「クライアントバンクへの攻撃...」。 銀行員からの眺め

私は、銀行側からのリモートバンキングサービス（以下、RBS）のプロセスに直接参加するという事実により、100万件のクライアントバンクまたはハントに対する攻撃の記事に非常に興味がありました。 記事は少し後に掲載されました。 、したがって、このトピックに関する多くの考えが蓄積されており、私は皆と共有したいと思います（そして、私も長い間登録したかったが、適切な瞬間がありませんでした）。 可能な限り、私は簡潔になり、科学用語で注ぎません。

クライアント銀行の種類

最初にハエをカツレツから分離しましょう。



リモート（だけでなく）バンキングサービス（以下-RBS）の2つの主要な領域-個人へのサービス（インターネットバンキング（以下-IB））と法人（インターネットクライアントバンク（以下-ICB）などのシステム）があります。 「 クライアントバンクへの攻撃または100万人の狩り」という記事は、法人へのサービスの問題を扱っています。 、最初の影響とそれに関するコメントの下で書かれた、個人用のRBSシステムに関連しています。



違いは何ですか？ 生産量と生産量で！ 銀行に支払いを送信する中規模企業の1日の売上高は、半年間の通常の個人の業務の合計にほぼ等しくなります。 ここから、あちこちで操作を実行するために完全に異なるシステムが必要になります。



情報セキュリティシステムの99％がJavaで構築されていると言っても間違いないと思います。 彼らは毎秒少数の操作を実行する必要があります...、すみません、一日。 2番目の要件は、将来、他の銀行商品のクライアントや潜在的なバイヤーに頭を吹き飛ばさないことです（まあ、誰が彼に頭に穴を空けたローンを与えるでしょう！？したがって、さまざまなサービス、簡単でシンプルなインターフェース、システムを使用しない取引のための既製の支払い方法クライアントに必要なのは、PCにインストールされたSSL、Java Script、およびJava REをサポートするブラウザーだけです。携帯電話、PINコードの入力、1回限りの泣き声などの追加の認証要素をセキュリティツールとして使用できます。 手書き署名（HSAコード）。



「Client-Bank」などのプログラムや、私たちの場合はインターネットであるClient-Bank （以下、IKB）には、数十個あると思います。 それらの一部はクライアントのPCにインストールされるソフトウェア、一部はWebクライアントであり、将来は後者です。前者は時代遅れです。それらの使用と保守は非常に不便で遅いためです（これはその場でソフトウェアをインストールすることに関するもので、設定など）。 1か月あたり約100〜200のクライアントを接続し、従業員が1人もいる場合（私の場合）、Webクライアントなしでは接続できません。



ICBシステムと情報セキュリティの主な違いは、暗号化システムの使用です（FSBによる認証が必要です！）。 これは、たとえば、CryptoProまたは無料のオープンIPRIVを支払いました。 私は他の人に会ったことはありません、私は嘘をつきません。

第二のニュアンス-さまざまな通貨、ファイル、銀行とのメッセージ交換、会計プログラムとの相互作用、ドキュメントおよびインターフェースのマルチレベル署名の可能性-金髪ではないいくつかのタイプの支払い取引。

銀行とハッキング、または盗難の基本

ご覧のとおり、RBSシステムの違いは基本的なものであるため、顧客アカウントへの不正アクセスの方法はシステムごとに異なります。 これらは、上記の記事で簡潔かつ明確に説明されています。著者の多くに感謝します。



アカウントへのアクセスを取得することは、戦いの半分です。 お金を得ることが攻撃者の目標です。 ハッカーやその他の「美しい」言葉と呼ばないでください。 ロシア語では、そのような人々のための単純な表記があります-泥棒と詐欺師。 見苦しいが、本当。



そのため、泥棒はクライアントのアカウントにアクセスできました。 個人のデータを盗む場合、クレジットカードのデータを使用してオンラインストアで購入（サービスの支払い）するか、別のカード（またはアカウント）に送金するかの2つの方法があります。 店で買うとき、口座からの資金はすぐに引き落とされません。 これらは、その後の受信者への転送用に予約されています 。 この状態では、最大30日間ハングアウトできます。支払いが発生せず、資金がリクエストされていない場合、リザーブからアカウントの利用可能な残高に戻されます（これらは常にアカウントにあります！） したがって、近視眼の仲間によって無視されるSMS通知は、ここで節約できます。 最初のステップは、銀行に電話してカードをブロックすることです。 最初のステップと並行して、トランザクションに対する不一致について銀行に声明を書かなければなりません。ほとんどの情報セキュリティシステムでは、サイトで直接これを行うことができます。 理解、法律遵守、責任ある従業員があなたの銀行で働いている場合（経営陣から始めます！）、取引はキャンセルされ、あなたはお金を返します。



別のアカウント（カード）に資金を移動する場合、すべてが悪いわけでもありません。 資金もすぐには消えません。 まず、支払いは営業従業員が監視する必要があります（プラスまたはマイナス15〜30分）。 その後、お金はロシア連邦中央銀行の現金決済センターに送られます。 その後、そこから受取人の銀行に到着します。ほとんどの場合、彼らはすでに彼らを待っており、ATMの近くに立ってすぐに出金します。 カードの所有者は、カードを紛失したことを宣言し、誰がそれを使用していないのかを知りません。 この場合、SMSメッセージングも保存できます。 1か月に50ルーブルを後悔しないでください。これらのSMSが届くと、いつか冷たい汗をかき、夕方には冷たいビールでリラックスできます。



資金を返す別の方法は、カードに保険をかけることです。 例えば、私の銀行の保険の費用は、年間300から500ルーブルです（返還額は最大3万ルーブル）。 インターネット経由や通常の店舗で取引を行う場合-これは頭痛を取り除く非常に簡単な方法です。 口座に資金を返還することに加えて、保険会社は、損失が発生した場合に文書の復元のために最大2000ルーブルを支払います。 銀行でこのサービスについて調べてください。 あなたは誰が気にするか知っています。



これが、個人向けシステムについての話の終わりです。 情報の盗難に対処する方法については特に検討していません。各銀行のウェブサイトに詳細が記載されているため、 ここの Sberbankの従業員もこれについて詳しく書いています。



わが国の銀行システムに関するいくつかのコメントを読んだ後、いくつかの問題を明確にしたいと思います。 幸いなことに、私たちの銀行はスイスの銀行ではありません（これも以前と同じではありません）。 ロシアの銀行システムは透明です。 誰もがすべてを知っており、誰もがすべて、どこから、どこから資金が来ているのかを見ています。 内政機関の要請に応じて、個人または組織の運営に関するすべての情報が提供されます。 RCCでの給与の破壊も誰もしません。 攻撃者は彼らの厄介な活動の痕跡を破壊する必要はありません。 盗難システムは簡単に機能します。 資金は、個人のカード口座に振り込まれます。カードの引き出しが「失われた」か、引き出されて返品されません。 彼の罪悪感が証明されたら、誰かにお金を返還させることができます。 人が無実であれば、天国のマナが法案に落ちたとき、彼は単に「幸運」だったと考えられています。 罪悪感を証明することは非常に困難です。 独自の結論を導き出します。 その理由-法人に関する問題について議論するときは、以下を少し読んでください。 いずれにせよ、銀行のクライアントが奇妙な状況にいることに気付いた場合-他の誰かのお金が彼にやってくると、銀行はそのようなクライアントと仕事をしたくないでしょう。 2回目は、攻撃者が自分自身でこの口座に送金しない場合、内務省に直面して、彼らはもはや「幸運な人」のようには見えません。 したがって、個人向けの情報セキュリティシステムでの資金の盗難は広範ではなく、多くのトラブルとわずかなお金です。 私の記憶では、クライアントが理由もなく突然4桁のPIN-1を要求したケースは1つしかありませんでした（情報セキュリティシステムでの認証には、16桁のPIN-2が使用されます）。

攻撃

そして今、私たちは羊、またはむしろ法人に目を向けます。 コンピューターはどのように感染しますか？ 探偵のジャンルのファンの大きな失望には、インサイダーは必要ありません。 コンピューターに座っているユーザーの90％がフェルトブーツと変わらないのに、なぜブーツを自分でキーを押すことができないのかを誰かと共有するのはなぜですか？ サードパーティのサイトへのリンク、レター、通常のウイルス対策およびファイアウォールの欠如、少なくともプロキシを構成するのが面倒な管理者の不注意、および場合によってはそのような従業員が州にいないため、汚い仕事をしています。 また、リャザン、サラトフ、またはモスクワに座っている人がロシア全土の多くの組織にインサイダーを持っていることを想像するのは困難です。



システムとクライアント、およびシステムに対する積極的な攻撃は2009年後半に始まりました。 この間、私たちの地域で記録された感染は10件以下でしたが、残念ながら3件は致命的でした-資金は取り返しのつかないほど失われ、2件-ハッピーエンドで-資金は支払い命令の誤りのために償却されなかったか、銀行に届きませんでした-ロシア連邦中央銀行のRCCから受取人と返還。 感染の残りのケースは初期段階で特定され、顧客にはコンピューターがココアであり、管理者が吸盤であるという「良い」ニュースが提示されました。

「彼らは銀行をどこで見ているのか！？ 彼らは私のお金がパイだとは思いませんか...！？

損害の総費用は90万ルーブル（100 + 300 + 2x500（1回の支払いを返すことができた））を超えませんでした。

ご覧のとおり、金額は天文学的なものではありません。 そのような支払いの90％を抱える組織にとって10万ルーブルとは何ですか。銀行は10倍と100倍の支払いを渡しますか？ 銀行はそのような金額を管理する義務さえありません！ 制御は、60万ルーブルを超える量で始まります。



したがって、そのような支払いが成功する確率は、第1条および6百万で言及されているものよりもはるかに高い。 一般的に、私はそのような金額に対する銀行支払いの管理と実行のプロセスを理解していません。 この場合、管理者は組織に連絡し、電話で送ったかどうかを電話で尋ねるだけでなく、資金の合法的な送金の事実を確認する文書の提供を要求する義務があります。 これらは、マネーロンダリングとマネーロンダリングとの闘いに関する法律の要件です。



私たちの場合、トロイの木馬は「マスター」にシステムに入るための秘密鍵とパスワードのみを送信しました。 攻撃者自身がシステムに登録し、アカウントの残高を確認し、十分な金額がある場合は支払い命令を記入し、アカウントに（自分ではなく！）送金しました。しかし、当然、目に見えないダミーに、しかし受け取り時にこのような素晴らしい贈り物、これらの資金は口座から引き落とされました。 ここで、多くの人が私に言うことができます。 すべてが明確です！ ここにいる-悪党と泥棒！ 彼らを捕まえましょう！」私は同志に冷静に答えます：「ロシア連邦の内政機関における熱直腸暗号解読は、証拠を取得する合法的な方法ではないため、使用することができず、銀行口座での操作中に市民の行動に犯罪の証拠はありませんでした。 」



つまり、原則として、誰が、誰が、どこに、誰に送金したか、誰もそれを隠しておらず、誰もがすべてを知っていますが、彼らは何もできません。 良心のみが市民に金額を返還するよう強制することができます。そうでなければ、この理由はなく、罪悪感は証明されていません。 質問して嘆願することで彼の関与を証明することは不可能であり、彼は愚か者ではありません:) IPアドレスで攻撃者を追跡することもできません-彼らは自宅の外で働き、マシン、すでにログインしているなど。 2年間、法廷に引きずられた人はいません。 したがって、ストーリーの3番目の部分に進みます...

dr死の救助...

銀行の99.99％で、RBSのクライアントには、このような状況を回避するための方法と対処方法に関する貴重な指示が与えられています...ご存知のように、顧客の99.99％は銀行の貴重な指示について気にしたかった

そして、対策は実際にはシンプルで非常に安価です。

1. 1つの職場から働きます。 インターネット、ショッピング、ソーシャルネットワーク上のガールフレンドに行くために職場を使用しないことをお勧めします。 理想的なオプション-デスクトップ上の1つのショートカット-これはクライアントバンクです。 :)それは高価ですか？ さらに10万。
2. 1つのIPアドレスから作業します。 クライアントバンクの設定で許可されている場合は、このIPをシステムにしっかりとバインドして、他のアドレスから入力できないようにします。 旅行が好きですか？ 次に、次の項目に進みます。
3. RutokenまたはeTokenのメールIDを必ず購入してください。 Rutoken EDSまたはeToken GOSTを購入することをお勧めします。 これは、抽出不可能な秘密鍵で電子デジタル署名を作成する個人的な手段です。 後続の操作ごとに、新しいデジタル署名が形成されます。 このようなキーを使用すると、情報を抽出できなくなります。 1つのキーのコストは約1000ルーブルです。
4. アンチウイルス、ファイアウォール、セキュリティ...一般的に、このジャンルの古典。 ただし、1〜3項に従わない場合は役に立ちません。

おわりに

ほとんどのお客様にチャンスを期待するのをやめて、お金が銀行にある場合は何も起こらないと仮定し、それが起こった場合、銀行はすべてを返すと思います。 銀行システムに関しては、銀行は契約の一部を完全に果たします。顧客が問題を迅速に解決し、安全を守り、インターネット社会での行動方法をアドバイスするための資金と方法を提供します。 残念ながら、多くのお客様は、キーの保存とディスクの清潔さの責任が銀行ではなく主にあることを知りません。 感染の兆候がハードドライブに存在すると、クライアントは自動的に有罪となり（実際にはそうですが）、法廷で苦労して稼いだお金に対するさらなる苦労は（彼になると）成功しません。 そして、ドアを大きく開けて仕事に出た場合、誰かを非難することは価値がありますか？