iBank 2 - о новой разновидности вредоносных программ
В начале июля 2011г. в российских банках были зарегистрированы попытки хищения средств клиентов с использованием новой разновидности вредоносной программы.
Нативная компонента вредоносной программы устанавливалась на компьютер клиента, используя критические уязвимости в старых версиях Java-машин (JVM). Вредоносная программа встраивалась в JVM, подменяла вызовы JVM для сокрытия мошеннических действий и предоставляла злоумышленнику удаленное управление компьютером клиента.
С помощью новой вредоносной программы мошенническое платежное поручение создавалось, подписывалось ЭЦП клиента (в том числе с использованием подключенного USB-токена) и отправлялось в банк непосредственно на инфицированном компьютере клиента.
При этом все мошеннические действия выполнялись невидимо для пользователя.
После отправки мошеннического платежа в банк вредоносная программа предпринимала действия по сокрытию попытки хищения:
- При работе на инфицированном компьютере мошеннический платеж не отображался в списке платежных поручений. При работе с обычного компьютера мошеннический платеж отображался.
- При работе на инфицированном компьютере операция списания средств не отображалась в выписке. При работе с обычного компьютера проводка отображалась.
- При работе на инфицированном компьютере остаток на счете модифицировался – не уменьшался на сумму мошеннического платежа. При работе с обычного компьютера отображался реальный остаток.
В результате действия вредоносной программы корпоративный клиент не мог с инфицированного компьютера обнаружить факт несанкционированного списания и оперативно помешать злоумышленнику осуществить вывод похищенных средств.
Для противодействия новой угрозе банкам необходимо принять следующие меры:
1. Полное и корректное информирование корпоративных клиентов о новой угрозе.
2. Напоминание корпоративным клиентам о необходимости строго соблюдать порядок работы в системе "iBank 2":
- соблюдать правила информационной безопасности, регламент доступа к компьютерам для работы в системе "iBank 2", регламент работы с секретными ключами ЭЦП клиента;
- использовать только лицензионное системное и прикладное ПО, оперативно его обновлять;
- использовать и оперативно обновлять персональный межсетевой экран (firewall), антивирусное ПО, средства обнаружения вредоносных программ;
- при использовании клиентом двух секретных ключей ЭЦП (ключ ЭЦП директора с правом первой подписи, и ключ ЭЦП главного бухгалтера с правом второй подписи) осуществлять работу с системой "iBank 2" на двух отдельных компьютерах с хранением секретных ключей ЭЦП на двух отдельных USB-токенах или смарт-картах.
3. Использование банком встроенного в систему "iBank 2" механизма дополнительного подтверждения платежных поручений с помощью одноразовых паролей, отправляемых по SMS.
При включенном механизме дополнительного подтверждения после подписи платежного поручения необходимым количеством ЭЦП документ получает статус "Требует подтверждения".
Для перевода документа в статус "Доставлен" клиенту необходимо ввести одноразовый пароль, полученный в SMS-сообщении.
SMS-сообщение с одноразовым паролем содержит также критичные реквизиты подтверждаемого платежа: сумму, наименование получателя, счет получателя, БИК банка получателя. Это обеспечивает защиту от подмены отображаемых клиенту реквизитов документа вредоносной программой.
Подтверждение одноразовым паролем в Internet-Банкинге может быть выполнено как сразу после подписания документа, так и позднее. В PC-Банкинге подтверждение документов выполняется в ходе синхронизации.
Настройка механизма дополнительного подтверждения осуществляется администратором банка. Клиент не имеет возможности отключить данный механизм, изменить номера мобильных телефонов или пороговую сумму платежных поручений, требующих подтверждения одноразовым паролем. Пороговая сумма настраивается индивидуально для каждого корпоративного клиента.
Механизм дополнительного подтверждения платежных поручений с помощью одноразовых паролей, рассылаемых по SMS, встроен в систему "iBank 2" начиная с версии 2.0.22.22. Для его использования приобретать Лицензию на серверный модуль "SMS-Банкинг для корпоративных клиентов" не нужно. Банк может подключиться к любому SMS-центру, в том числе и к SMS-центру "ИБАНК2.РУ".
С целью противостояния новым угрозам компания "БИФИТ" рекомендует банкам для всех корпоративных клиентов осуществить принудительное включение в системе "iBank 2" дополнительного подтверждения платежных поручений с помощью одноразовых паролей, отправляемых по SMS, с настройкой лимита платежа индивидуально по каждому клиенту.
В случае добровольного подключения клиентов процесс может затянуться на несколько месяцев. В течение всего этого срока у клиентов будут сохраняться повышенные риски хищений.
Принудительное включение дополнительного подтверждения всем корпоративным клиентам без возможности выбора позволяет банку быстро и радикально противодействовать новой разновидности вредоносных программ.
Нативная компонента вредоносной программы устанавливалась на компьютер клиента, используя критические уязвимости в старых версиях Java-машин (JVM). Вредоносная программа встраивалась в JVM, подменяла вызовы JVM для сокрытия мошеннических действий и предоставляла злоумышленнику удаленное управление компьютером клиента.
С помощью новой вредоносной программы мошенническое платежное поручение создавалось, подписывалось ЭЦП клиента (в том числе с использованием подключенного USB-токена) и отправлялось в банк непосредственно на инфицированном компьютере клиента.
При этом все мошеннические действия выполнялись невидимо для пользователя.
После отправки мошеннического платежа в банк вредоносная программа предпринимала действия по сокрытию попытки хищения:
- При работе на инфицированном компьютере мошеннический платеж не отображался в списке платежных поручений. При работе с обычного компьютера мошеннический платеж отображался.
- При работе на инфицированном компьютере операция списания средств не отображалась в выписке. При работе с обычного компьютера проводка отображалась.
- При работе на инфицированном компьютере остаток на счете модифицировался – не уменьшался на сумму мошеннического платежа. При работе с обычного компьютера отображался реальный остаток.
В результате действия вредоносной программы корпоративный клиент не мог с инфицированного компьютера обнаружить факт несанкционированного списания и оперативно помешать злоумышленнику осуществить вывод похищенных средств.
Для противодействия новой угрозе банкам необходимо принять следующие меры:
1. Полное и корректное информирование корпоративных клиентов о новой угрозе.
2. Напоминание корпоративным клиентам о необходимости строго соблюдать порядок работы в системе "iBank 2":
- соблюдать правила информационной безопасности, регламент доступа к компьютерам для работы в системе "iBank 2", регламент работы с секретными ключами ЭЦП клиента;
- использовать только лицензионное системное и прикладное ПО, оперативно его обновлять;
- использовать и оперативно обновлять персональный межсетевой экран (firewall), антивирусное ПО, средства обнаружения вредоносных программ;
- при использовании клиентом двух секретных ключей ЭЦП (ключ ЭЦП директора с правом первой подписи, и ключ ЭЦП главного бухгалтера с правом второй подписи) осуществлять работу с системой "iBank 2" на двух отдельных компьютерах с хранением секретных ключей ЭЦП на двух отдельных USB-токенах или смарт-картах.
3. Использование банком встроенного в систему "iBank 2" механизма дополнительного подтверждения платежных поручений с помощью одноразовых паролей, отправляемых по SMS.
При включенном механизме дополнительного подтверждения после подписи платежного поручения необходимым количеством ЭЦП документ получает статус "Требует подтверждения".
Для перевода документа в статус "Доставлен" клиенту необходимо ввести одноразовый пароль, полученный в SMS-сообщении.
SMS-сообщение с одноразовым паролем содержит также критичные реквизиты подтверждаемого платежа: сумму, наименование получателя, счет получателя, БИК банка получателя. Это обеспечивает защиту от подмены отображаемых клиенту реквизитов документа вредоносной программой.
Подтверждение одноразовым паролем в Internet-Банкинге может быть выполнено как сразу после подписания документа, так и позднее. В PC-Банкинге подтверждение документов выполняется в ходе синхронизации.
Настройка механизма дополнительного подтверждения осуществляется администратором банка. Клиент не имеет возможности отключить данный механизм, изменить номера мобильных телефонов или пороговую сумму платежных поручений, требующих подтверждения одноразовым паролем. Пороговая сумма настраивается индивидуально для каждого корпоративного клиента.
Механизм дополнительного подтверждения платежных поручений с помощью одноразовых паролей, рассылаемых по SMS, встроен в систему "iBank 2" начиная с версии 2.0.22.22. Для его использования приобретать Лицензию на серверный модуль "SMS-Банкинг для корпоративных клиентов" не нужно. Банк может подключиться к любому SMS-центру, в том числе и к SMS-центру "ИБАНК2.РУ".
С целью противостояния новым угрозам компания "БИФИТ" рекомендует банкам для всех корпоративных клиентов осуществить принудительное включение в системе "iBank 2" дополнительного подтверждения платежных поручений с помощью одноразовых паролей, отправляемых по SMS, с настройкой лимита платежа индивидуально по каждому клиенту.
В случае добровольного подключения клиентов процесс может затянуться на несколько месяцев. В течение всего этого срока у клиентов будут сохраняться повышенные риски хищений.
Принудительное включение дополнительного подтверждения всем корпоративным клиентам без возможности выбора позволяет банку быстро и радикально противодействовать новой разновидности вредоносных программ.
Комментарий