Financial Times | 15 марта 2007 г.
Проблемы безопасности. Почти идеальное ограбление банка
Арджен де Ландграаф
При старых порядках уголовные авторитеты грабили банки, а разбойники грабили клиентов. Теперь авторитетам нет надобности грабить банк: они могут устроить цифровое ограбление клиентов, индивидуальное и массовое.
Преступление называется фишинг и является почти идеальным ограблением банка через интернет.
Среди наиболее активных и успешных преступников есть группировка, занимающаяся фишингом, которую мы в комиссии по контролю безопасности E-Secure-IT называем "Неприступная банда". Кажется, что никто не может остановить ее.
Хуже того, банки предупреждены, что если они попытаются это сделать, их сайты станут недоступными.
Прошлогодний опыт Австралийского банка показывает, в какой мере преступники, похоже, заставили финансовые учреждения сдаться на их милость.
Банк, переживший серию фишинговых атак, попытался остановить онлайновую деятельность группировки удаленно. Это привело к разливу данных, кампании распределенного отказа в обслуживании, направленной на то, чтобы остановить операции банка в интернете. Бизнес был нарушен на три дня.
А фишинговые атаки продолжаются, разрушая глобальную концепцию онлайновых банковских операций.
С сентября 2005 года Неприступная банда перешла от попыток фишинга, когда представится возможность, рассылая по электронной почте любительские сообщения, пестрящие грамматическими ошибками, к работе хитрой преступной машины с фишинговыми текстами в форматах, которые проходят через антиспамовые программы.
Кое-кто думает, что Неприступная банда - это на самом деле множество преступников, использующих похожие программы. Но мы в E-Secure-IT считаем, что это одна группа.
В 2006 году добыча банды, действующей из России, по оценкам, превысила 150 млн долларов. Имена главарей известны, а их методы читаются, как почерк, но западные судебные и правоохранительные органы не могут преследовать их там.
По нашим данным, в группе не меньше 12 человек, проводящих как минимум три одновременных фишинговых атаки в неделю и рассылающих миллионы спамовых сообщений по электронной почте.
Она использует огромные бот-сети - сети компьютеров, зараженных вирусом, - меняя сервера, и атакует часто. В августе 2006 года она сделала своей целью два банка в Британии. По данным BlackSpider Technologies, была построена бот-сеть из 20 тыс. компьютеров, чтобы разослать 8,1 млн сообщений за 24 часа.
Чтобы превратить собранные данные в деньги, группировка готовит "денежных мулов" для отмывания денег. Она выбирает уязвимые мишени, присылая им "потрясающее предложение работы". Они получают платежи на свой банковский счет, а затем переводят их "посредникам", предлагая в качестве зарплаты 8% комиссионных на каждый вклад.
Все кажется безопасным и простым. Но украденные деньги идут на банковские счета "мулов", в то время как их собственные деньги (или деньги их банка) идут фишинговой группировке, которая пользуется такими сервисами, как Western Union, MoneyGramm или PayPal. Украденные деньги, которые легко выслеживает полиция, затем становятся проблемой мулов, а не банды.
Банки сталкиваются с необходимостью выплачивать компенсацию жертвам, но их хорошо известное нежелание обмениваться информацией с конкурентами тормозит прогресс.
В США, где финансовые убытки от фишинга в 2006 году, по сообщениям, превысили 2,8 млрд долларов, все чаще звучат призывы к вмешательству. "Финансовые компании до сих пор не хотят всерьез взяться за фишинг, потому что дешевле компенсировать убытки от мошенничества", - говорит американский журналист, освещающий технологии, Брюс Шнайер.
"Это неприемлемо, потому что цена, которую платят жертвы, выходит за пределы финансовых потерь: неудобство, стресс и в некоторых случаях пятна на кредитной истории, которые трудно удалить".
Так что же можно сделать?
Информирование оказалось неэффективным: несмотря на предупреждения, люди все равно попадаются в ловушки фишинговых схем. Может помочь более надежная идентификация: многие голландские банки сегодня используют генераторы одноразовых паролей - физические механизмы, похожие на калькуляторы. Однако фишеры испытывают методы их обхода.
Потенциальные денежные мулы тоже должны знать о риске, которому они подвергаются.
Необходимо перекрыть возможности конверсии денег, нужны глобальные законы, регулирующие перевод денег - но быстрые изменения кажутся маловероятными.
Шнайер хочет, чтобы вся ответственность за кражу личных данных была возложена на финансовые учреждения. "Ответственность финансовых учреждений за убытки - это единственный способ. Компенсация убытков дешева в сравнении с затратами на изменение конструкций их систем, но все остальное неэффективно".
Мы в E-Secure-IT считаем, что единственное эффективное решение будет найдено через международное сотрудничество правоохранительных органов и национальные или корпоративные группы реагирования на компьютерные чрезвычайные ситуации.
Шагом к этому является некоммерческий Форум групп реагирования на инциденты и безопасности, который объединяет группы реагирования из 180 корпораций, государственных учреждений, университетов и других структур всего мира. Форум работает над тем, чтобы завершить свою сеть и привлечь сотрудников правоохранительных органов.
Но различия в подходах правоохранительных органов и групп реагирования, возможно, будет трудно примирить. Как говорит Мартин Ван дер Хайде из службы безопасности KPN-Netherlands: "Группы реагирования хотят решить все проблемы здесь и сейчас. Правоохранительные органы хотят собрать доказательства, выстроить обвинение и произвести арест.
Если есть бот-сеть, мы хотим ликвидировать ее немедленно; правоохранительные органы хотят сохранить ее на недели, чтобы выследить преступников".
Обратная связь: редакция / отдел рекламы
Подписка на новости (RSS)
Информация об ограничениях