеры с голыми тетками и не ходите на халявные сайты софта/ххх/ху/yy и прочих нетрадиционных развлечений. Запомните: Халява ведет к вирусам! Если очень уж хочется, купите лучше ДВД с фильмом.
С уважением, NeyroBlog!