Хищения денежных средств с расчетных счетов корпоративных клиентов

Уважаемые клиенты! Внимание!

За последние несколько месяцев в ряде российских банков были выявлены попытки хищения денежных средств с расчетных счетов корпоративных клиентов путем совершения платежей с использованием системы электронного банкинга «iBank 2».

О сложившейся ситуации

Анализ выявленных ситуаций показал, что хищения денежных средств с расчетных счетов осуществляются:

ответственными сотрудниками предприятия, имевшими доступ к секретным ключам ЭЦП для системы электронного банкинга «iBank 2», в том числе работающими или уволенными директорами, бухгалтерами и их заместителями; штатными ИТ-сотрудниками организаций, имевшими доступ к носителям с секретными ключами ЭЦП (дискеты, флеш-диски, жесткие диски и пр.), а также доступ к компьютерам, с которых осуществлялась работа по системе электронного банкинга «iBank 2»; нештатными, приходящими по вызову, ИТ-специалистами, выполняющими профилактику и подключение к Интернет, установку и обновление бухгалтерских и справочных программ, установку и настройку другого программного обеспечения на компьютеры, с которых осуществляется работа по системе электронного банкинга «iBank 2»; злоумышленниками путем заражения компьютеров клиентов через уязвимости системного и прикладного ПО (операционные системы, Web-браузеры, почтовые клиенты и пр.) с последующим дистанционным похищением секретных ключей ЭЦП и паролей.

Во всех выявленных случаях злоумышленники тем или иным образом получали доступ к секретным ключам ЭЦП и паролям и направляли в банк платежные поручения с корректной электронной цифровой подписью.

Успешно прошедшие проверку ЭЦП, но при этом подозрительные, абсолютно не свойственные конкретному клиенту платежные поручения в большинстве случаев пресекались банковскими сотрудниками на этапе принятия решения об исполнении документов.

В то же время часть платежей, направленных злоумышленниками с использованием действующих секретных ключей ЭЦП клиента, не вызывала подозрений у банка. Такие документы имели корректную ЭЦП, вполне обычные реквизиты получателей и типовое назначение платежа. Их исполнение банком приводило к хищению денежных средств с расчетного счета клиента. При этом вся ответственность за убытки безусловно и полностью возлагалась на клиента как единственного владельца секретных ключей ЭЦП.

О мерах по пресечению хищения и использования секретных ключей ЭЦП

Важно понимать, что Банк не имеет доступа к Вашим секретным ключам ЭЦП и не может от Вашего имени сформировать корректную ЭЦП под электронным платежным поручением.

Вся ответственность за конфиденциальность Ваших секретных ключей ЭЦП полностью лежит на Вас, как единственных владельцах секретных ключей ЭЦП.

Банк информирует Вас, что не осуществляет рассылку электронных писем с просьбой прислать секретный ключ ЭЦП или пароль. Банк не рассылает по электронной почте программы для установки на Ваши компьютеры.

Если Вы сомневаетесь в конфиденциальности своих секретных ключей ЭЦП или есть подозрение в их компрометации (копировании), Вы должны заблокировать свои ключи ЭЦП.

Внимание! Изменение пароля доступа к секретному ключу ЭЦП не защищает от использования злоумышленником ранее похищенного ключа.

Банк настоящим еще раз информирует Вас о необходимости строгого соблюдения правил информационной безопасности, правил хранения и использования секретных ключей ЭЦП и о необходимости ограничения доступа к персональным компьютерам, с которых осуществляется работа по системе электронного банкинга «iBank 2».

Действия злоумышленников направлены:

на похищение файла с секретным ключом ЭЦП; на похищение пароля доступа к ключу;

§  на передачу в банк электронных платежных документов, заверенных похищенным ключом ЭЦП.

Чтобы воспрепятствовать хищению и использованию Вашего секретного ключа ЭЦП злоумышленниками, требуется придерживаться приведенных ниже правил и рекомендаций.

Чтобы предотвратить хищение секретного ключа ЭЦП и пароля доступа к ключу, необходимо:

1. Использовать для хранения файлов с секретными ключами ЭЦП отчуждаемые носители: дискеты, флеш-диски, специализированные устройства – USB‑токены «iBank 2 Key» (см. ниже).

2. Отключать, извлекать носители с ключами ЭЦП, если они не используются для работы с iBank 2.

3. Ограничить доступ к компьютерам, используемым для работы с iBank 2. Исключить доступ к компьютерам персонала, не имеющего отношения к работе с iBank 2.

4. На компьютерах, используемых для работы с iBank 2, исключить посещение Интернет‑сайтов сомнительного содержания, загрузку и установку нелицензионного ПО и т. п.

5. Перейти к использованию лицензионного ПО (операционные системы, офисные пакеты и пр.), обеспечить автоматическое обновление системного и прикладного ПО.

6. Применять на рабочем месте лицензионные средства антивирусной защиты, обеспечить возможность автоматического обновления антивирусных баз.

7. Применять на рабочем месте специализированные программные средства безопасности: персональные файрволы, антишпионское программное обеспечение и т. п.

8. Исключить обслуживание компьютеров, используемых для работы с iBank 2,
нелояльными ИТ-сотрудниками.

9. При обслуживании компьютера ИТ-сотрудниками – обеспечивать контроль за выполняемыми ими действиями.

10. Никогда не передавать ключи ЭЦП ИТ-сотрудникам для проверки работы iBank 2, проверки настроек взаимодействия с банком и т. п. При необходимости таких проверок только лично владелец ключа ЭЦП должен подключить носитель к компьютеру, убедиться, что пароль доступа к ключу вводится в интерфейс клиентского АРМа «iBank 2», и лично ввести пароль, исключая его подсматривание.

11. При увольнении ответственного сотрудника, имевшего доступ к секретному ключу ЭЦП, обязательно позвонить в банк и заблокировать ключ ЭЦП.

12. При увольнении сотрудника, имевшего технический доступ к секретному ключу ЭЦП, обязательно позвонить в банк и заблокировать ключ ЭЦП.

13. При увольнении ИТ-специалиста, осуществлявшего обслуживание компьютеров, используемых для работы с iBank 2, принять меры для обеспечения отсутствия вредоносных программ на компьютерах.

14. При возникновении любых подозрений на компрометацию (копирование) секретных ключей ЭЦП или компрометацию среды исполнения (наличие в компьютере вредоносных программ) – обязательно позвонить в банк и заблокировать ключи ЭЦП.

15. Если Вы заметили проявление необычного поведения ПО «iBank 2» или какие-то изменения в интерфейсе программы – позвонить в банк и выяснить, не связаны ли такие изменения с обновлением версии ПО. Если нет – заблокировать ключи ЭЦП.

Чтобы пресечь использование ключей ЭЦП злоумышленниками, необходимо:

1. Использовать сервис «SMS‑Банкинг». Сервис «SMS-Банкинг» системы «iBank 2» позволяет Вам настроить автоматическое оповещение о входе в систему с ключом ЭЦП, закрепленным за Вашей организацией.

При входе в систему Вам будет направлено SMS-уведомление. Если Вы получили такое уведомление, но Вы или Ваши сотрудники не совершали вход в систему – необходимо срочно связаться с банком и заблокировать ключи ЭЦП.

Управление настройками SMS-Банкинга осуществляется из раздела «Мониторинг» стандартных клиентских АРМ «Internet-Банкинг» (онлайн) и «PC-Банкинг» (офлайн).

2. Исключить возможность использования Ваших ключей ЭЦП на рабочих местах вне вашего офиса. Для этого необходимо обратиться в Банк с просьбой разрешить работу с системой «iBank 2» только с указанных Вами IP-адресов и IP-сетей. В список разрешенных Вы можете включить неограниченное количество IP-адресов и IP-сетей, чтобы обеспечить нормальную работу всех своих филиалов, площадок и пр.

Попытки доступа с неразрешенного IP-адреса будут блокированы системой и расследованы службой безопасности банка.

О переходе к принципиально новому уровню безопасности

Сложившаяся ситуация требует не только соблюдения традиционных мер безопасности, перечисленных выше, но и перехода на качественно новый уровень защищенности. Чтобы полностью исключить угрозу несанкционированного доступа в систему электронного банкинга, компания-разработчик внедряет в iBank 2 принципиально новые решения.

1. Переход к использованию аппаратных криптопровайдеров – USB-токенов «iBank 2 Key» для абсолютного исключения хищения секретных ключей ЭЦП. При использовании «iBank 2 Key» секретный ключ ЭЦП генерируется внутри USB-токена и никогда его не покидает. USB-токен принимает на вход подписываемый документ и возвращает на выходе ЭЦП для этого документа. Секретный ключ ЭЦП никогда и никем не может быть считан из USB-токена. Формирование ЭЦП по ГОСТ Р34.10-2001 осуществляется непосредственно внутри USB-токена.

USB-токен «iBank 2 Key» использует в своем составе криптобиблиотеку, сертифицированную ФСБ РФ, сертификат соответствия ФСБ РФ рег. № СФ/.

2. Использование OTP-токенов и MAC-токенов для усиления защиты от несанкционированного доступа в систему и предотвращения направления от Вашего имени электронных платежных документов.

В настоящее время ведутся работы по встраиванию в систему электронного банкинга «iBank 2» поддержки OTP-токенов (генераторов одноразовых паролей) и MAC-токенов (генераторов аналогов собственноручной подписи).

Одноразовый пароль является криптографической функцией от секретного ключа OTP-токена и текущего момента времени (по внутренним часам токена).

Формируемый MAC-токеном аналог собственноручной подписи (MAC – Message Authentication Code) является криптографической функцией от секретного ключа MAC-токена и полей заверяемого документа.

Секретный ключ аппаратно генерируется токеном при его инициализации. Токены представляют собой автономные устройства, никак не взаимодействующие с Вашим компьютером. Это делает принципиально невозможным похищение секретного ключа токена.

Повышение безопасности работы в системе «iBank 2» с помощью OTP-токенов и MAC-токенов достигается за счет:

·  ввода одноразового пароля, сгенерированного OTP-токеном, при входе в систему «iBank 2» в дополнение к применению ключа ЭЦП;

·  ввода одноразового пароля, сгенерированного OTP-токеном, в дополнение к подписанию документа ключом ЭЦП;

·  ввода аналога собственноручной подписи, вычисленного MAC-токеном на основании значимых полей документа (сумма, счет получателя), в дополнение к подписанию документа ключом ЭЦП.

Использование дополнительной защиты, обеспечиваемой применением OTP-токенов и MAC-токенов, позволяет исключить использование ключа ЭЦП злоумышленником, даже если секретный ключ ЭЦП был похищен.

Для получения дополнительной информации обращайтесь в банковскую службу поддержки пользователей системы «iBank 2» по телефону (495)787‑72‑27.