http://www.safe-tech.ru

Интернет-банкингКак сделать работу клиента безопасной

Денис Калемберг

Генеральный директор

#CODEIB

http://www.safe-tech.ru

О компании SafeTech (СэйфТек)

2

‒ Основана в 2010 году, как разработчик средств безопасности для систем ДБО;

‒ Лицензиат ФСТЭК на разработку и производство средств защиты конфиденциальной информации.;

‒ На сегодняшний день клиентами компании являются более 50-ти российских банков, в том числе, входящих в список ТОП-30;

‒ В 2013 году в продуктовую линейку компании вошли новые решения как для юридических, так и для физических лиц.

#CODEIB

http://www.safe-tech.ru

Атаки на клиентов систем ДБО. Текущая ситуация

‒ Начиная с 2011 года российскими хакерами стала активно применяться технология подмены платежного документа – «автозалива», что привело к резкому росту процента успешных атак и обходу всех традиционных методов защиты ДБО (системы фрод-мониторинга, токены, одноразовые пароли и т.д.) *

* По данным компании Group IB

‒ Средний ущерб от одного инцидента от 600 000 до 3 000 000 рублей

‒ По данным Центробанка, в 2014 году в системах ДБО российских банков было официально зарегистрировано более 22,000 инцидентов хищений

#CODEIB

http://www.safe-tech.ru 4

‒ Незащищенность компьютеров от современных вирусов (антивирусное программное обеспечение не эффективно)

‒ Массовые заражения крупнейших легальных сайтов (обычно – бухгалтерских ресурсов) компьютерными вирусами

‒ Возможность удаленно управлять зараженным компьютером через Интернет

Почему хищения возможны?

#CODEIB

http://www.safe-tech.ru

Как хакер видит зараженных пользователей

5

Администрирование зараженных компьютеров

#CODEIB

http://www.safe-tech.ru

Как происходит атака

6

Вредоносное ПО

Данные

Подпись

Подпись подмененного документа

#CODEIB

http://www.safe-tech.ru

SafeTouch. Доверенный экран

‒ Защита от всех известных на сегодняшний день удаленных атак– Визуальный контроль данных, передаваемых в смарт-карту– Блокирование операции подписи до момента нажатия кнопки

подтверждения‒ Работа со смарт-картами и USB-токенами, аппаратно реализующими

криптографические алгоритмы‒ Работа без установки драйверов на современных операционных системах‒ Кроссплатформенность (Windows, MAC OS, Linux)

7#CODEIB

http://www.safe-tech.ru

SafeTouch. Принципы работы

8

Схема с контролем использования SafeTouch без привязки к клиенту

010101

010101

Reader ID

Схема с привязкой к клиенту и криптографической аутентификацией SafeTouch (опциональная)

Квалифицированная ЭП

Квалифицированная ЭП

Неквалифицированная (технологическая) ЭП

#CODEIB

http://www.safe-tech.ru

SafeTouch. Безопасность

9

‒ Логика работы устройства закладывается только на производстве ‒ Невозможно повлиять на SafeTouch через подключение к

компьютеру

‒ Возможность контроля, использовался ли SafeTouch в процессе подписи документа или нет‒ без привязки к клиенту или

‒ криптографическая аутентификации устройства, а также привязка к клиенту*

‒ Возможность интеграции с «белыми» списками на сервере.‒ Количество нажатий для подтверждения снижается в десятки

раз.

* Данный режим работы является опциональным, так как требует внедрения и сопровождения второй ключевой схемы

#CODEIB

http://www.safe-tech.ru

Успешные проекты

10

‒ 1 банк ТОП-10‒ 1 банк ТОП-20‒ 2 банка ТОП-30

В процессе запуска

#CODEIB

http://www.safe-tech.ru

Одноразовые пароли

•SMS‒негарантированная доставка‒задержки в доставке‒возможность перехвата на уровне канала связи или ввода в систему‒возможность перехвата на уровне оператора мобильной связи‒возможность переоформления сим-карты клиента на мошенника по поддельной доверенности (и перехвата SMS)‒возможность направления клиенту SMS-сообщений с подменного номера‒цена

•Скретч-карты‒требуют регулярных визитов клиента в банк‒в век мобильных технологий выглядят архаично

•Аппаратные генераторы одноразовых паролей‒цена около 600 рублей‒необходимость иметь его под рукой

11

Безопасность в системах ДБО для физлиц

Нет привязки к реквизитам

Нет защиты от фишинга

#CODEIB

http://www.safe-tech.ru

Коды подтверждения транзакций (МАС)

•Аппаратные МАС-токены (криптокалькуляторы)‒требуется вручную вводить реквизиты платежа‒стоимость от 700 рублей

•Оптические МАС-токены‒автоматически считывают с экрана реквизиты платежа‒стоимость от 1500 руб. до 4500 руб. (целевая аудитория – VIP-клиенты)

12

Много клиентов

«Продвинутые» средства подтверждения

Склад и логистика

Расходы и риски

#CODEIB

http://www.safe-tech.ru 13

Мобильное приложение для iOS и Android-устройств

‒ Удобное считывание документа с экрана монитора при помощи QR-кода

‒ Визуальный контроль подписываемого документа любого формата на отдельном устройстве (телефоне или планшете)

‒ Генерация кода подтверждения, «привязанного» к реквизитам платежа

‒ Телефон может находиться в «офлайне»

‒ Гарантированное уведомление клиента о совершаемой транзакции

PayControl. «Оптический токен» в смартфоне

#CODEIB

http://www.safe-tech.ru 14

PayControl. Работа пользователя

#CODEIB

http://www.safe-tech.ru 15

PayControl. Преимущества для клиента

Не нужно ждать SMS Гарантированная работа в роуминге

Действительно безопаснее и удобнее

Выше лимиты по операциям

#CODEIB

http://www.safe-tech.ru

Снижение убытков от кибер-мошенничества

‒ Уменьшение количества инцидентов краж со счетов клиентов

‒ Выполнение требований ФЗ-161 в части гарантированного уведомления пользователей о совершаемых транзакциях (защита от «дружественного фрода»)

Быстрая монетизация проекта

‒ Повышение лимитов на совершаемые клиентами операции увеличивает комиссионный доход банка

‒ Стоимость старта проекта – $5,000. Клиентские лицензии приобретаются по принципу пост-оплаты, уже после подключения пользователей

‒ Клиенты готовы платить за «продвинутый» сервис безопасности 30-40 рублей в месяц, что позволяет банку получать значительную прибыль

16

PayControl. Преимущества для банка

#CODEIB

http://www.safe-tech.ru

Спасибо за внимание

Вопросы?

Денис Калемберг

d.kalemberg@safe-tech.ru

17#CODEIB