USD 65.59 ЕВРО 75.18

Двойная система аутентификации в системах безопасности уже не достаточна — считают в Gartner

Экономика

Двойная система аутентификации в системах безопасности уже не достаточна - считают в Gartner

По результатам исследования аналитической компании Gartner, кибер-преступники становятся все более технически оснащенными и благодаря использованию троянских программ, успешно обходят защищенные паролями доступы, а также более совершенные методы аутентификации — такие как чип-карты, верификация биометрических параметров и так далее.

Как считают финансовые организации — одна из наиболее неуязвимых систем проверки клиента на подлинность — использование телефонной связи. Но и эту преграду стало несложно преодолеть, перенаправляя телефонные звонки .
Как правило, максимальные усилия взломщиков сосредоточены в области проникновения к банковским счетам. Например, в нынешнем году (7 августа) руководители проекта «Межрегиональная электоральная сеть поддержки» (МЭСП) заявили о пропаже со счета 5,3 миллионов рублей, которые переводились через «ВТБ 24». В результате представители МЭСП подали заявления о пропаже средств в милицию, прокуратуру и ОБЭП. Cредства исчезали со счета МЭСП в течение двух дней — 6 и 7 августа.

В Атланте предъявлены обвинения восьми хакерам из России и стран Восточной Европы. Министерство юстиции США обвиняет их в компьютерном взломе банкоматов в сотнях городов по всему миру, в результате чего за несколько часов было похищено 9 млн долларов. Газета The Wall Street Journal называет это преступление одним из самых дерзких и масштабных электронных ограблений в истории. А вот какой свод финансовых потерь за 2008 год приводит издание Cnews со ссылкой на Perimetrix.

Некоторые оценки потерь от утечек данных в финансовой сфере

 

Инцидент Экспертная оценка ущерба
26 марта 2008 года*. Транспортная компания Archive Systems потеряла во время транспортировки резервную ленту банка New York Mellon. Носитель содержал персональные сведения 4,5 млн человек. 100 млн долл.
8 мая 2008 года. Из офиса в Гонконге одного из крупнейших банков, HSBC, был украден сервер (по другой версии сервер был потерян) с персональными данными 160 тыс. клиентов. На нем содержались сведения об именах и номерах счетов клиентов, а также другая приватная информация. 4 млн долл.
6 мая 2008 года. В Тюменский областной суд направлено уголовное дело группировки мошенников, специализировавшихся на хищении денежных средств по кредитным картам банка «Русский стандарт». По данным прокуратуры, для совершения хищений мошенники внедряли своих людей как в филиалы банка, так и в подразделения почтовой связи в Тюмени, Омске и Кургане. За восемь месяцев жертвами мошенников стало более 450 человек 1 млн долл.
12 декабря 2006 года. Сразу 10 российских банков допустили утечки. Среди них «Русский стандарт», «ХКФ-банк», «Росбанк», «Финансбанк», «Импэксбанк» и др. Так, любой желающий мог всего за 2 тыс. рублей приобрести базу «Отказы по кредитам и стоп-листы банков России» с 3 млн записей о просрочках и неплатежах по кредитам, а также отказах в их выдаче. В базе содержалась информация об имени заемщика, телефоне, домашнем адресе, месте работы и причине попадания в базу — просрочка по кредиту, отказ в выдаче кредита и другие компрометирующие обстоятельства (например, наличие судимости). Дополнительно указан банк–источник этих сведений. 500 тыс. долларов для каждого из банков
6 сентября 2006 года. Российский банк «Первое ОВК», поглощенный Росбанком, допустил утечку базы персональных данных, содержащей информацию о 3 тыс. неблагонадежных заемщиках банка, получавших кредиты в 2002-2003 годах. База содержала номера домашних или мобильных телефонов заемщиков, а в ряде случаев — паспортные данные и домашние адреса. Рядом с каждым именем была указана причина и дата занесения в черный список. База продавалась в интернете и рынках Москвы за 900 руб. 500 тыс. долларов
6 июля 2006 года инсайдер из индийского call-центра одного из крупнейших банков, HSBC, выкрал персональные данные 20 английских клиентов банка и передал их своим сообщникам в Великобритании, которые перевели деньги клиентов на свои счета. В результате пострадавшие лишились в общей сложности почти 500 тыс. долларов. Банку пришлось понести значительные издержки на международное расследование инцидента, взаимодействие с Интерполом и PR-кампанию на восстановление своей репутации. Кроме того, банк пообещал вернуть все деньги пострадавшим. 2 млн долларов
17 января 2006 года. Крупнейший банк в мире Tokyo-Mitsubishi UFJ с активами более 1,6 трлн долларов по ошибке разослал номера счетов 580 своих корпоративных клиентов по неправильным адресам электронной почты. Причина утечки — банальная ошибка оператора, который перепутал электронные адреса, когда рассылал 3,4 тыс. уведомлений. В результате банку пришлось принести официальные извинения, оповестить пострадавших и провести внутреннее расследование. 500 тыс. долларов

* Даты указаны на момент, когда об инциденте стало известно общественности, а не сами даты совершения утечки.

Наиболее распространен перехват транзакции, выполняемой через онлайновую банковскую систему. Киберпреступники могут внести изменения в размер платежа, и, используя обратную связь с браузером пользователя, в окне подтверждения отобразить введенную ранее сумму. Таким образом, ни банк, ни пользователь не в состоянии понять, что в процессе передачи данных банку сумма платежа изменяется. Хакеры, по сути, вклиниваются в середину цепочки, «убеждая» обе стороны, участвующих в транзакции, совершить платеж, но денежные средства перечисляются на сторонние счета и вернуть их уже невозможно.

Однако для защиты от технического совершенства преступников вполне допустимо и даже эффективно использовать не усложнение, а сравнительное упрощение процесса идентификации — проверять и перепроверять «вручную» действительность запроса, подключать простые голосовые контакты по альтернативным каналам идентификации, чтобы удостовериться в намерении банковского клиента сделать платеж.

Специалисты Gartner рекомендуют не только дополнительную проверку запроса на транзакцию с использованием альтернативных каналов коммуникации, но и методы, основанные на оценке действий пользователя: мониторинг ожидаемого размера транзакций и поведения пользователя. Здесь будет полезно подключения аналитических программ, которые обращаются к веб-трафику, контролируя логины, переходы и транзакции, что может выявить нехарактерные схемы действий при совершении транзакции. Такие «сбои в поведении» как правило означают обращение к банковской системе не человека, а программы-взломщика.

Источник: ko.com.ua