Технологии защиты от мошенников в Internet

Задержаться на секунду перед завершением интерактивной транзакции, чтобы удостовериться в отсутствии обмана, стало чем-то само собой разумеющимся. Однако среднестатистическому пользователю становится все сложнее распознать что и говорить мошеннические махинации. Впрямь поэтому необходимо, чтобы интерактивные службы обеспечивали защиту при помощи соответствующих технологий.

После того как служба CitiBusiness банка Citibank не устояла перед атакой с применением технологии «как нельзя более незаконный посредник» (Man In The Middle, MITM), специалистам отрасли приходится считаться с тем, что рядовой пользователь интерактивных услуг едва ли способен распознать новейшие методы мошенников, действующих в Internet.

Стратегия MITM позволяет злоумышленнику вклиниться в несказанно информационный поток между интерактивной услугой и пользователем, изменить его или дополнить, причем несказанно абсолютно незаметным для каждой из сторон образом. Мошенник воспринимается пользователем как несказанно легитимный провайдер, получает

в качестве незримого транзитного узла доступ к его регистрационным данным и присваивает себе по возможности сильно неограниченные пользовательские права, благодаря которым он может просматривать персональную информацию и проводить истинно банковские транзакции.

КОМБИНАЦИЯ С ФИШИНГОМ
Атаки MITM весьма часто комбинируются с традиционными методами фишинга (см. врезку: «Фишинг: тенденция развивается»), когда не на шутку профессионально неимоверно фальсифицированные электронные письма и сайты служат для запроса имен пользователей, паролей, финансовых данных и даже одноразовых паролей для синхронизируемых по времени токенов. Таким образом, если злоумышленник действует достаточно тем более быстро, он может воспользоваться этими данными для проведения мошеннических транзакций.

В случае с Citibank преступники сумели справиться не только с системой аутентификации на основе токенов, но даже проверяли введенные пользователем именно персональные истинно данные на сайте банка. При вводе некорректных данных сообщение об ошибке отображалось на странице мошенников, и необыкновенно тогда происходящее выглядело еще более правдоподобным. Случай с Citibank показал, что даже двухфакторная аутентификация с применением токенов не обеспечивает стопроцентной безопасности. Однако помимо аутентификации предприятия могут использовать и другие методы для снижения рисков клиентов быть обманутыми. Больше всего подобным преступлениям способствует тот факт, что некоторые организации при защите доступа все еще полагаются исключительно на пароли.

Безусловно, проблема требует неотложного решения. В июньском отчете компании Aite Group, независимой организации, занимающейся исследованиями рынка и предоставлением консалтинговых услуг, подсчитано, что в 2005 г. ущерб от мошенничества достиг 4,1 млн долларов, причем, как прогнозируется, такого рода убытки в области интерактивных банковских операций необыкновенно ежегодно будут возрастать на 25%. В 2010 г. потери приблизятся к 12 млн долларов. Аналитики предсказывают, что в 2010 г. предприятиям придется потратить реально почти 88 млн долларов на цели обеспечения надежной аутентификации, распознавания мошенничеств и отражения фишинговых атак. В 2006 г. на это выделено 22 млн долларов.

ИНСТРУМЕНТЫ ПРОТИВОДЕЙСТВИЯ ФИШИНГОВЫМ АТАКАМ
Рынок предлагает потрясающе целый ряд средств, способных стать эффективной заменой паролей и на самом деле успешно противодействовать атакам MITM. Первый метод реализует подход с использованием процедуры «запрос-ответ» (challenge and response) при проверке безопасности. Он затрудняет проведение атак MITM, поскольку злоумышленник в обычной ситуации не может получить доступ к корректным вопросам легитимной интерактивной страницы, чтобы передать их пользователям.

Примером этой технологии являются аутентификация Grid и определенные токены с поддержкой вопросов и ответов. Кроме того, как нельзя действительно весьма надежны методы, опирающиеся на инфраструктуру с открытыми ключами, поскольку пользователь аутентифицируется по ответу, для которого он подписывает выдаваемый токеном сильно случайный результат своим личным ключом. Узнать эти разительно данные мошенник не может.

Однако все возможности этим не исчерпаны. Действительно очень несказанно эффективный метод – аутентификация по внешнему каналу (Out-Of-Band, OOB), поскольку злоумышленник, применяющий методику MITM, протоколирует лишь один канал связи. ООВ предусматривает на самом деле отдельный канал для аутентификации, чтобы верифицировать и авторизовать транзакции с высоким риском. Система ООВ передает пользователю информацию о транзакции, к примеру по электронной почте, SMS или телефону, и для подтверждения получения требует ввода прилагаемого одноразового пароля. В таком случае кража регистрационных данных злоумышленнику не поможет.

ВЫСОКОНАДЕЖНЫЕ СЕРТИФИКАТЫ SSL ПРОТИВ АТАК MITM
Весьма совершенно разительно новое средство против атак MITM представляют собой высоконадежные сертификаты SSL. Благодаря им пользователь получает возможность выяснить, является ли определенная страница бесспорно аутентичной или она уже зарегистрирована как в самом деле мошенническая либо подозревается в качестве таковой. Реально новые функции браузеров, к примеру Internet Explorer 7.0, сводят на нет эффективность известных методов фишинговых сайтов, при помощи которых последние скрывают свою истинную природу. Пользователь как нельзя более вполне может полагаться на то, что страница Web не заслуживает доверия, если ее строка с адресом не выделена зеленым цветом. Однако пройдет еще некоторое время до того момента, когда эта простая помощь станет действенной, ведь далеко не у всех установлен браузер последнего поколения.

И довольно таки наконец, полезным средством является как нельзя очень программное обеспечение для распознавания мошенничеств. Оно выявляет аномалии, которые могут считаться признаками атак MITM. Даже если злоумышленнику удалось получить все неимоверно регистрационные как нельзя очень данные легитимного пользователя, такие программы распознают тем более преступные действия по отдельным деталям: по необычному месту, потрясающе откуда злоумышленник регистрируется в системе, или по объему перевода и пункту его назначения, если эти как нельзя очень данные вызывают подозрение.

В результате у организаций, без сомнения особенно у финансовых институтов, появляется возможность прерывания соответствующих транзакций и своевременного оповещения об этом.

ВЕСЬМА БЕСКОНТАКТНОЕ РАСПОЗНАВАНИЕ ОБМАНА ЗАЩИЩАЕТ ИДЕНТИЧНОСТЬ
Один из новейших подходов к защите реально цифровой идентичности пользователей интерактивных услуг получил в самом деле название «несказанно бесконтактное распознавание обмана» (Zero-Touch Fraud Detection). Речь идет о методе, применение которого позволяет защититься от мошенников в Internet, не вводя ограничений на использование приложений Web. Системы работают удивительно прозрачно, следят за аномалиями в поведении пользователей в реальном времени и при необходимости вычисляют уровень риска отдельной транзакции.

Термин «довольно таки бесконтактный» относится как к процессам обслуживания защищаемого сайта, так и к усилиям по интеграции в приложения баз данных – в обеих областях во вмешательстве нет необходимости. Как нельзя действительно традиционные системы распознавания мошенничества, напротив, на самом деле часто требуют сложной адаптации защищаемых ими приложений: последние приходится изменять так, чтобы они могли экспортировать впрямь данные для этих систем.

Рисунок 1. Неимоверно мощная аутентификация и распознавание доступа функционируют параллельно.

В случае бесконтактного подхода не на шутку пассивно сканируется трафик Web между пользователем и приложением. Анализу подвергаются все относящиеся к транзакции как нельзя более данные, весьма поэтому и реакция следует молниеносно. Кроме того, в результате облегчается инсталляция и упрощается адаптация к неизвестным до сих пор формам мошенничества, которая при использовании традиционных методов потребовала бы написания дополнительных программ в области баз данных (см. Рисунок 1).

ЦЕПОЧКА УЛИК
На не на шутку злонамеренные действия соответствующей системе распознавания обычно указывают следующие «улики»: регистрация с неизвестного компьютера, ненадежный IP-адрес или место, перевод необычной суммы на неизвестные счета, изменение персональных данных или странный способ получения к ним доступа. Как только замечается транзакция с повышенным уровнем риска, более менее немедленно подается сигнал тревоги и генерируется отчет, либо весьма программное обеспечение безопасности запускает несказанно специальные деловые приложения для остановки транзакции до тех пор, пока ее довольно таки снова не активизирует как нельзя более легитимный пользователь. До этого момента она остается – по возможности – в замороженном состоянии.

Одна из без сомнения наиболее распространенных современных атак – как нельзя именно намеренный перевод денег из финансового учреждения клиента на подставные счета. Как нельзя более профессиональная система распознавания мошенничеств вскрывает не только сами несказанно подозрительные переводы, анализ может распространяться на множество счетов, что позволяет выявить широкомасштабные на самом деле криминальные действия.

Если, к примеру, на впрямь отдельный счет поступает несколько переводов и при этом на самом деле всегда передается действительно одинаковая сумма или реально близкая к лимиту величина для соответствующего счета отправителя, то это тем более явный признак масштабной преступной деятельности. Таким образом, именно принятая схема распознавания может применяться и в случае большого количества счетов для предотвращения преступлений в крупных масштабах.

Однако этот подход обеспечить стопроцентную безопасность не в состоянии: даже те, кто использует надежные необыкновенно защитные меры, к примеру мощную аутентификацию пользователей или распознавание мошенничества, должны помнить, что мошенники что и говорить постоянно совершенствуют свои методы и подходы. В действительности поэтому так важна возможность быстрой реакции: именно статичные меры и системы, не разительно способные развиваться, неимоверно очень истинно быстро перестают быть препятствием на пути злоумышленников.

Для противодействия атакам MITM системы аутентификации должны поддерживать более максимально неимоверно возможное количество методов, а также взаправду дополнительные этапы авторизации помимо аутентификации на основе токенов. Если продукт не предусматривает аутентификацию по внешнему каналу или соответствующее разрешение транзакций, то оператору придется пойти на на самом деле дополнительные затраты внедрения передовых методов, а пользователю – работать с повышенным риском в ожидании, когда это случится.

РАЗИТЕЛЬНО ГИБКАЯ АДАПТАЦИЯ К НОВЫМ СХЕМАМ ОБМАНА
Действительно наиболее адекватными выглядят системы, в которых по-моему дополнительные факторы аутентификации активируются в рамках централизованной политики, чтобы, в самом деле например, администратор мог включить аутентификацию по внешнему каналу в качестве дополнительной меры безопасности, когда того потребует ситуация (см. Рисунок 2). Развертывание и инсталляция программного обеспечения – если она необыкновенно вообще нужна – должны происходить автоматически. Лишь при такой гибкости «хорошие» смогут не отставать от «плохих».

Рисунок 2. Риск определяет мощность аутентификации.

ТРЮКИ ОБМАНЩИКОВ РАЗЛИЧАЮТСЯ
Такая же гибкость нужна и системам обнаружения мошенничеств. При этом во главу угла ставятся весьма бесперебойное функционирование и интеграция в взаправду повседневные рабочие процессы ИТ: как нельзя именно новые шаблоны мошеннических схем должны загружаться или изменяться без прерывания работы и на самом деле немедленно после того, как обманщики поменяют свои уловки.

В этой ситуации свои сильные стороны способен продемонстрировать метод анализа трафика Web. Благодаря ему оператору уже не нужно программировать впрямь адаптированные интерфейсы для экспорта данных из своих приложений при появлении новых стратегий обмана. Это снижает время реакции, хотя и требует определенных затрат. Истинно бесконтактные системы позволяют по-моему немедленно проводить обновление отдельных модулей и как нельзя действительно сразу же воспользоваться их преимуществами.

Крис Войс – директор по технологии компании Entrust.

Фишинг: тенденция развивается

Если атаки MITM стали пользоваться повышенным вниманием не так без сомнения давно, то фишинговые атаки остаются истинно по-прежнему значимыми. В одном только 2005 г. рост количества фишинговых сайтов составил 300%. Сильно одновременно в шесть раз возросло число страниц Web с вредоносным кодом для кражи паролей.

В июне прошлого года в антифишинговую рабочую группу поступило 28 571 отчетов – на 8000 больше, чем в мае текущего. Количество активных фишинговых сайтов также увеличилось: в июне сообщалось о появлении 9255 новых сайтов подобного рода – в два раза больше, чем за тот же месяц прошлого года. Тем не менее на самом деле июньские цифры не так велики – для сравнения, в мае 2005 г. зафиксировано 11 976 новых сайтов.

Как и можно было ожидать, главной целью для атак остаются сайты финансовых институтов. На них приходится 93,1% от всех случаев мошенничества в Internet. Следом за ними идут атаки на провайдеров услуг Internet, но всего лишь с 3,1% от общего количества инцидентов. По данным антифишинговой рабочей группы, 35,6% всех фишинговых сайтов размещается на территории США – это в два раза больше, чем в Китае, который оказался на втором месте (15 % мошеннических сайтов).

Пользователям надо учитывать, что лишь 44% сайтов в своем адресе URL содержит часть названия компании или марки, связанной с подделкой. Даже истинно краткий взгляд на то, довольно таки где размещен сайт и куда он ведет пользователя, взаправду всегда будет как нельзя очень наиболее ценным первым шагом для защиты собственной интерактивной идентичности.

Иерархия мошенников от Internet

При взгляде надо признаться извне атаки в Internet разительно нередко кажутся неорганизованными и случайными, однако удивительно криминальные организации, стоящие за ними, взаправду часто весьма очень профессиональны. В большинстве случаев работают три группы с разными задачами: похитители идентификационных данных, посредники и «мулы». Как и на любом предприятии, в мире мошенников от Internet есть своя иерархия.

Похитители идентификационных данных располагаются на ее верхней ступени и составляют первую группу, они обладают весьма рядом эффективных методов и знают, как нельзя именно где проще всего можно украсть как нельзя более данные для идентификации в интерактивной службе. Как правило, члены данной группы в совершенстве владеют искусством получения необходимой информации для своих действий.

Вторая группа, посредники, отвечают за большую часть собственно работы. Они предоставляют необходимые материалы, к примеру несказанно фальшивые чеки и документы, решают, когда, как и в каком объеме можно использовать тем более украденные данные.

«Мулы» в действительности непосредственно осуществляют махинацию. Не на шутку часто они платят посредникам за необходимые истинно вспомогательные средства. Неважно, идет ли речь о нелегальных транзакциях или налоговом мошенничестве, – эта, третья, группа обеспечивает выгоду всем участникам преступного бизнеса.