После того как служба CitiBusiness банка Citibank не устояла перед атакой с применением технологии «незаконный посредник» (Man In The Middle, MITM), специалистам отрасли приходится считаться с тем, что рядовой пользователь интерактивных услуг едва ли способен распознать новейшие методы мошенников, действующих в Internet.

Стратегия MITM позволяет злоумышленнику вклиниться в информационный поток между интерактивной услугой и пользователем, изменить его или дополнить, причем абсолютно незаметным для каждой из сторон образом. Мошенник воспринимается пользователем как легитимный провайдер, получает

в качестве незримого транзитного узла доступ к его регистрационным данным и присваивает себе по возможности неограниченные пользовательские права, благодаря которым он может просматривать персональную информацию и проводить банковские транзакции.

КОМБИНАЦИЯ С ФИШИНГОМ

Атаки MITM часто комбинируются с традиционными методами фишинга (см. врезку: «Фишинг: тенденция развивается»), когда профессионально фальсифицированные электронные письма и сайты служат для запроса имен пользователей, паролей, финансовых данных и даже одноразовых паролей для синхронизируемых по времени токенов. Таким образом, если злоумышленник действует достаточно быстро, он может воспользоваться этими данными для проведения мошеннических транзакций.

В случае с Citibank преступники сумели справиться не только с системой аутентификации на основе токенов, но даже проверяли введенные пользователем персональные данные на сайте банка. При вводе некорректных данных сообщение об ошибке отображалось на странице мошенников, и тогда происходящее выглядело еще более правдоподобным. Случай с Citibank показал, что даже двухфакторная аутентификация с применением токенов не обеспечивает стопроцентной безопасности. Однако помимо аутентификации предприятия могут использовать и другие методы для снижения рисков клиентов быть обманутыми. Больше всего подобным преступлениям способствует тот факт, что некоторые организации при защите доступа все еще полагаются исключительно на пароли.

Безусловно, проблема требует неотложного решения. В июньском отчете компании Aite Group, независимой организации, занимающейся исследованиями рынка и предоставлением консалтинговых услуг, подсчитано, что в 2005 г. ущерб от мошенничества достиг 4,1 млн долларов, причем, как прогнозируется, такого рода убытки в области интерактивных банковских операций ежегодно будут возрастать на 25%. В 2010 г. потери приблизятся к 12 млн долларов. Аналитики предсказывают, что в 2010 г. предприятиям придется потратить почти 88 млн долларов на цели обеспечения надежной аутентификации, распознавания мошенничеств и отражения фишинговых атак. В 2006 г. на это выделено 22 млн долларов.

ИНСТРУМЕНТЫ ПРОТИВОДЕЙСТВИЯ ФИШИНГОВЫМ АТАКАМ

Рынок предлагает целый ряд средств, способных стать эффективной заменой паролей и успешно противодействовать атакам MITM. Первый метод реализует подход с использованием процедуры «запрос-ответ» (challenge and response) при проверке безопасности. Он затрудняет проведение атак MITM, поскольку злоумышленник в обычной ситуации не может получить доступ к корректным вопросам легитимной интерактивной страницы, чтобы передать их пользователям.

Примером этой технологии являются аутентификация Grid и определенные токены с поддержкой вопросов и ответов. Кроме того, весьма надежны методы, опирающиеся на инфраструктуру с открытыми ключами, поскольку пользователь аутентифицируется по ответу, для которого он подписывает выдаваемый токеном случайный результат своим личным ключом. Узнать эти данные мошенник не может.

Однако все возможности этим не исчерпаны. Очень эффективный метод — аутентификация по внешнему каналу (Out-Of-Band, OOB), поскольку злоумышленник, применяющий методику MITM, протоколирует лишь один канал связи. ООВ предусматривает отдельный канал для аутентификации, чтобы верифицировать и авторизовать транзакции с высоким риском. Система ООВ передает пользователю информацию о транзакции, к примеру по электронной почте, SMS или телефону, и для подтверждения получения требует ввода прилагаемого одноразового пароля. В таком случае кража регистрационных данных злоумышленнику не поможет.

ВЫСОКОНАДЕЖНЫЕ СЕРТИФИКАТЫ SSL ПРОТИВ АТАК MITM

Совершенно новое средство против атак MITM представляют собой высоконадежные сертификаты SSL. Благодаря им пользователь получает возможность выяснить, является ли определенная страница бесспорно аутентичной или она уже зарегистрирована как мошенническая либо подозревается в качестве таковой. Новые функции браузеров, к примеру Internet Explorer 7.0, сводят на нет эффективность известных методов фишинговых сайтов, при помощи которых последние скрывают свою истинную природу. Пользователь вполне может полагаться на то, что страница Web не заслуживает доверия, если ее строка с адресом не выделена зеленым цветом. Однако пройдет еще некоторое время до того момента, когда эта простая помощь станет действенной, ведь далеко не у всех установлен браузер последнего поколения.

И наконец, полезным средством является программное обеспечение для распознавания мошенничеств. Оно выявляет аномалии, которые могут считаться признаками атак MITM. Даже если злоумышленнику удалось получить все регистрационные данные легитимного пользователя, такие программы распознают преступные действия по отдельным деталям: по необычному месту, откуда злоумышленник регистрируется в системе, или по объему перевода и пункту его назначения, если эти данные вызывают подозрение.

В результате у организаций, особенно у финансовых институтов, появляется возможность прерывания соответствующих транзакций и своевременного оповещения об этом.

БЕСКОНТАКТНОЕ РАСПОЗНАВАНИЕ ОБМАНА ЗАЩИЩАЕТ ИДЕНТИЧНОСТЬ

Один из новейших подходов к защите цифровой идентичности пользователей интерактивных услуг получил название «бесконтактное распознавание обмана» (Zero-Touch Fraud Detection). Речь идет о методе, применение которого позволяет защититься от мошенников в Internet, не вводя ограничений на использование приложений Web. Системы работают прозрачно, следят за аномалиями в поведении пользователей в реальном времени и при необходимости вычисляют уровень риска отдельной транзакции.

Термин «бесконтактный» относится как к процессам обслуживания защищаемого сайта, так и к усилиям по интеграции в приложения баз данных — в обеих областях во вмешательстве нет необходимости. Традиционные системы распознавания мошенничества, напротив, часто требуют сложной адаптации защищаемых ими приложений: последние приходится изменять так, чтобы они могли экспортировать данные для этих систем.

Рисунок 1. Мощная аутентификация и распознавание доступа функционируют параллельно.

В случае бесконтактного подхода пассивно сканируется трафик Web между пользователем и приложением. Анализу подвергаются все относящиеся к транзакции данные, поэтому и реакция следует молниеносно. Кроме того, в результате облегчается инсталляция и упрощается адаптация к неизвестным до сих пор формам мошенничества, которая при использовании традиционных методов потребовала бы написания дополнительных программ в области баз данных (см. Рисунок 1).

ЦЕПОЧКА УЛИК

На злонамеренные действия соответствующей системе распознавания обычно указывают следующие «улики»: регистрация с неизвестного компьютера, ненадежный IP-адрес или место, перевод необычной суммы на неизвестные счета, изменение персональных данных или странный способ получения к ним доступа. Как только замечается транзакция с повышенным уровнем риска, немедленно подается сигнал тревоги и генерируется отчет, либо программное обеспечение безопасности запускает специальные деловые приложения для остановки транзакции до тех пор, пока ее снова не активизирует легитимный пользователь. До этого момента она остается — по возможности — в замороженном состоянии.

Одна из наиболее распространенных современных атак — намеренный перевод денег из финансового учреждения клиента на подставные счета. Профессиональная система распознавания мошенничеств вскрывает не только сами подозрительные переводы, анализ может распространяться на множество счетов, что позволяет выявить широкомасштабные криминальные действия.

Если, к примеру, на отдельный счет поступает несколько переводов и при этом всегда передается одинаковая сумма или близкая к лимиту величина для соответствующего счета отправителя, то это явный признак масштабной преступной деятельности. Таким образом, принятая схема распознавания может применяться и в случае большого количества счетов для предотвращения преступлений в крупных масштабах.

Однако этот подход обеспечить стопроцентную безопасность не в состоянии: даже те, кто использует надежные защитные меры, к примеру мощную аутентификацию пользователей или распознавание мошенничества, должны помнить, что мошенники постоянно совершенствуют свои методы и подходы. Поэтому так важна возможность быстрой реакции: статичные меры и системы, не способные развиваться, очень быстро перестают быть препятствием на пути злоумышленников.

Для противодействия атакам MITM системы аутентификации должны поддерживать максимально возможное количество методов, а также дополнительные этапы авторизации помимо аутентификации на основе токенов. Если продукт не предусматривает аутентификацию по внешнему каналу или соответствующее разрешение транзакций, то оператору придется пойти на дополнительные затраты внедрения передовых методов, а пользователю — работать с повышенным риском в ожидании, когда это случится.

ГИБКАЯ АДАПТАЦИЯ К НОВЫМ СХЕМАМ ОБМАНА

Наиболее адекватными выглядят системы, в которых дополнительные факторы аутентификации активируются в рамках централизованной политики, чтобы, например, администратор мог включить аутентификацию по внешнему каналу в качестве дополнительной меры безопасности, когда того потребует ситуация (см. Рисунок 2). Развертывание и инсталляция программного обеспечения — если она вообще нужна — должны происходить автоматически. Лишь при такой гибкости «хорошие» смогут не отставать от «плохих».

Рисунок 2. Риск определяет мощность аутентификации.

ТРЮКИ ОБМАНЩИКОВ РАЗЛИЧАЮТСЯ

Такая же гибкость нужна и системам обнаружения мошенничеств. При этом во главу угла ставятся бесперебойное функционирование и интеграция в повседневные рабочие процессы ИТ: новые шаблоны мошеннических схем должны загружаться или изменяться без прерывания работы и немедленно после того, как обманщики поменяют свои уловки.

В этой ситуации свои сильные стороны способен продемонстрировать метод анализа трафика Web. Благодаря ему оператору уже не нужно программировать адаптированные интерфейсы для экспорта данных из своих приложений при появлении новых стратегий обмана. Это снижает время реакции, хотя и требует определенных затрат. Бесконтактные системы позволяют немедленно проводить обновление отдельных модулей и сразу же воспользоваться их преимуществами.

Крис Войс — директор по технологии компании Entrust.


Фишинг: тенденция развивается

Если атаки MITM стали пользоваться повышенным вниманием не так давно, то фишинговые атаки остаются по-прежнему значимыми. В одном только 2005 г. рост количества фишинговых сайтов составил 300%. Одновременно в шесть раз возросло число страниц Web с вредоносным кодом для кражи паролей.

В июне прошлого года в антифишинговую рабочую группу поступило 28 571 отчетов — на 8000 больше, чем в мае текущего. Количество активных фишинговых сайтов также увеличилось: в июне сообщалось о появлении 9255 новых сайтов подобного рода — в два раза больше, чем за тот же месяц прошлого года. Тем не менее июньские цифры не так велики — для сравнения, в мае 2005 г. зафиксировано 11 976 новых сайтов.

Как и можно было ожидать, главной целью для атак остаются сайты финансовых институтов. На них приходится 93,1% от всех случаев мошенничества в Internet. Следом за ними идут атаки на провайдеров услуг Internet, но всего лишь с 3,1% от общего количества инцидентов. По данным антифишинговой рабочей группы, 35,6% всех фишинговых сайтов размещается на территории США — это в два раза больше, чем в Китае, который оказался на втором месте (15 % мошеннических сайтов).

Пользователям надо учитывать, что лишь 44% сайтов в своем адресе URL содержит часть названия компании или марки, связанной с подделкой. Даже краткий взгляд на то, где размещен сайт и куда он ведет пользователя, всегда будет наиболее ценным первым шагом для защиты собственной интерактивной идентичности.


Иерархия мошенников от Internet

При взгляде извне атаки в Internet нередко кажутся неорганизованными и случайными, однако криминальные организации, стоящие за ними, часто очень профессиональны. В большинстве случаев работают три группы с разными задачами: похитители идентификационных данных, посредники и «мулы». Как и на любом предприятии, в мире мошенников от Internet есть своя иерархия.

Похитители идентификационных данных располагаются на ее верхней ступени и составляют первую группу, они обладают рядом эффективных методов и знают, где проще всего можно украсть данные для идентификации в интерактивной службе. Как правило, члены данной группы в совершенстве владеют искусством получения необходимой информации для своих действий.

Вторая группа, посредники, отвечают за большую часть собственно работы. Они предоставляют необходимые материалы, к примеру фальшивые чеки и документы, решают, когда, как и в каком объеме можно использовать украденные данные.

«Мулы» непосредственно осуществляют махинацию. Часто они платят посредникам за необходимые вспомогательные средства. Неважно, идет ли речь о нелегальных транзакциях или налоговом мошенничестве, — эта, третья, группа обеспечивает выгоду всем участникам преступного бизнеса.


? AWi Verlag