Олексій Комаров
експерт з інформаційної безпеки
Нові методи протидії
Як правило, в договорах, що укладаються з користувачами платіжних систем або клієнтами банків, вся відповідальність за недбалість у діях покладається на самих користувачів. Спроба таким чином убезпечити себе юридично вже призводить до відповідних дій клієнтів. Чи не рідкістю стають судові процеси, в яких адвокати доводять, що при існуючій системі аутентифікації забезпечити збереження даних клієнт був не в змозі, про що в момент укладення договору співробітники банку не могли не знати, а значить, і покладання відповідальності було неправомочним. З іншого боку, втрата грошей користувачами, нехай навіть зі своєї вини, в будь-якому випадку негативно позначається на репутації банку в їхніх очах, а при масових втратах і в очах ще не постраждалих клієнтів.
Розглянемо методи боротьби з фішинговими атаками, які вважаються найбільш ефективними на сьогоднішній день.
Пропаганда культури поведінки
Як ми вже з'ясували, найслабша ланка в сучасних системах захисту взагалі і від фішингових атак зокрема - людина. Саме тому основна увага компанії, стурбованої потенційними фінансовими втратами, варто звернути на пропаганду основ інформаційної безпеки серед своїх співробітників і клієнтів.
Наведемо деякі правила, розповідями про які варто приділити трохи більше уваги, ніж прийнято (зазвичай вони просто згадуються на передостанній сторінці багатосторінкового договору на обслуговування):
Можливо, комусь цей список здасться елементарним, але якщо говорити про користувачів в цілому, то загальноприйняте виконання навіть таких простих правил здатне істотно зменшити доходи фішерів, потенційно зробивши цей бізнес менш рентабельним, а значить, менш привабливим. Правила дорожнього руху теж не можна назвати надскладними, але їх знання і виконання щорічно рятує чимало життів.
Зрозуміло, що в масштабах держави пропаганда правил комп'ютерної безпеки не є настільки високопріоритетних завданням, і тому основна надія тут на керівників організацій. Адже саме їх бізнесу і їхнім грошам безпосередньо через співробітників або опосередковано через клієнтів загрожують фішери.
Протидія фішингу в корпоративному середовищі
Основним пріоритетом при побудові захисту від фішингу в рамках компанії варто зробити мінімізацію залежності від людського фактора. Тому найбільш перспективними представляються шлюзові рішення, які на відміну від персональних продуктів не тільки знижують навантаження на робочі станції і спрощують адміністрування, а й дозволяють закрити всю комп'ютерну мережу організації єдиним надійним "парасолькою".
Сучасні ефективні шлюзові рішення борються з фішерських атаками на чотирьох рівнях:
Мабуть, єдиним слабким місцем таких систем може виявитися неможливість захисту мобільних співробітників, що працюють віддалено по відкритих каналах зв'язку. Для вирішення даної проблеми в якості одного з варіантів можна запропонувати проксірова-ня, тобто вихід в Інтернет з ноутбуків компанії тільки через головний офіс. Таке ж рішення для спрощення адміністрування та зниження фінансових витрат можна запропонувати і для філій. Варто відзначити, що провідні гравці цього сегмента ринку готові допомогти своїм клієнтам самим відчути себе в ролі таких філій, пропонуючи не купувати і супроводжувати їх продукти, а орендувати для фільтрації поштового і веб-трафіку обчислювальні потужності самого виробника.
Протидія фішингу як конкурентна перевага
Крім турботи про власну конфіденційної інформації та захисту співробітників в філіях і офісах багато компаній піклуються і про своїх клієнтів. Ділова репутація часом коштує дорожче, ніж витрати на побудову дійсно безпечної системи по аутентифікації користувачів.
Вже розглянутий раніше протокол SSL має можливість проводити двосторонню аутентифікацію, коли перевіряється валідність не тільки сервера, але і самого користувача. Для цього клієнтам, наприклад, банку необхідно отримати цифровий сертифікат. Зробити це можна, як правило, при укладанні договору на обслуговування або пізніше в будь-який час.
Відмова від паролів при доступі користувачів до рахунків серйозно ускладнює життя фішерами. Використання цифрових сертифікатів на стороні сервера і клієнта знімає проблему атаки "людина посередині" і робить прослуховування та перехоплення трафіку марними.
Основою безпеки при використанні цифрових сертифікатів є збереження закритого ключа. Організація має набагато більше, ніж пересічний користувач, фінансових і технічних можливостей по надійному захисті закритого ключа, використовуваного для аутентифікації її веб-сайту. Зберігання клієнтом свого закритого ключа в реєстрі операційної системи або на жорсткому диску не є безпечним. У разі зараження комп'ютера користувача ці дані легко можуть бути викрадені шкідливим програмним забезпеченням, і захист закритого ключа паролем нічого очікувати бути надійною гарантією збереження грошових коштів користувача. Застосовувані на практиці паролі рідко перевищують 8 символів і часто, якщо і не є осмисленим словом, то складаються тільки з великих літер латинського алфавіту.
Надійним способом зберігання закритих ключів користувача на сьогоднішній день є використання криптографічних токенов. На відміну від інших зовнішніх носіїв (наприклад, тих же USB-флеш) при використанні токенов немає необхідності в копіюванні секретної інформації в оперативну пам'ять комп'ютера при проведенні операції аутентифікації, так як подібні пристрої не тільки надійно зберігають закриті ключі, але і апаратно виконують необхідні криптографічні обчислення. При цьому важливо, що скористатися токеном може тільки його власник, знає пароль від нього (PIN-код).
Багато банків вже сьогодні пропонують своїм клієнтам можливість аутентифікації не тільки за одноразовими паролями, але і з використанням цифрових сертифікатів. Поки використання апаратних криптографічних токенов для підвищення безпеки зберігання закритих ключів не набуло широкого поширення. Проте банків, які вдаються до цього методу, стає з кожним роком все більше, адже цей механізм на сьогодні є одним з найнадійніших для аутентифікації при здійсненні онлайн-транзакцій.