CC BY
78
А.А. Салкуцан, Р.Т. Ниязов
АНАЛИЗ СОВРЕМЕННЫХ УЯЗВИМОСТЕЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ФИНАНСОВЫХ ПРИЛОЖЕНИЙ РОССИЙСКИХ
БАНКОВ
A.A. Salcutan, R.T. Niyazov
Analysis оf Modern Vulnerabilities in Information Security of Financial
Applications of Russian Banks
Многие российские банки в Российской Федерации активно внедряют современные финансовые технологии для превосходства над конкурентами на рынке банковских услуг. Одним из приоритетных направлений развития сервиса банковских услуг является расширение спектра финансовых возможностей для управления финансовыми средствами через финансовые приложения попутно, предлагая другие финансовые продукты для своих клиентов. Однако ежегодно публикуемая статистика Центрального банка Российской Федерации, затрагивающая вопросы информационной безопасности в финансовом секторе России, показывает возрастающую тенденцию роста числа целенаправленных компьютерных атак с целью заражения вредоносным программным обеспечением финансовых приложений российских банков в совокупности с различными методами атак на клиентов российских банков. В результате целенаправленных воздействий со стороны мошеннических групп с одной стороны из-за низкой культуры информационной безопасности многие клиенты стали терять и теряют денежные средства, а с другой показывает, что банковские финансовые приложения имеет слабые механизмы информационной безопасности, тем самым подвергая банк не только финансовым, но и репутационным рискам.
С каждым годом большинство российских банков сталкиваются с одной стороны с ростом атак на финансовые приложения1, а с другой ужесточением требований со стороны Центрального банка России (ЦБ РФ) к финансовым приложениям, которые направлены на снижение уровня кибермошенничества по данному направлению2.
Действительно с сегодняшним развитием и уровнем финансовых технологии многие банки активно продвигают банковские продукты через данный канал, предлагая еще и целую экосистему, которая призвана помочь малому и среднему бизнесу, а также обычным физическим лицам банков в РФ.
Так согласно исследовательскому отчету Business Mobile Banking Rank 2020 консалтингового агенства Markswebb был исследован один из видов финансовых приложений, а именно лучшие мобильные приложения на базе
ОС Android для руководителей компании в РФ стали мобильные приложения, показанные в таблице 13.
Таблица 1
Рейтинг мобильных приложений для руководителей компании
Название банка Рейтинг
ДелоБанк 80,1
Альфа-Банк 70,5
Модуль Банк 65,1
Тинькофф Банк 62,3
Сбербанк 54,3
Точка 52,4
Промсвязьбанк 50
Банк Открытие 45,8
Райффайзенбанк 32,9
ВТБ 28,1
Однако согласно исследовательскому отчету приложений мобильного банкинга в России для физических лиц Банки.ру составлен рейтинг наиболее лучших мобильных приложении за 2019 г.4
Таблица 2
Рейтинг десяти лучших российских банковских приложений в 2019 г.
Название банка Сводный рейтинг
Сбербанк 89,8
Тинькофф 79,5
Рокетбанк 76,5
Альфа Банк 67,6
Райффайзенбанк 65,5
ВТБ 61,9
Восточный банк 54,9
Газпромбанк 54,1
Локо-Банк 52,9
Банк Открытие 49,7
Сводный рейтинг, составленный по результатам исследования. Итог равен среднему арифметическому 5 показателей: «Доля активных пользователей», «Продвижение», «ASO», «Рейтинг», «Usability». Все показатели были приведены к 100-балльной системе.
Все вышеперечисленные мобильные приложения, а также и другие финансовые приложения, которыми пользуются миллионы клиентов банков имеют большие проблемы с информационной безопасностью.
Это подтверждается ежегодными отчетами экспертов в области безопасности систем дистанционного банковского обслуживания (далее -ДБО), где отмечается следующая тенденция: разработчики мобильных
банковских приложений не уделяют должного внимания вопросам безопасности приложений, не следуют требованиям, предъявляемыми законодательством в области безопасности. Кроме этого, интерес к финансам имеют злоумышленники, которые всяческим способами будут получить доступ к мобильному банку.
Самый высокий уровень риска уязвимости находится в исходном коде мобильного банковского приложения. Также серьезными недостатками являются механизмы аутентификации и авторизации во многих системах ДБО. Данные недостатки позволяют злоумышленнику провести несанкционированную атаку и полностью получить контроль над системой, что приводит к финансовым и репутационным потерям.
В данной статье будут рассмотрены основные уязвимости и методы их предотвращения.
Эксперты компании Positive Technologies, составили отчет, в котором указаны следующие выводы5 (рис. 1).
47% 53%
Рис.1. Процентное соотношение доли всех уязвимостей в части клиентских приложений операционная систем Android и IOS
3% 40% 57%
Android
37% 63%
ios ^■
ОН ЮН 2 ОН ЗОН 404 5 ОН 60Н 70Н SOH ЗОН 1004 ВЫСОКИЙ рис« | Средний НиЭнн л
Рис.2. Показатели уровня риска
Рис.3. Среднее количество уязвимостей на одно приложение
Исходя из вышеперечисленных показателей можно сделать вывод о том, что IOS является безопаснее, чем Android. Это связано с тем, что IOS не имеет дефрагментацию мобильных устройств.
Для того, чтобы определить, как злоумышленник может воспользоваться уязвимостями в мобильном банковском приложении необходимо разработать модель нарушителя:
1. Злоумышленник, имеющий доступ к устройству, у которого при этом отсутствует отключена блокировка для того, чтобы получить доступ к данным.
2. Злоумышленник, который загрузил на устройство жертвы свое вредоносное программное обеспечение, используя официальные источники (магазины) приложений или иными способами.
3. Злоумышленник, не имеющий доступа к устройству, который будет осуществлять атаку «человек посередине».
Исходя из составленной модели нарушителя можно составить основные уязвимостей мобильных банковских приложений.
Недостаточная строгость парольной политики. Для доступа к мобильному банковскому приложению необходимо ввести паролей, либо преподнести палец к сканеру отпечатку пальца и получить. Владельцы зачастую используют в качестве пароля дату рождения или еще какую-то дату. Таким образом злоумышленник может подобрать пароль.
Уязвимости в исходном коде. Самый высокий риск кроется в самом исходном коде, так как разработчики не уделяют должного внимания требованиям безопасности при разработке мобильного приложения.
Web-угрозы. Мобильный код может быть доставлен посредством JavaScript, HTML5, Adobe Flask и другими приложениями, которые поддерживают интерпретируемые языки.
Загрузка «на лету». Угроза заключатся в автоматическом получении вредоносного кода и может являться результатом посещения пользователем зараженного web-сайта. Многие легальные сайты могут содержать вредоносный код, так как могли быть ранее инфицированы. Данная угроза
чрезвычайно опасна, поскольку пользователь (цель атаки) ранее не был уязвим до посещения такого сайта.
Угроза при использовании WI-FI. Со стороны злоумышленников могут быть осуществлены действия, направленные на перехват сигнала и, соответственно, WI-FI есть подвержена атаке, так называемой «человек посередине» (man-in-the-middle). Неконтролируемые WI-FI сети, то есть сети, не использующие никакого пароля для осуществления подключения, наиболее опасны. Злоумышленник, находясь в одной сети, с жертвой с помощью специальных средств может получить конфиденциальную информацию.
Количество вредоносного мобильного программного обеспечения растет, и злоумышленники совершенствуют методы для того, чтобы похитить данные или денежные средства с мобильного устройства. Подводя итоги вышенаписанному, можно сделать следующие рекомендации:
1. Использовать безопасное Wi-FI соединение, это снизит риск того, что злоумышленник сможет совершить атаку типа «man-in-the-middle».
2. Следить за своей электронной почтой и не открывайте письма с неизвестных Вам адресов, так как злоумышленники все еще используют вредоносное вложений или ссылки на зараженные сайты.
3. Установить на мобильное устройство средство антивирусной защиты и регулярно проверяйте свое мобильное устройство на наличие вредоносного программного обеспечения.
4. Ни в коем случае не устанавливать Root-права (права Суперпользователя), это увеличивает риск заражения, а также увеличит возможности злоумышленника.
5. Регулярно обновляйте программное обеспечение. Производители мобильных устройств выпускают обновления программного обеспечения (прошивок), устраняя найденные баги, уязвимости и добавляют некоторые функции и другие улучшения, повышая комфортность использования вами мобильного устройства.
6. Устанавливать приложения только с официальных источников, тем самым получать гарантию того, что мобильное приложение является легитимным и не содержит вредоносного программного обеспечения.
На основании вышеперечисленного можно отметить, что в российских финансовых приложениях постоянно выявляются уязвимости, которые в последствии могут эксплуатироваться злоумышленниками.
Однако для их эксплуатации применяются различные методы доставки финансового вредоносного программного обеспечения. Одним из наиболее популярных направлений среди методов доставки является социальная инженерия6.
Внимание злоумышленников данное направление стало привлекать тем, что многие клиенты банков охотно выполняют просьбы псевдосотрудников банков на основе украденных баз данных российских банков,
которые используют различные виды мошенничества для кражи денежных средств со счетов7.
Среди них можно выделить следующие популярные виды мобильного мошенничества, которые прямо или косвенно влияют на финансовые приложения, а именно8:
сообщения о заражении мобильного телефона вредоносной программой;
БМБ-фишинг («смишинг»);
мошенничество с помощью телефонных звонков («вишинг»);
сбрасывающиеся звонки.
Все вышеперечисленные виды мошенничества основаны на приеме социальной инженерии, которые в классическом понимании ориентированы на обман клиента для единовременной операции с целью перевода денежных средств жертв на счета злоумышленников с последующим снятием за рубежом, а также к неправомерному доступ к финансовым приложениям.
Всего, по данным исследования Тинькофф Банка, в 2019 г. доля социальной инженерии составила около 70 % от всех случаев мошенничества, которые приводили к реальным хищениям средств граждан со счетов банка9.
Рост числа социальной инженерии связан с пандемии короновируса по всему миру в результате чего многие клиентов российских банков получали различного рода спам и фишинг рассылок для оплаты различного рода товаров и услуг. Заходя на них для оплаты мобильное устройство жертвы заражалось ВПО.
Рис.4. Возраст клиентов банка, которые стали жертвами социальной
инженерии в 2019 г.
На сегодняшний день данное направление мошенничества развивается, и результатом данного развития все чаще становится использование спама и фишинга от официальных сайтов российских банков для незаметного проникновения в финансовое приложение клиентов для заражения вредоносным программным обеспечением, которое не обнаруживается антивирусными программами.
Так заражение онлайн банка проходит по классической схеме, когда клиент нажимает на полученное сообщение на почту от своего банка, с виду домен банка ничем не выдается себя за мошеннический домен, а лишь имитирует официальный домен банка добавлением одного или несколько символов или приставки «online», «cabinet», «vhod» и «login», которые могут не насторожить клиентов банка.
В результате заражения вредоносным программным обеспечением финансовых приложении со счетов клиентов без их согласия снимаются денежные средства10.
Санкт-Петербург
Центральный федеральный округ Уральский федеральный округ Приволжский федеральный округ Дальневосточный федеральный округ
Южный федерадмый округ Сенеро-]ападмый федеральный округ Сибирским федеральный округ Северо-Кикаэский Федеральный округ Севастополь
0 10 Я» 20 000 50 000 40 ООО 50000 60 ООО 70 000 ЭОООО 90 ООО 100 ООО Объеп, тыс. руА. Количества ед,
Рис.5. Количество и объем переводов денежных средств без согласия клиента
по месту совершения операции (без учета Московского региона)
Для обеспечения зашиты российских банков от фишинга ЦБ РФ в лице ФинЦЕРТ регулярно проводятся мероприятия по уведомлению регистраторов доменных имен о доменах, с которых рассылается и потом внедряется вредоносный код в финансовые приложения.
С начала года ЦБ РФ было выявлено около 119 тыс. фишинговых сайтов, которое маскировались под банки, страховые компании и платежные системы11.
В основном заражения происходят двумя направлениями.
Первое направление происходит по классической схеме мошенничества.
На первом шаге создается мошеннический сайт похожий на настоящий банковский сайт, на который заходит клиент, например, по ссылке из электронной почты. На втором шаге клиента просят вести персональные данные. На третьем шаге мошенник звонит клиенту на телефон и представляется сотрудником банка, и просьбами или угрозами заставляет
продиктовать ему одноразовый пароль. И на четвертом - происходит повреждение операции одноразовым паролем.
Рис.6. Классическая схема фишинга
Стоит отметить, что путь на фишинговые сайты в основном проходит через открытие спам рассылок от фальшивых доменных имен российских банков.
Так по данным исследований компании Лаборатории Касперского12, доля очень маленьких спам-писем продолжает уменьшаться: во втором квартале она сократилась на 8,6 процентных пункта и составила 51,3 %. Доля писем размером от 5 до 10 Кбайт тоже немного снизилась (на 0,66 процентных пункта) по сравнению с прошлым кварталом и составила 4,9 %.
А вот доля спам-писем, размер которых находится в границах от 10 до 20 Кбайт, увеличилась на 4,73 процентных пункта и составила 11,09 %. Больших писем от 100 до 200 Кбайт стало меньше: их показатель в этом квартале составил 2,51 %, что на 1,99 процентных пункта меньше, чем в первом квартале.
Рис.7. Размеры спамовых писем, Q1 2020 — Q2 2020 гг.
Ситуацию пытается стабилизировать ФинЦЕРТ, который взаимодействует с Координационным центром доменов .ги/.рф, Фондом Развития Интернет и Центром взаимодействия компьютерных сетей «М$К-IX». Разделегирование доменов занимает от 3 часов до 3 дней.
Рис.8. Разделегированные домены в 2018-2019 гг.
Второе направление происходит через мобильные устройства клиентов
банка.
Рис.9.
Схема
фишинга через мобильные устройства
На первом шаге клиент заражается вредоносным программным обеспечением из сети интернет. На втором шаге пользователя при попытке открыть с мобильного устройства сайт банка вирус перенаправляют на специальный сайт-ловушку, который имитирует официальный сайт банка. На третьем шаге на поддельном сайте могут предложить ввести логин и пароль от личного кабинета, пройти социальный опрос, скачать антивирус или новое приложение от банка. И наконец, четвертый шаг характеризуется тем, что вирус самостоятельно получает и пересылает SMS-пароли от имени клиента для входа и подтверждения мошеннических операций в финансовых приложениях.
Рис.10. Изменения количества пользователей, атакованных банковскими вредоносными программами, 2016-2019 гг.
Статистика Лаборатории Касперский отображает, что злоумышленники совершенствуют свое вредоносное программное обеспечение новыми возможностями и вкладывают ресурсы для разработки новых способов распространения и приемов маскировки. Рост активности банковских троянцев, а также количество пользователей Android, которые столкнулись с банковскими вредоносными программами, резко сократилось до 675 000 (в 2018 г. их число составляло 1,8 млн).
Стоит отметить популярные типы вредоносного ПО для мобильных устройств, которое несравнимо по объему и сложности со своим «коллегой» для ПК, но профессионалы в области IT-безопасности наблюдают резкое увеличение количества вредоносного мобильного ПО, предназначенного для эксплуатации уязвимостей в смартфонах и планшетах [20]:
вредоносное банковское ПО;
мобильные программы-вымогатели;
мобильное шпионское ПО;
вредоносное ПО, передающееся через MMS;
мобильное рекламное ПО;
SMS-троянцы.
Среди наиболее опасных и нежелательных вредоносных программ на 2020 г. являются DangerousObject.Multi.Generic, Trojan.AndroidOS.Boogr.gsh, DangerousObjectAndroidOS.GenericML
Особо хотелось отметить мобильные троянцы-вымогатели, которые скрытно внедряются в систему мобильного устройства и которые очень тяжело удаются встроенными антивирусами.
Сред них можно выделить Trojan-Ransom.AndroidOS.Small.as, Trojan-Ransom.AndroidOS.Agent.bq, Trojan-Ransom.AndroidOS.Svpeng.aj.
На основании вышеизложенного можно сделать вывод, что в настоящее время во всех российских банках уже начали формироваться специализированные группы, в задачи которых входит разработка защищенных финансовых приложений со встроенными антивирусами собственной разработки.
Несомненно, российские банки обеспокоены активностью злоумышленников и инструментами, которые они используют, и для этого для клиентов разъясняются основные правила защиты от злоумышленников.
На сайтах многих российских банков есть отдельные страницы с роликами, в которых рассказываются и наглядно в картинках показываются моменты, на которые клиент должен обратить внимание, прежде чем вводить свои персональные данные.
На уровне ЦБ РФ проводятся активные мероприятия в направлении: развития нормативного правового регулирования в сфере противодействия мобильному мошенничеству;
борьбы с поддельными доменами российских банков;
борьбы с смс-рассылками и колл-центрами мошеннических структур;
повышения киберграмотности населения.
Вышеперечисленные меры борьбы с киберзлоумышленниками со стороны российских банков и регулятора финансового рынка должны сдержать волну атак на клиентов банков в условиях сложной экономической обстановки в РФ.
Примечания Endnotes
1 Хакеры открыли приложения. Газета Коммерсантъ [Электронный ресурс]. URL: https://www.kommersant.ru/doc/4366960
2 Кирина Ю.И., Кайтанджян Д.А. Роль новых финансовых технологий в развитии информационной политики Банка России в условиях цифровой
71
экономики // Финансовые рынки и банковская система в условиях цифровой экономики: проблемы и перспективы. 2018. С. 333-339.
3 Business Mobile Banking Rank. Markswebb [Электронный ресурс].
URL:
https://markswebb.ru/upload/iblock/255/2559c9b9ebc370b64a380c0af5135062.pdf
4 Исследование приложений мобильного банкинга 2019. Go Banking [Электронный ресурс]. URL: https://research.gomobile.ru/
5 Главные уязвимости онлайн-банков:авторизация,аутентификация и Android. Хакер [Электронный ресурс]. URL:
https://xakep.ru/2015/05/21/online-bank/ (дата обращения: 06.10.2020).
6 Ревенков П.В. Бердюгин А.А. Социальная инженерия как источник рисков в условиях дистанционного банковского обслуживания // Национальные интересы: приоритеты и безопасность. 2017. № 9. С. 17471760.
7 Андреева Е.А. Организационно-финансовые методы обеспечения экономической безопасности многофилиальных банков в российской экономике // Экономическая безопасность. 2018. Том 1. № 1. С. 71-75.
8 Мобильное мошенничество: что это и как себя защитить. Лаборатория Касперский [Электронный ресурс]. URL: https://www.kaspersky.ru/resource-center/threats/how-to-avoid-mobile-phone-scams
9 Исследование Тинькофф: как происходит мошенничество в российской банковской сфере. Тинькофф Банк [Электронный ресурс]. URL: https: //www.tinkoff.ru/invest/news/3 54808/
10 Отчет центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере департамента информационной безопасности банка России 1.09.2018 - 31.08.2019. ЦБ РФ [Электронный ресурс]. URL: http://www. cbr. ru/content/document/file/84354/fincert_report_20191010.pdf
11 Спам и фишинг во II квартале 2020 года. Лаборатория Касперский [Электронный ресурс]. URL: https://securelist.ru/spam-and-phishing-in-q2-2020/97655/
12 Мобильные угрозы: защита смартфонов и планшетов. Лаборатория Касперский [Электронный ресурс]. URL: https://www.kaspersky.ru/resource-center/threats/mobile
Авторы, аннотация, ключевые слова
Салкуцан Алексей Александрович - главный специалист АО «Национальный инновационный центр» (Москва) garoe89@mail.ru
Ниязов Равшан Тахирович - главный специалист АО «Национальный инновационный центр» (Москва) rniyazov@centin.ru
В статье проанализированы основные уязвимости информационной безопасности финансовых приложений, которые могут быть использованы мошенниками для нанесения финансового ущерба не только клиентам банков, но и банкам, где основным источником угрозы информационной безопасности являются группы финансовых мошенников, использующие методы социальной инженерии в совокупности со спамом и фишингом, благодаря чему происходит скрытная и успешная доставка вредоносного программного обеспечения для заражения всех видов финансовых приложений. В результате чего, теряя значительные денежные средства, многие клиенты подвергают сомнению безопасность использования современных финансовых технологий и дальнейшее сотрудничество не только с мелкими и средними, но и с крупными государственными банками, которые являются опорой всего российского банковского сектора.
Мобильные банковские приложения, цифровое мошенничество, методы защиты информации
References (Articles from Scientific Journals)
1. Andreyeva E.A. Organizatsionno-finansovyye metody obespecheniya ekonomicheskoy bezopasnosti mnogofilialnykh bankov v rossiyskoy ekonomike. Ekonomicheskaya bezopasnost, 2018, vol. 1, no. 1, pp. 71-75.
2. Revenkov P.V. Berdyugin A.A. Sotsialnaya inzheneriya kak istochnik riskov v usloviyakh distantsionnogo bankovskogo obsluzhivaniya. Natsionalnyye interesy: prioritety i bezopasnost, 2017, no. 9, pp. 1747-1760.
(Article from Proceedings and Collections of Research Papers)
3. Kirina Yu.I., Kaytandzhyan D.A. Rol novykh finansovykh tekhnologiy v razvitii informatsionnoy politiki Banka Rossii v usloviyakh tsifrovoy ekonomiki.
Finansovyye rynki i bankovskaya sistema v usloviyakh tsifrovoy ekonomiki: problemy i perspektivy, 2018, pp. 333-339.
Authors, Abstract, Key words
Alexey A. Salkutsan - Chief Specialist of JSC "National Innovation Center" (Moscow, Russia)
garoe89@mail.ru
Ravshan T. Niyazov - Chief Specialist of JSC "National Innovation Center" (Moscow, Russia)
rniyazov@centin.ru
The article analyzes the main information security vulnerabilities of financial applications that can be used by fraudsters to cause financial damage not only to Bank customers, but also to banks, where the main source of information security threats are groups of financial fraudsters using social engineering methods in conjunction with spam and phishing, which makes it possible to covertly and successfully deliver malicious software to infect all types of financial applications. As a result, losing significant funds, many clients question the safety of using modern financial technologies and further cooperation not only with small and medium-sized, but also with large state-owned banks, which are the backbone of the entire Russian banking sector.
Mobile banking applications, digital fraud, information security methods.
