Телефон: 8-800-350-22-65
WhatsApp: 8-800-350-22-65
Telegram: sibac
Прием заявок круглосуточно
График работы офиса: с 9.00 до 18.00 Нск (5.00 - 14.00 Мск)

Статья опубликована в рамках: LXXI Международной научно-практической конференции «Научное сообщество студентов: МЕЖДИСЦИПЛИНАРНЫЕ ИССЛЕДОВАНИЯ» (Россия, г. Новосибирск, 17 июня 2019 г.)

Наука: Информационные технологии

Скачать книгу(-и): Сборник статей конференции

Библиографическое описание:
Калинина Е.А. ПРОБЛЕМЫ БЕЗОПАСНОСТИ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ И МЕТОДЫ ИХ РЕШЕНИЯ // Научное сообщество студентов: МЕЖДИСЦИПЛИНАРНЫЕ ИССЛЕДОВАНИЯ: сб. ст. по мат. LXXI междунар. студ. науч.-практ. конф. № 12(71). URL: https://sibac.info/archive/meghdis/12(71).pdf (дата обращения: 29.03.2024)
Проголосовать за статью
Конференция завершена
Эта статья набрала 0 голосов
Дипломы участников
У данной статьи нет
дипломов

ПРОБЛЕМЫ БЕЗОПАСНОСТИ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ И МЕТОДЫ ИХ РЕШЕНИЯ

Калинина Евгения Александровна

студент кафедры Информационных систем Сибирского государственного университета водного транспорта,

РФ, г. Новосибирск

Моторин Сергей Викторович

научный руководитель,

проф., зав. кафедрой Информационных систем Сибирского государственного университета водного транспорта,

РФ, г. Новосибирск

Современный мир невозможно представить себе без дистанционного банковского обслуживания (ДБО). С развитием интернета и информационных технологий стало возможным управлять своими деньгами, не выходя из дома. Банки, чтобы завлечь как можно больше людей, соревнуются, создавая всё более современные и совершенные системы ДБО. Но при этом мошенники тоже не спят и в ответ создают всё более совершенные способы забрать чужие деньги. Происходит постоянное движение: одни проблемы безопасности ДБО решаются, новые появляются. Количество угроз только растет и появляются новые виды атак, связанные с web-банкингом, вредоносным ПО для мобильных телефонов.

В данной работе я рассмотрю проблемы безопасности современных систем дистанционного банковского обслуживания в целом, рассмотрю методики тестирования системы на уязвимости, а также проанализирую одну из систем ДБО. Также я проанализирую возможные способы защиты от найденных уязвимостей и предложу решения для защиты от уязвимостей.

с ростом популярности систем ДБО для клиентов банков они стали популярны и для различных мошенников, использующих уязвимости в этих системах в своих целях.

Для этих целей применяются различные схемы атак. Сейчас, чтобы защититься от таких атак, банкам необходимо принимать комплекс мер, в котором для каждой уязвимости свое решение, при этом такие комплексы стоят недешево и не дают стопроцентную гарантию защиты. Поэтому не все банки могут себе позволить защиту от всех известных уязвимостей, и им приходится выбирать лишь часть уязвимостей, от которых нужна защита. Кроме того, защита должна реализовываться как на стороне банков, так и на стороне клиентов. И если на своей стороне банки еще в состоянии реализовать защиту, то на стороне клиентов они могут только посоветовать использование тех или иных механизмов безопасности.

Стандартный набор средств защиты – предупреждение на сайте о необходимости проверять наличие https-соединения, логин-парольная аутентификация и одноразовые пароли, пересылаемые по sms. При этом логин вводится с обычной клавиатуры, что делает его уязвимым для программ-кейлоггеров, пароль – с помощью экранной, хотя перехват позиций курсора также не составляет проблемы. Что же касается sms-уведомлений, здесь также есть возможность перехвата пароля.

Большое количество банков переходит на технологии двухфакторной аутентификации с хранением ключевой информации в не извлекаемом виде на eToken или в смарт-карте. Если рассмотреть статистику, можно увидеть, что 70% атак на клиентскую часть ДБО происходит при хранении ключей на незащищенных носителях [2].

С точки зрения возможностей защиты клиентские места ДБО можно разделить на два вида в зависимости от специфики их применения. Первый – это защита традиционного Клиент-банка, который обычно используется при работе с юридическими лицами. В этом случае необходимо устанавливать на рабочее место пользователя соответствующий пакет программного обеспечения [2].

Второй – это защита интернет-банка. В данном случае в качестве рабочего места пользователя выступает «тонкий» клиент, подразумевающий отсутствие какого-либо специализированного ПО на стороне клиента банка. Этот вариант используется прежде всего при работе с физическими лицами, но становится всё более популярным из-за отсутствия необходимости устанавливать дополнительные программные и аппаратные средства, а также своей мобильности [2].

Основные существующие уязвимости дистанционного банковского обслуживания, как они работают, к чему приводят и возможные методы защиты от них представлены в таблице 1.

Таблица 1.

Существующие уязвимости ДБО

Уязвимости

Что это и как работает

К чему может привести

Возможные алгоритмы защиты

Вредоносное ПО (трояны, клиенты бот-сетей и т.д.)

Поддельные приложения, внешние вредоносные программы, которые находясь на устройстве, получают доступ к программе ДБО

Хищение определенной информации клиента, выполнение несанкционированных операций

Использование антивирусного ПО

Фишинг

Проведение массовых рассылок электронных писем. В письме содержится ссылка на поддельный сайт либо на сайт с редиректом. На сайте пользователю необходимо ввести логин/пароль.

Получение мошенником логина и пароля клиента

Встроенные в браузеры механизмы информирования пользователей об опасном сайте. Фильтры в почтовых системах. А также работа с пользователями, их информирование об опасностях.

Использование атак типа Man-in-the-Middle для проведения подложных транзакций

злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что они непосредственно общаются друг с другом. Является методом компрометации канала связи, при котором взломщик, подключившись к каналу между контрагентами, осуществляет вмешательство в протокол передачи, удаляя или искажая информацию.

Хищение личной информации клиента, проведение несанкционированных операций

Не использовать публичные сети для работы с интернет-банком. Использовать плагины для браузера, такие как HTTPSEverywhere или ForceTLS, которые устанавливают защищенное соединение всякий раз, когда такая опция доступна.

Уязвимости, известные в сфере безопасности веб-приложений

Выполнение javascript-кода в различных местах приложения, логирование данных доступа (логина/пароля)

Хищение личной информации клиента

Использование протокола SSL, Многофакторная аутентификация при доступе, Аутентификация отдельных транзакций, SMS- аутентификация

«атака подмены документа»

злоумышленник с помощью вредоносного программного обеспечения подменяет реквизиты платежного поручения перед его отправкой банку. Причем для пользователя подмена реквизитов происходит совершенно незаметно, а потому он, ни о чем не подозревая, подписывает поддельный документ с помощью своей ЭЦП, вводит одноразовый пароль и отправляет поручение в банк.

Хищение денежных средств клиента банка

Методом противодействия таким атакам является использование средств визуализации подписываемых данных, которые сейчас активно внедряются разработчиками систем ДБО. Действенным средством борьбы с новым типом атак подтверждение через мобильный телефон.

Android атаки (на мобильное приложение)

Обычно это вирусы, трояны, которые могут получать доступ к другим приложениям, SMS-оповещениям, различной информации на устройстве. Это одна из самых распространенных атак, так как мобильные телефоны клиентов– наименее защищенная часть ДБО.

социальная инженерия; переводы с карты на карту; переводы через онлайн-банкинг; перехват доступа к мобильному банкингу.

1) анализ устройства пользователя (зараженные устройства, идентификация устройств);

2) мониторинг действий пользователя на уровне сессии (аномалии в работе пользователя: навигация, время, география);

3) поведенческий анализ пользователя в конкретном канале (какие действия совершаются в канале? каким образом (поведение)?

 

Из таблицы 1 видно, что для большинства атак уже есть решение, и даже не одно. У банков есть выбор какие средства использовать для защиты, исходя из возможностей банка и сколько денег они могут на это потратить. Конечно, это примеры средств защиты, они также не дают гарантию зашиты от атак. В данной работе я рассмотриваю только уязвимости web-приложений, т.к. тестировать я буду систему Интернет-клиент.

Классификацией web-уязвимостей занимается компания OSWAP – международная некоммерческая организация, сосредоточенная на анализе и улучшении безопасности программного обеспечения. Эта компания создала список 10 самых опасных атак на web-приложения.

1. Cross-Site Request Forgery (Межсайтовая подделка запроса)

2. Information Leakage (Утечка информации)

3. Brute Force (Метод перебора)

4. SQL Injection (Внедрение SQL-кода)

5. OS Commanding (Внедрение команд ОС)

6. Path Traversal - имеют своей целью получение доступа к файлам и каталогам, которые расположены вне пределов, определенных конфигурацией (web root folder).

7. Insufficient Anti-Automation (Недостаточное противодействие автоматизации)

8. Cross-Site Scripting (Межсайтовый скриптинг)

9. Predictable Resource Location (Предсказуемое расположение ресурсов) -

10. Insufficient Transport Layer Protection [1].

Для проведения тестирования на проникновение существуют методики и рекомендации, в которых подробно расписано для чего нужно проводить тестирование, как и с помощью чего.

Мной была выбрана методология OWASP Testing Guide, т.к. она специально предназначена для веб-приложений и т.к. я рассматривала список самых опасных уязвимостей от компании OWASP.

В результате тестирования системы было выявлено несколько проблем.

1. Предсказуемость идентификаторов клиентов. В проверенной мной системе ДБО идентификатор клиента состоит только из цифр. Примеры идентификаторов: 1000001, 1000002.

2. Слабая парольная политика. В системе ДБО нет абсолютно никакой парольной политики. Удалось создать даже пароль «123»

6. One-time password (OTP). В данной системе есть возможность настроить подтверждение транзакций одноразовыми паролями, однако это дополнительная функция, не включенная по умолчанию. Кроме того, некоторые другие действия можно сделать без ввода одноразового пароля (отправить сообщение в техподдержку, изменить пароль, изменить или создать шаблон платежа, открыть новый счет).

7. Изменение шаблона платежа. В проверенной системе у злоумышленника есть возможность изменять данные шаблона, поэтому он без труда сможет заменить счет получателя, указав свой. Клиент может не заметить подмены и подтвердит выполнение транзакции.

 

Список литературы:

  1. Category:OWASP Top Ten Project [Электронный ресурс]. – Режим доступа: https://www.owasp.org/index.php/Category%3AOWASP_Top_Ten_Project, свободный;
  2. Защита ДБО: традиционные подходы [Электронный ресурс] – режим доступа: http://www.jetinfo.ru/stati/zaschita-dbo-traditsionnye-podkhody, свободный.
Проголосовать за статью
Конференция завершена
Эта статья набрала 0 голосов
Дипломы участников
У данной статьи нет
дипломов

Оставить комментарий

Форма обратной связи о взаимодействии с сайтом
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.