Upload
expolink
View
165
Download
3
Embed Size (px)
DESCRIPTION
SafeTech (Д. Калемберг) - Интернет-банкинг: как сделать работу клиента безопасной
Citation preview
http://www.safe-tech.ru
Интернет-банкингКак сделать работу клиента безопасной
Денис Калемберг
Генеральный директор
#CODEIB
http://www.safe-tech.ru
О компании SafeTech (СэйфТек)
2
‒ Основана в 2010 году, как разработчиксредств безопасности для систем ДБО;
‒ Лицензиат ФСТЭК на разработку ипроизводство средств защитыконфиденциальной информации.;
‒ На сегодняшний день клиентамикомпании являются более 40-кароссийских банков, в том числе,входящих в список ТОП-30;
‒ В 2013 году в продуктовую линейкукомпании вошли новые решения как дляюридических, так и для физических лиц.
#CODEIB
http://www.safe-tech.ru
Атаки на клиентов систем ДБО. Текущая ситуация
‒ Начиная с 2011 года российскими хакерами сталаактивно применяться технология подменыплатежного документа – «автозалива», что привело крезкому росту процента успешных атак и обходу всехтрадиционных методов защиты ДБО (системы фрод-мониторинга, токены, одноразовые пароли и т.д.) *
* По данным компании Group IB
‒ Средний ущерб от одного инцидента
от 600 000 до 3 000 000 рублей
‒ По данным Центробанка, в 2013 году в системах ДБОроссийских банков было официально зарегистрировано
более 18 000 инцидентов хищений
#CODEIB
http://www.safe-tech.ru 4
‒ Незащищенность компьютеров от современных вирусов (антивирусное программное обеспечение не эффективно)
‒ Массовые заражения крупнейших легальных сайтов (обычно –бухгалтерских ресурсов) компьютерными вирусами
‒ Возможность удаленно управлять зараженным компьютером через Интернет
Посещениезараженных
сайтов
(бухгалтерские ресурсы, сайты банков, бизнес-новости и т.д.)
Заражениекомпьютера
Хищение средств с расчетного
счета
Почему хищения возможны?
#CODEIB
http://www.safe-tech.ru
Как хакер видит зараженных пользователей
5
Администрирование зараженных компьютеров
#CODEIB
http://www.safe-tech.ru
Как происходит атака
6
Вредоносное ПО
Данные
Подпись
Подпись подмененного документа
#CODEIB
http://www.safe-tech.ru
SafeTouch. Доверенный экран
‒ Защита от всех известных на сегодняшний день удаленных атак
– Визуальный контроль данных, передаваемых в смарт-карту
– Блокирование операции подписи до момента нажатия кнопкиподтверждения
‒ Работа со смарт-картами и USB-токенами, аппаратно реализующимикриптографические алгоритмы
‒ Работа без установки драйверов на современных операционных системах
‒ Кроссплатформенность (Windows, MAC OS, Linux)
7#CODEIB
http://www.safe-tech.ru
SafeTouch. Принципы работы
8
Схема с контролем использования SafeTouch без привязки к клиенту
010101
010101
Reader ID
Схема с привязкой к клиенту и криптографической аутентификацией SafeTouch (опциональная)
Квалифицированная ЭП
Квалифицированная ЭП
Неквалифицированная (технологическая) ЭП
#CODEIB
http://www.safe-tech.ru
SafeTouch. Безопасность
9
‒ Логика работы устройства закладывается только напроизводстве
‒ Невозможно повлиять на SafeTouch через подключение ккомпьютеру
‒ Возможность контроля, использовался ли SafeTouch впроцессе подписи документа или нет
‒ без привязки к клиенту или
‒ криптографическая аутентификации устройства, а такжепривязка к клиенту*
‒ Возможность интеграции с «белыми» списками насервере.
‒ Количество нажатий для подтверждения снижается в десяткираз.
* Данный режим работы является опциональным, так как требует внедрения исопровождения второй ключевой схемы
#CODEIB
http://www.safe-tech.ru
Успешные проекты
10
‒ 1 банк ТОП-10‒ 1 банк ТОП-20‒ 2 банка ТОП-30
‒ Банк «Возрождение»‒ Банк «Нейва»‒ Банк «Русь»‒ Банк «Кольцо Урала»‒ Экономбанк‒ Межтопэнергобанк‒ Независимый строительный банк‒ Военно-промышленный банк‒ Башкомснаббанк‒ Собинбанк‒ Чувашкредитпромбанк‒ Волжский социальный банк‒ Кредитимпэксбанк‒ банк «Снежинский»‒ Вита банк‒ Мосстройэкономбанк‒ Московский Индустриальный Банк
‒ Татфондбанк‒ Крайинвестбанк‒ Банк «Балтика»‒ Гута банк‒ БайкалИнвестБанк‒ Первый ДорТрансБанк‒ Банк «Кредит-Москва»‒ Банк «БТА-Казань»‒ Банк «Аверс»‒ Констансбанк‒ Банк «Развитие»‒ Банк «Таврический»‒ ПриоВнешторгбанк‒ Банк «Кузнецкий»‒ Банк «Рост»
и многие другие…
В процессе запуска
#CODEIB
http://www.safe-tech.ru
Одноразовые пароли
• SMS‒ негарантированная доставка
‒ задержки в доставке
‒ возможность перехвата на уровне канала связи или ввода в систему
‒ возможность перехвата на уровне оператора мобильной связи
‒ возможность переоформления сим-карты клиента на мошенника по
поддельной доверенности (и перехвата SMS)
‒ возможность направления клиенту SMS-сообщений с подменного номера
‒ цена
• Скретч-карты‒ требуют регулярных визитов клиента в банк
‒ в век мобильных технологий выглядят архаично
• Аппаратные генераторы одноразовых паролей‒ цена около 600 рублей
‒ необходимость иметь его под рукой
11
Безопасность в системах ДБО для физлиц
Нет привязки к реквизитам
Нет защиты от фишинга
#CODEIB
http://www.safe-tech.ru
Коды подтверждения транзакций (МАС)
• Аппаратные МАС-токены (криптокалькуляторы)‒ требуется вручную вводить реквизиты платежа
‒ стоимость от 700 рублей
• Оптические МАС-токены‒ автоматически считывают с экрана реквизиты платежа
‒ стоимость от 1500 руб. до 4500 руб. (целевая аудитория – VIP-клиенты)
12
Много клиентов
«Продвинутые» средства подтверждения
Склад и логистика
Расходы и риски
#CODEIB
http://www.safe-tech.ru 13
Мобильное приложение для iOS и Android-устройств
‒ Удобное считывание документа с экрана монитора при помощи QR-кода
‒ Визуальный контроль подписываемого документа любого формата на
отдельном устройстве (телефоне или планшете)
‒ Генерация кода подтверждения, «привязанного» к реквизитам платежа
‒ Телефон может находиться в «офлайне»
‒ Гарантированное уведомление клиента о совершаемой транзакции
PayControl. «Оптический токен» в смартфоне
#CODEIB
http://www.safe-tech.ru 15
PayControl. Преимущества для клиента
Не нужно ждать SMS Гарантированная работа в роуминге
Действительно безопаснее и удобнее
Выше лимиты по операциям
#CODEIB
http://www.safe-tech.ru
Снижение убытков от кибер-мошенничества
‒ Уменьшение количества инцидентов краж со счетов клиентов
‒ Выполнение требований ФЗ-161 в части гарантированного уведомления
пользователей о совершаемых транзакциях (защита от «дружественного
фрода»)
Быстрая монетизация проекта
‒ Повышение лимитов на совершаемые клиентами операции увеличивает
комиссионный доход банка
‒ Стоимость старта проекта – $5,000. Клиентские лицензии приобретаются по
принципу пост-оплаты, уже после подключения пользователей
‒ Клиенты готовы платить за «продвинутый» сервис безопасности 30-40
рублей в месяц, что позволяет банку получать значительную прибыль
16
PayControl. Преимущества для банка
#CODEIB