В компанию «БИФИТ» поступила информация о нескольких попытках хищений средств со счетов корпоративных клиентов, использующих USB-токены.
Во всех выявленных случаях злоумышленники пользовались халатностью клиентов, оставляющих USB-токены постоянно (круглосуточно) подключенными к компьютеру.
Поскольку использование USB-токенов исключает хищение секретных ключей ЭЦП клиентов, все выявленные попытки хищений средств осуществлялись только в моменты, когда USB-токен был подключен к клиентскому компьютеру.
Для этого злоумышленники использовали следующие механизмы:
* Программы для дистанционного управления компьютером клиента (Microsoft Remote Assistant, TeamViewer и др.).
Злоумышленник с помощью трояна запускал на компьютере клиента программу для дистанционного управления, подключался к данному компьютеру, загружал и запускал на нем Java-апплет Internet-Банкинга, от имени клиента создавал и подписывал платежные документы с использованием постоянно подключенного к компьютеру USB-токена.
* Новая разновидность трояна, который предоставляет удаленный доступ к USB-портам компьютера, а также осуществляет тунеллирование TCP-трафика с компьютера злоумышленника через компьютер клиента до банковского Сервера Приложения «iBank 2 UA».
При этом Java-апплет Internet-Банкинга загружается и исполняется на компьютере злоумышленника, а для входа в систему «iBank 2 UA» и формирования ЭЦП клиента под платежными документами используется удаленный доступ к USB-портам компьютера клиента с постоянно подключенным USB-токеном.
Выводы:
1. Ни в одном из случаев секретный ключ ЭЦП корпоративного клиента не был похищен из USB-токена . Во всех случаях злоумышленники подписывали документы, используя удаленный доступ к компьютеру корпоративного клиента или к «расшаренным» USB-портам компьютера клиента.
2. Во всех случаях злоумышленники воспользовались халатностью корпоративных клиентов — бесконтрольным постоянным подключением USB-токена к компьютеру.
3. Для осуществления хищения по описанному сценарию злоумышленнику необходимо:
* подключиться к банковскому Серверу Приложения «iBank 2 UA» и пройти аутентификацию с использованием секретного ключа ЭЦП клиента в USB-токене;
* сформировать платежные документы, подписать их с помощью секретного ключа ЭЦП клиента в USB-токене и отправить на банковский сервер.
То есть атака может быть осуществлена злоумышленником только в онлайновом режиме, в те моменты, когда USB-токен подключен к компьютеру клиента.
Для противодействия новой угрозе банкам рекомендуется:
1. Информировать клиентов о новой угрозе — о появлении новой разновидности трояна с поддержкой удаленного доступа к USB-портам компьютера и туннелированием трафика.
2. Информировать клиентов о недопустимости постоянного подключения к компьютеру USB-токенов и смарт-карт .
USB-токены и смарт-карты должны быть подключены к компьютеру только на время работы с системой «iBank 2 UA».
3. Информировать клиентов о необходимости строго соблюдать порядок работы в системе «iBank 2 UA», а именно:
* соблюдать регламент доступа к компьютеру, к USB-токенам и смарт-картам с секретными ключами ЭЦП;
* использовать системное и прикладное ПО, полученное из доверенных источников, а также регулярно обновлять указанное ПО;
* использовать и регулярно обновлять специализированное ПО для защиты информации — антивирусное ПО, средства защиты от несанкционированного доступа, персональные межсетевые экраны и пр.;
* соблюдать правила информационной безопасности при работе в Интернете — не посещать подозрительные сайты, не устанавливать программы из недоверенных источников, не открывать файлы от неизвестных отправителей и пр.;
* немедленно информировать банк о внештатных ситуациях и подозрениях на нарушение безопасности рабочего места (заражение компьютера трояном).
4. Использовать в банке системы Fraud-мониторинга электронных платежей.
5. Использовать SMS-информирование клиентов о входе в систему, о поступлении платежных поручений, о движении средств и т.д.
6. Использовать расширенную многофакторную аутентификацию клиентов в дополнение к USB-токенам и смарт-картам . Данный механизм для корпоративных клиентов будет встроен в систему «iBank 2 UA» в ближайшее время.
При использовании расширенной многофакторной аутентификации корпоративным клиентам для входа в Internet-Банкинг, Mobile-Банкинг, ЦФК-Онлайн и для синхронизации в PC-Банкинге требуется ввести одноразовый пароль. В качестве источника одноразового пароля может выступать OTP-токен и/или SMS-сообщение на мобильный телефон.
Таким образом, при использовании расширенной многофакторной аутентификации злоумышленник не сможет подключиться к банковскому Серверу Приложения «iBank 2 UA» от имени клиента, поскольку не имеет возможности получения одноразового пароля.
Технические подробности использования дополнительных механизмов защиты информации направляются службой техподдержки компании «БИФИТ» по запросам банков.
http://bifit.com.ua/company/news/vazhno4.html