Угрозы

О хищениях

С начала 2008 года в российских банках начался лавинообразный рост хищений денежных средств со счетов корпоративных клиентов с использованием систем дистанционного банковского обслуживания (далее ДБО). Используя уязвимости в операционных системах, Web-браузерах и почтовых программах, злоумышленники заражают компьютеры клиентов вредоносными программами и дистанционно похищают файлы с секретными ключами ЭЦП клиентов и пароли, вводимые с клавиатуры.

Далее злоумышленники по системе ДБО от имени корпоративного Клиента подключаются к Банку, отслеживают поступления средств и в нужный момент направляют в Банк платежные поручения с корректными ЭЦП клиента. Успешно прошедшие проверку ЭЦП, но при этом подозрительные, абсолютно не свойственные данному Клиенту платежные поручения пресекаются банковскими операционистами на этапе принятия решения об исполнении документов. Большая же часть платежей, направляемых злоумышленниками, может не вызывать подозрений у Банка. Такие документы имеют корректную ЭЦП, обычные реквизиты получателей и типовое для данного Клиента назначение платежа. Исполнение Банком таких платежей приведёт к хищению денежных средств с расчетного счета корпоративного Клиента.

При этом вся ответственность за убытки безусловно и полностью возлагается на Клиента как единственного владельца секретных ключей ЭЦП.

О причинах

Для обеспечения аутентичности (целостности и авторства) электронных финансовых документов во всех системах ДБО используется механизм ЭЦП на базе российского криптографического алгоритма ГОСТ Р34.10–2001. Длина секретного ключа ЭЦП — 256 бит. Подобрать или угадать секретный ключ ЭЦП невозможно.

В Банке секретного ключа ЭЦП Клиента нет. В Банке есть только открытый ключ ЭЦП Клиента, с помощью которого банковский сервер проверяет подпись Клиента под электронными документами. Восстановить из открытого ключа ЭЦП секретный ключ ЭЦП технически невозможно. Именно поэтому все действия злоумышленников направлены на хищение (копирование) секретного ключа ЭЦП у его единственного владельца — Клиента. Анализ выявленных вредоносных программ показывает, что злоумышленники эксплуатируют фундаментальную проблему — неспособность массового пользователя обеспечивать доверенную среду на своем компьютере.

Как бороться

Сегодня уже нельзя считать компьютер Клиента доверенной средой. Особенно компьютер, подключенный к Интернету. Антивирусы, персональные межсетевые экраны и средства защиты от несанкционированного доступа безусловно должны использоваться и своевременно обновляться на компьютере клиента. Но все эти механизмы не гарантируют защиту персонального компьютера Клиента от постоянно модифицируемых вредоносных программ.

Есть только один радикальный и действенный метод борьбы с вредоносными программами, похищающими секретные ключи ЭЦП клиентов — исключить все операции с секретными ключами на компьютере Клиента. Секретный ключ ЭЦП клиента не должен попадать в персональный компьютер. Вся работа с секретными ключами ЭЦП клиента, все криптографические процедуры должны быть вынесены с компьютера Клиента в отдельную компактную доверенную среду.

Такой доверенной средой является персональный аппаратный криптопровайдер, реализованный в виде USB-токена и обеспечивающий неизвлекаемость (невозможность считывания) секретного ключа ЭЦП клиента. Ситуация с лавинообразным ростом хищений показывает — эпоха систем ДБО с хранением секретных ключей клиентов в копируемых файлах закончена. Использование персональных аппаратных криптопровайдеров в системах ДБО обеспечивает гарантированную защиту секретных ключей ЭЦП клиентов от хищений вредоносными программами.
Для защиты секретных ключей ЭЦП клиентов от хищений, Банк Кремлёвский предлагает Клиентам использовать в системе iBank2 персональный аппаратный криптопровайдер USB-Токен.

По всем вопросам обращаться: Управление автоматизации банковских технологий
телефон: (499) 241-88-14 добавочный — 174, 170