В компанию "БИФИТ" поступила информация о нескольких попытках хищений средств со счетов корпоративных клиентов, использующих USB-токены "iBank 2 Key".
Во всех выявленных случаях злоумышленники пользовались халатностью клиентов, оставляющих USB-токены "iBank 2 Key" постоянно (круглосуточно) подключенными к компьютеру.
Поскольку использование USB-токенов "iBank 2 Key" исключает хищение секретных ключей ЭЦП клиентов, все выявленные попытки хищений средств осуществлялись только в моменты, когда USB-токен был подключен к клиентскому компьютеру.
Для этого злоумышленники использовали следующие механизмы:
- Программы для дистанционного управления компьютером клиента (Microsoft Remote Assistant, TeamViewer, RAdmin и др.). Злоумышленник с помощью трояна запускал на компьютере клиента программу для дистанционного управления, подключался к данному компьютеру, загружал и запускал на нем Java-апплет Internet-Банкинга, от имени клиента создавал и подписывал платежные документы с использованием постоянно подключенного к компьютеру USB-токена.
- Новая разновидность трояна, который предоставляет удаленный доступ к USB-портам компьютера, а также осуществляет тунеллирование TCP-трафика с компьютера злоумышленника через компьютер клиента до банковского Сервера Приложения "iBank 2". При этом Java-апплет Internet-Банкинга загружается и исполняется на компьютере злоумышленника, а для входа в систему "iBank 2" и формирования ЭЦП клиента под платежными документами используется удаленный доступ к USB-портам компьютера клиента с постоянно подключенным USB-токеном.
Выводы:
1. Ни в одном из случаев секретный ключ ЭЦП корпоративного клиента не был похищен из USB-токена "iBank 2 Key". Во всех случаях злоумышленники подписывали документы, используя удаленный доступ к компьютеру корпоративного клиента или к "расшаренным" USB-портам компьютера клиента.
2. Во всех случаях злоумышленники воспользовались халатностью корпоративных клиентов — [b]бесконтрольным постоянным подключением USB-токена "iBank 2 Key" к компьютеру.
3. Для осуществления хищения по описанному сценарию злоумышленнику необходимо:
- подключиться к банковскому Серверу Приложения "iBank 2" и пройти аутентификацию с использованием секретного ключа ЭЦП клиента в USB-токене;
- сформировать платежные документы, подписать их с помощью секретного ключа ЭЦП клиента в USB-токене и отправить на банковский сервер.
То есть атака может быть осуществлена злоумышленником только в онлайновом режиме, в те моменты, когда USB-токен подключен к компьютеру клиента.
Для противодействия новой угрозе банкам рекомендуется:
1. Информировать клиентов о новой угрозе — о появлении новой разновидности трояна с поддержкой удаленного доступа к USB-портам компьютера и туннелированием трафика, информировать о характере новой угрозы.
2. Информировать клиентов о недопустимости постоянного бесконтрольного подключения к компьютеру USB-токенов и смарт-карт "iBank 2 Key".
USB-токены и смарт-карты должны быть подключены к компьютеру только на время работы с системой "iBank 2".
3. Информировать клиентов о необходимости строго соблюдать порядок работы в системе "iBank 2", а именно:
- соблюдать регламент доступа к компьютеру, к USB-токенам и смарт-картам «iBank 2 Key» с секретными ключами ЭЦП;
- использовать системное и прикладное ПО, полученное из доверенных источников, а также регулярно обновлять указанное ПО;
- использовать и регулярно обновлять специализированное ПО для защиты информации — антивирусное ПО, средства защиты от несанкционированного доступа, персональные межсетевые экраны и пр.;
- соблюдать правила информационной безопасности при работе в Интернете — не посещать подозрительные сайты, не устанавливать программы из недоверенных источников, не открывать файлы от неизвестных отправителей и пр.;
- немедленно информировать банк о внештатных ситуациях и подозрениях на нарушение безопасности рабочего места (заражение компьютера трояном).
4. Использовать в банке системы Fraud-мониторинга электронных платежей.
5. Использовать SMS-информирование клиентов о входе в систему, о поступлении платежных поручений, о движении средств по счетам и т.д.
6. Использовать расширенную многофакторную аутентификацию клиентов в дополнение к USB-токенам и смарт-картам "Bank 2 Key". Данный механизм для корпоративных клиентов встроен в систему "iBank 2" начиная с версии 2.0.15.73 (более года назад).
При использовании расширенной многофакторной аутентификации корпоративным клиентам для входа в Internet-Банкинг, Mobile-Банкинг, ЦФК-Онлайн и для синхронизации в PC-Банкинге требуется ввести одноразовый пароль. В качестве источника одноразового пароля может выступать OTP-токен и/или SMS-сообщение на мобильный телефон.
Таким образом, при использовании расширенной многофакторной аутентификации злоумышленник не сможет подключиться к банковскому Серверу Приложения "iBank 2" от имени клиента, поскольку не имеет возможности получения одноразового пароля.
Технические подробности использования дополнительных механизмов защиты информации направляются службой техподдержки компании "БИФИТ" - support@bifit.com - по запросам банков.
Во всех выявленных случаях злоумышленники пользовались халатностью клиентов, оставляющих USB-токены "iBank 2 Key" постоянно (круглосуточно) подключенными к компьютеру.
Поскольку использование USB-токенов "iBank 2 Key" исключает хищение секретных ключей ЭЦП клиентов, все выявленные попытки хищений средств осуществлялись только в моменты, когда USB-токен был подключен к клиентскому компьютеру.
Для этого злоумышленники использовали следующие механизмы:
- Программы для дистанционного управления компьютером клиента (Microsoft Remote Assistant, TeamViewer, RAdmin и др.). Злоумышленник с помощью трояна запускал на компьютере клиента программу для дистанционного управления, подключался к данному компьютеру, загружал и запускал на нем Java-апплет Internet-Банкинга, от имени клиента создавал и подписывал платежные документы с использованием постоянно подключенного к компьютеру USB-токена.
- Новая разновидность трояна, который предоставляет удаленный доступ к USB-портам компьютера, а также осуществляет тунеллирование TCP-трафика с компьютера злоумышленника через компьютер клиента до банковского Сервера Приложения "iBank 2". При этом Java-апплет Internet-Банкинга загружается и исполняется на компьютере злоумышленника, а для входа в систему "iBank 2" и формирования ЭЦП клиента под платежными документами используется удаленный доступ к USB-портам компьютера клиента с постоянно подключенным USB-токеном.
Выводы:
1. Ни в одном из случаев секретный ключ ЭЦП корпоративного клиента не был похищен из USB-токена "iBank 2 Key". Во всех случаях злоумышленники подписывали документы, используя удаленный доступ к компьютеру корпоративного клиента или к "расшаренным" USB-портам компьютера клиента.
2. Во всех случаях злоумышленники воспользовались халатностью корпоративных клиентов — [b]бесконтрольным постоянным подключением USB-токена "iBank 2 Key" к компьютеру.
3. Для осуществления хищения по описанному сценарию злоумышленнику необходимо:
- подключиться к банковскому Серверу Приложения "iBank 2" и пройти аутентификацию с использованием секретного ключа ЭЦП клиента в USB-токене;
- сформировать платежные документы, подписать их с помощью секретного ключа ЭЦП клиента в USB-токене и отправить на банковский сервер.
То есть атака может быть осуществлена злоумышленником только в онлайновом режиме, в те моменты, когда USB-токен подключен к компьютеру клиента.
Для противодействия новой угрозе банкам рекомендуется:
1. Информировать клиентов о новой угрозе — о появлении новой разновидности трояна с поддержкой удаленного доступа к USB-портам компьютера и туннелированием трафика, информировать о характере новой угрозы.
2. Информировать клиентов о недопустимости постоянного бесконтрольного подключения к компьютеру USB-токенов и смарт-карт "iBank 2 Key".
USB-токены и смарт-карты должны быть подключены к компьютеру только на время работы с системой "iBank 2".
3. Информировать клиентов о необходимости строго соблюдать порядок работы в системе "iBank 2", а именно:
- соблюдать регламент доступа к компьютеру, к USB-токенам и смарт-картам «iBank 2 Key» с секретными ключами ЭЦП;
- использовать системное и прикладное ПО, полученное из доверенных источников, а также регулярно обновлять указанное ПО;
- использовать и регулярно обновлять специализированное ПО для защиты информации — антивирусное ПО, средства защиты от несанкционированного доступа, персональные межсетевые экраны и пр.;
- соблюдать правила информационной безопасности при работе в Интернете — не посещать подозрительные сайты, не устанавливать программы из недоверенных источников, не открывать файлы от неизвестных отправителей и пр.;
- немедленно информировать банк о внештатных ситуациях и подозрениях на нарушение безопасности рабочего места (заражение компьютера трояном).
4. Использовать в банке системы Fraud-мониторинга электронных платежей.
5. Использовать SMS-информирование клиентов о входе в систему, о поступлении платежных поручений, о движении средств по счетам и т.д.
6. Использовать расширенную многофакторную аутентификацию клиентов в дополнение к USB-токенам и смарт-картам "Bank 2 Key". Данный механизм для корпоративных клиентов встроен в систему "iBank 2" начиная с версии 2.0.15.73 (более года назад).
При использовании расширенной многофакторной аутентификации корпоративным клиентам для входа в Internet-Банкинг, Mobile-Банкинг, ЦФК-Онлайн и для синхронизации в PC-Банкинге требуется ввести одноразовый пароль. В качестве источника одноразового пароля может выступать OTP-токен и/или SMS-сообщение на мобильный телефон.
Таким образом, при использовании расширенной многофакторной аутентификации злоумышленник не сможет подключиться к банковскому Серверу Приложения "iBank 2" от имени клиента, поскольку не имеет возможности получения одноразового пароля.
Технические подробности использования дополнительных механизмов защиты информации направляются службой техподдержки компании "БИФИТ" - support@bifit.com - по запросам банков.
Комментарий