Как правило, целью атак является конфиденциальная информация, предназначенная для подтверждения денежного перевода. При этом больше половины инцидентов связаны с воровством информации с незащищенных носителей. Однако авторы специализированных вредоносных программ активно атакуют и системы с использованием аппаратных устройств аутентификации.
PINPad позволяет клиенту ДБО проверить реквизиты платежа и подписать их электронной подписью |
Наиболее популярная атака на аппаратные средства аутентификации направлена на подмену платежного поручения в момент его подписания клиентом банка, то есть клиенту на экране компьютера показываются введенные им реквизиты платежа, а на подпись в устройство и затем в банк троянец отсылает совсем другое поручение — персональный компьютер клиента уже нельзя считать доверенной средой, которая гарантирует неизменность поручения.
Поэтому возникла необходимость в создании дополнительной доверенной среды для заверения банковских транзакций на стороне клиента. Причем эта среда должна предоставлять возможность визуальной проверки реквизитов, изменить которые в дальнейшем будет уже нельзя. Для этого производители выпустили целый класс новых устройств, подключающихся к компьютеру и дающих пользователю возможность безопасно вводить данные в систему ДБО, не боясь, что они будут перехвачены троянской программой.
Наиболее простым из них является дополнительная клавиатура с шифрованием и привязкой к идентификационному номеру устройства, которую предложила компания СОГАЗ. Данная клавиатура подключается по USB, но всю информацию о нажатых клавишах шифрует и помечает своим идентификационным номером. Если клиент принимает реквизиты только от этой клавиатуры, то вмешиваться в его работу становится сложнее.
Также на выставке были представлены два устройства разных производителей, которые позволяют на небольшом экранчике проверить правильность введенных реквизитов платежа и сгенерировать для них электронную подпись. Компания «Актив» показала PINPad, специализированное устройство с экраном, на котором можно посмотреть номер счета и сумму перевода, и разъемом для подключения USB-ключа «руТокен», где и генерируется подпись. Аналогичное устройство продемонстрировала и компания SafeTech. Оно представляет собой считыватель для смарт-карт SafeTouch, который снабжен небольшим экранчиком для проверки реквизитов. В этом случае цифровая подпись генерируется на смарт-карте, в роли которой может выступать eToken Java, выпускаемый компанией «Аладдин Р.Д.» в формфакторе смарт-карты.
Следует отметить, что эти устройства проверки реквизитов требуют установки на компьютер пользователя специального программного обеспечения и драйверов. Использовать эти технологии для оплаты из интернет-кафе или с помощью терминала невозможно. Компания Agses показала посетителям выставки устройство, которое считывает с экрана реквизиты платежа, показывает их на своем экране и генерирует одноразовый пароль по ним. Кроме того, устройство имеет встроенный биометрический сканер, который позволяет программному комплексу ДБО надежно аутентифицировать клиента. Для использования этого устройства не требуется установка драйверов — работать с ним можно через любой сайт или даже терминал. Основным рынком для этого устройства является интернет-банкинг и мобильная оплата, однако и в ДБО можно применять такое же решение.