Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов Страница 24

Тут можно читать бесплатно Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов. Жанр: Разная литература / Периодические издания. Так же Вы можете читать полную версию (весь текст) онлайн без регистрации и SMS на сайте «WorldBooks (МирКниг)» или прочесть краткое содержание, предисловие (аннотацию), описание и ознакомиться с отзывами (комментариями) о произведении.
Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов

Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов краткое содержание

Прочтите описание перед тем, как прочитать онлайн книгу «Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов» бесплатно полную версию:

В книге рассматриваются вопросы, связанные как с обеспечением кибербезопасности в условиях применения систем электронного банкинга, так и с анализом источников рисков, возникающих при использовании технологии дистанционного банковского обслуживания.
Описаны основные принципы управления рисками электронного банкинга. Рассмотрены риски, возникающие в кредитных организациях при внедрении систем интернет-банкинга, и риски легализации преступных доходов при использовании электронных денег (включая описание вариантов использования интернет-трейдинга как инструмента отмывания денежных средств на фондовых биржах). Даны рекомендации по организации внутреннего контроля в банках и обеспечению кибербезопасности в условиях применения систем электронного банкинга.
Представлены практические рекомендации по обеспечению защиты информации при использовании систем электронного банкинга, проанализировано влияние «теневого интернета» на безопасность электронного банкинга и дана характеристика хищений денежных средств с использованием вредоносных компьютерных программ неправомерного доступа к информации.
Издание предназначено для банковских специалистов, практикующих консультантов и аудиторов, преподавателей, аспирантов и студентов, обучающихся финансовым и техническим специальностям, а также может быть полезно всем, кто интересуется тематикой обеспечения кибербезопасности в условиях применения систем электронного банкинга.
В формате PDF A4 сохранен издательский макет.

Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов читать онлайн бесплатно

Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов - читать книгу онлайн бесплатно, автор Коллектив авторов

соединения для скрытого удаленного управления зараженным компьютером или устройством с целью последующего осуществления несанкционированного перевода денежных средств;

– самостоятельно при наличии возможности осуществлять с использованием имеющихся на компьютере или устройстве ЭСП несанкционированный перевод денежных средств (так называемый автозалив);

– удалять следы несанкционированного использования ЭСП, удалиться с компьютера или мобильного устройства и вывести его из строя.

Получаемые после установки и в процессе работы данные бот должен передавать в центр управления. Обратно он в определенных случаях получает дополнительные модули (плагины) или настройки, предназначенные для работы с ЭСП выявленных типов. Развитие и усложнение функционала банковских троянов происходят непрерывно с момента их появления, по мере того как кредитные организации и иные операторы по переводу денежных средств развивают программные, аппаратные и организационные средства и меры защиты своих клиентов. Противостояние банковских троянов и защиты от них представляет собой классическую ситуацию противоборства меча и щита или снаряда и брони.

Банковские трояны ранних поколений осуществляли только перехват и копирование аутентификационных данных пользователей операторов по переводу денежных средств и передавали их в центр управления. В последующем при помощи полученных таким образом данных и аналогичных ЭСП (например, доступа к веб-сайту оператора или стандартной клиентской платежной программы), не привязанных каким-либо образом к устройству пользователя, совершались несанкционированные переводы денежных средств. Подобным образом троянские программы использовались преимущественно в 2005–2008 гг., однако простые технологии актуальны и до настоящего времени, так как многие системы перевода денежных средств, особенно электронных, по-прежнему используют простые способы аутентификации.

Постепенно операторы вводили все более сложные системы защиты, ограничивающие возможность совершения переводов денежных средств при помощи ЭСП, установленных (или используемых) на посторонних устройствах. В первую очередь для этого начали применяться различного рода аппаратные ключи (токены, USB-ключи), при помощи которых производятся авторизация и аутентификация пользователей и (или) подписание платежных требований электронной подписью.

Принцип работы большинства аппаратных ключей основан на генерации надежных одноразовых паролей или криптографических ключей, без которых невозможны создание и направление оператору платежных поручений. В результате простое копирование аутентификационных данных стало бессмысленным, так как без использования аппаратного ключа невозможно направить платежное поручение. В ответ на эти меры разработчики банковских троянских программ обеспечили возможность скрытого удаленного управления зараженными компьютерами и устройствами.

Предназначенный для организации такого управления функционал, так называемый бэкдор (от англ. back door — задняя дверь), находится в составе троянской программы или загружается на зараженный компьютер как модуль или дополнительная троянская программа. Для совершения хищения устанавливается скрытое подключение к компьютеру или иному устройству пользователя ЭСП, тайно осуществляется управление этими средствами платежа так же, как это делает законный пользователь, и в нужный момент формируется платежное поручение, которое подтверждается при помощи аппаратного ключа, подключенного к компьютеру. Особенно часто хищения с применением технологии удаленного доступа происходили в 2009–2012 гг.

Дальнейшим этапом развития защитных мер операторов по переводу денежных средств становятся повсеместное внедрение обязательного информирования клиентов о фактах использования ЭСП и совершения переводов денежных средств по дополнительным (так называемым внеполосовым) каналам связи (телефон, SMS), внедрение схем двухфакторной авторизации, подтверждения платежей по внеполосовым каналам, разработка и внедрение более сложных аппаратных ключей с обратной связью и т. п.

При этом банковские трояны также продолжают совершенствоваться. Для обхода усиливающихся мер защиты в последние годы часто применяется технология так называемого автозалива. Она подразумевает автоматическую отправку несанкционированных платежных поручений в процессе штатного использования ЭСП законным пользователем, а также в большинстве случаев подмену данных в выполняемых платежных поручениях и диалогах подтверждения платежей, коррекцию страниц с историей переводов и состояния счета в целях сокрытия фактов хищений (технология автоподмены). В случае работы с «тонкими клиентами» для автозалива используются уже упоминавшиеся ранее веб-инжекты – внедрение кода в загружаемые пользователем при помощи программы-браузера страницы платежных веб-сайтов. Пользователь вводит аутентификационные данные, подготавливает и передает платежное поручение, не подозревая, что браузер искажает информацию под воздействием вредоносной программы и на самом деле перевод денежных средств осуществляется на сторонний счет.

Усложнение банковских троянов закономерно приводит к повышению стоимости и длительности их разработки. Современный банковский троян содержит средства обнаружения и модули для большого количества ЭСП различных операторов, а также разнообразный функционал для преодоления средств и мер защиты и совершения переводов денежных средств.

4.2. Организация преступной деятельности

А вы работаете у нас уже десять лет, но так и не осознали простой истины: если есть преступление, значит, есть и преступник…

Аркадий и Борис Стругацкие. Хищные вещи века

4.2.1. Особенности преступной деятельности в киберпространстве

Для осуществления хищений денежных средств специализированной вредоносной программы, разумеется, недостаточно. Преступная деятельность такого рода – «биз (бизнес) по заливам», как иногда называют ее сами участники, требует большой организационной работы, привлечения определенного количества исполнителей и пособников, постоянного приобретения и потребления разнообразных криминальных товаров и использования криминальных услуг.

Задача хищения денежных средств в электронных системах настолько сложна, что физически не может быть выполнена одним человеком от начала до конца: от момента создания вредоносной программы до момента получения на руки похищенных денежных средств. Тем не менее, хотя такие хищения и являются результатом коллективного труда, для их совершения необязательно существование устойчивых групп лиц, связанных между собой в реальной жизни. Специфика групповых компьютерных преступлений позволяет большинству их участников, не встречаясь лично, общаться, планировать и координировать преступные действия только посредством интернета и только в период совершения преступления. При этом физически сообщники могут находиться не только в разных регионах, но и в разных странах. В результате возникает большое количество кратковременно существующих преступных групп, не имеющих постоянного состава, каждый из участников которых может одновременно участвовать в деятельности множества других групп. Отличие деятельности подобных групп от обычной организованной преступной деятельности весьма существенно, а выявление и привлечение к уголовной ответственности их участников затруднены по объективным причинам, особенно если деятельность групп имеет трансграничный характер.

Регулярно встречаются и устойчивые преступные группы, состоящие из знакомых между собой лиц, находящихся в пределах физической досягаемости. Участники таких групп в зависимости от их численности выполняют либо весь спектр задач на всех этапах преступной деятельности (что бывает крайне редко), либо только определенную часть задач.

Любопытным моментом является и то, что при всей сложности задачи организатору хищений денежных средств, как и большей части участников группы, не требуются профессиональная компьютерная или техническая подготовка и образование. За исключением разработки компьютерных программ, все криминальные специальности, необходимые для участия в процессе, могут быть освоены лицами без специальной подготовки и опыта работы. Инвестиции (вложения капитала, если это можно так называть) на начальном этапе также являются минимальными либо вообще не требуются.

Отметим некоторые другие особенности и тенденции рассматриваемой преступной деятельности:

1. Хищения денежных средств в электронных системах являются в настоящее время наиболее доходной разновидностью компьютерной преступности. Налаженная систематическая работа

Перейти на страницу:
Вы автор?
Жалоба
Все книги на сайте размещаются его пользователями. Приносим свои глубочайшие извинения, если Ваша книга была опубликована без Вашего на то согласия.
Напишите нам, и мы в срочном порядке примем меры.
Комментарии / Отзывы
    Ничего не найдено.