Авторизация У нас бесплатно модули и шаблоны DLE скачать Веб-шаблоны премиум класса бесплатно
 

Кража через SWIFT в российском банке


Дочерний банк ВЭБа – «Глобэкс» – подвергся хакерской атаке с последующим выводом средств через международную систему платежей SWIFT. Об этом со ссылкой на источники сообщили «Ведомости» и «Коммерсантъ». Как уточняют «Ведомости», из банка украли эквивалентную 1 млн долларов сумму.

Как отмечает «Коммерсантъ», в «Россвифте» пока не уверены, смогли хакеры проникнуть в инфраструктуру SWIFT или взломали автоматизированную банковскую систему. Там указывали, что банки РФ могут подвергнуться кибератакам, так как здесь, в отличие от всего мира, SWIFT работает через посредника, компанию Alliance Factors. 

Ранее СМИ уже сообщали о возможной атаке на российский банк через SWIFT. Она могла произойти 15 декабря, до этого банк-жертва прошел проверку ЦБ, и к системе безопасности организации у регулятора возникли претензии. 

Как сообщили в SWIFT, доказательств, что имел место несанкционированный доступ, нет. А значит, что вероятнее всего, был получен контроль над учетной записью оператора SWIFT. История уже знает несколько подобных случаев с банками из разных стран, в том числе нашумевший случай с ЦБ Бангладеш, где хакерам удалось украсть информацию, необходимую для авторизации при проведении транзакций. Тогда успели украсть $81 млн, а всего пытались вывести денег общей суммой в $951 млн. Аналогичная атака была предпринята в конце 2015 года на вьетнамский банк Tien Phon Bank, но тогда банк вовремя заблокировал операции на $1 млн. А в начале 2015 года было украден $9 млн из эквадорского Banco del Austro. Летом 2016 года было похищено $10 млн уже у украинского банка. Каждый раз злоумышленникам удается получить доступ к системе SWIFT обойдя защитные барьеры, реализованные в банках. 

После наиболее крупного хищения, произошедшего как раз в ЦБ Бангладеш, наметился достаточно устойчивый курс компании SWIFT на повышение безопасности доступа к сетям SWIFT и ее службам обмена сообщениями. Почти сразу одним из требований к дальнейшей сертификации, позволяющей использовать SWIFT, стало требование двухфакторной аутентификации. Эта мера должна останавливать злоумышленников, которым удалось перехватить пароль оператора. Причем банкам на первых порах достаточно было отчитаться, что они взялись реализовывать двухфакторную аутентификацию. Некоторые участники, чья активная сертификация истекала нескоро, вообще решили отложить какие-либо действия.
Тем временем SWIFT в 2017 году была разработана программа информационной безопасности клиентов (Customer Security Programme) и были задокументированны организационные и технические рекомендации по информационной безопасности. Среди мер по безопасности такие, как защита физического доступа, разделение полномочий, регулярные обновления, ограничение доступа и, конечно, защита учетных записей. Теперь финансовые организации должны провести сначала самоаттестацию, а позже, надеюсь, и внешний аудит на предмет соответствия новым требованиям.

Уже около года в SWIFT доступна собственная реализация двухфакторной аутентификации по одноразовым кодам. В качестве основы был взят открытый стандарт OATH TOTP, то есть одноразовые коды существуют в своем временном окне. Секретный seed отображается на мониторе оператора при регистрации в виде QR кода по аналогии с Google Authenticator. Кстати использовать в качестве генератора можно любое мобильное приложение, поддерживающее стандарт TOTP, в том числе тот же Google Authenticator. Мое мнение — замечательно, что SWIFT предлагает такое базовое решение. Но в их реализации есть и подводные камни. Для начала сам QR код, который содержит в себе основной секрет передается на ПК оператора и отображается на экране, а значит, может быть перехвачен или подсмотрен. Но большей проблемой является то, что сервера SWIFT обычно (и это тоже рекомендация) изолированы от локальной сети и просто не имеют доступа к NTP-серверам — источникам точного времени, так нужным для корректной работы TOTP. В итоге рассинхронизация токенов может произойти в самый непредсказуемый момент. Некоторые службы информационной безопасности, например, предпочитают использовать аппаратные генераторы одноразовых паролей, а не не смартфоны. Такое требование несовместимо с тем, что предлагает SWIFT. Есть в решении, предлагаемом SWIFT и другие недостатки, из-за которых некоторые финансовые организации выбирают стороннее решение, но, повторюсь, это все же лучше, чем ничего. В любом случае все описанное говорит о попытках SWIFT противостоять существующим угрозам, а не зарывать голову в песок. 
Оставить комментарий