SafeTech (Д. Калемберг) - Интернет-банкинг: как сделать работу клиента безопасной

http://www.safe-tech.ru

Интернет-банкингКак сделать работу клиента безопасной

Денис Калемберг

Генеральный директор

#CODEIB


О компании SafeTech (СэйфТек)

2

‒ Основана в 2010 году, как разработчиксредств безопасности для систем ДБО;

‒ Лицензиат ФСТЭК на разработку ипроизводство средств защитыконфиденциальной информации.;

‒ На сегодняшний день клиентамикомпании являются более 40-кароссийских банков, в том числе,входящих в список ТОП-30;

‒ В 2013 году в продуктовую линейкукомпании вошли новые решения как дляюридических, так и для физических лиц.

#CODEIB


Атаки на клиентов систем ДБО. Текущая ситуация

‒ Начиная с 2011 года российскими хакерами сталаактивно применяться технология подменыплатежного документа – «автозалива», что привело крезкому росту процента успешных атак и обходу всехтрадиционных методов защиты ДБО (системы фрод-мониторинга, токены, одноразовые пароли и т.д.) *

* По данным компании Group IB

‒ Средний ущерб от одного инцидента

от 600 000 до 3 000 000 рублей

‒ По данным Центробанка, в 2013 году в системах ДБОроссийских банков было официально зарегистрировано

более 18 000 инцидентов хищений

#CODEIB

http://www.safe-tech.ru 4

‒ Незащищенность компьютеров от современных вирусов (антивирусное программное обеспечение не эффективно)

‒ Массовые заражения крупнейших легальных сайтов (обычно –бухгалтерских ресурсов) компьютерными вирусами

‒ Возможность удаленно управлять зараженным компьютером через Интернет

Посещениезараженных

сайтов

(бухгалтерские ресурсы, сайты банков, бизнес-новости и т.д.)

Заражениекомпьютера

Хищение средств с расчетного

счета

Почему хищения возможны?

#CODEIB


Как хакер видит зараженных пользователей

5

Администрирование зараженных компьютеров

#CODEIB


Как происходит атака

6

Вредоносное ПО

Данные

Подпись

Подпись подмененного документа

#CODEIB


SafeTouch. Доверенный экран

‒ Защита от всех известных на сегодняшний день удаленных атак

– Визуальный контроль данных, передаваемых в смарт-карту

– Блокирование операции подписи до момента нажатия кнопкиподтверждения

‒ Работа со смарт-картами и USB-токенами, аппаратно реализующимикриптографические алгоритмы

‒ Работа без установки драйверов на современных операционных системах

‒ Кроссплатформенность (Windows, MAC OS, Linux)

7#CODEIB


SafeTouch. Принципы работы

8

Схема с контролем использования SafeTouch без привязки к клиенту

010101

010101

Reader ID

Схема с привязкой к клиенту и криптографической аутентификацией SafeTouch (опциональная)

Квалифицированная ЭП

Квалифицированная ЭП

Неквалифицированная (технологическая) ЭП

#CODEIB


SafeTouch. Безопасность

9

‒ Логика работы устройства закладывается только напроизводстве

‒ Невозможно повлиять на SafeTouch через подключение ккомпьютеру

‒ Возможность контроля, использовался ли SafeTouch впроцессе подписи документа или нет

‒ без привязки к клиенту или

‒ криптографическая аутентификации устройства, а такжепривязка к клиенту*

‒ Возможность интеграции с «белыми» списками насервере.

‒ Количество нажатий для подтверждения снижается в десяткираз.

* Данный режим работы является опциональным, так как требует внедрения исопровождения второй ключевой схемы

#CODEIB


Успешные проекты

10

‒ 1 банк ТОП-10‒ 1 банк ТОП-20‒ 2 банка ТОП-30

‒ Банк «Возрождение»‒ Банк «Нейва»‒ Банк «Русь»‒ Банк «Кольцо Урала»‒ Экономбанк‒ Межтопэнергобанк‒ Независимый строительный банк‒ Военно-промышленный банк‒ Башкомснаббанк‒ Собинбанк‒ Чувашкредитпромбанк‒ Волжский социальный банк‒ Кредитимпэксбанк‒ банк «Снежинский»‒ Вита банк‒ Мосстройэкономбанк‒ Московский Индустриальный Банк

‒ Татфондбанк‒ Крайинвестбанк‒ Банк «Балтика»‒ Гута банк‒ БайкалИнвестБанк‒ Первый ДорТрансБанк‒ Банк «Кредит-Москва»‒ Банк «БТА-Казань»‒ Банк «Аверс»‒ Констансбанк‒ Банк «Развитие»‒ Банк «Таврический»‒ ПриоВнешторгбанк‒ Банк «Кузнецкий»‒ Банк «Рост»

и многие другие…

В процессе запуска

#CODEIB


Одноразовые пароли

• SMS‒ негарантированная доставка

‒ задержки в доставке

‒ возможность перехвата на уровне канала связи или ввода в систему

‒ возможность перехвата на уровне оператора мобильной связи

‒ возможность переоформления сим-карты клиента на мошенника по

поддельной доверенности (и перехвата SMS)

‒ возможность направления клиенту SMS-сообщений с подменного номера

‒ цена

• Скретч-карты‒ требуют регулярных визитов клиента в банк

‒ в век мобильных технологий выглядят архаично

• Аппаратные генераторы одноразовых паролей‒ цена около 600 рублей

‒ необходимость иметь его под рукой

11

Безопасность в системах ДБО для физлиц

Нет привязки к реквизитам

Нет защиты от фишинга

#CODEIB


Коды подтверждения транзакций (МАС)

• Аппаратные МАС-токены (криптокалькуляторы)‒ требуется вручную вводить реквизиты платежа

‒ стоимость от 700 рублей

• Оптические МАС-токены‒ автоматически считывают с экрана реквизиты платежа

‒ стоимость от 1500 руб. до 4500 руб. (целевая аудитория – VIP-клиенты)

12

Много клиентов

«Продвинутые» средства подтверждения

Склад и логистика

Расходы и риски

#CODEIB


Мобильное приложение для iOS и Android-устройств

‒ Удобное считывание документа с экрана монитора при помощи QR-кода

‒ Визуальный контроль подписываемого документа любого формата на

отдельном устройстве (телефоне или планшете)

‒ Генерация кода подтверждения, «привязанного» к реквизитам платежа

‒ Телефон может находиться в «офлайне»

‒ Гарантированное уведомление клиента о совершаемой транзакции

PayControl. «Оптический токен» в смартфоне

#CODEIB


PayControl. Работа пользователя

#CODEIB


PayControl. Преимущества для клиента

Не нужно ждать SMS Гарантированная работа в роуминге

Действительно безопаснее и удобнее

Выше лимиты по операциям

#CODEIB


Снижение убытков от кибер-мошенничества

‒ Уменьшение количества инцидентов краж со счетов клиентов

‒ Выполнение требований ФЗ-161 в части гарантированного уведомления

пользователей о совершаемых транзакциях (защита от «дружественного

фрода»)

Быстрая монетизация проекта

‒ Повышение лимитов на совершаемые клиентами операции увеличивает

комиссионный доход банка

‒ Стоимость старта проекта – $5,000. Клиентские лицензии приобретаются по

принципу пост-оплаты, уже после подключения пользователей

‒ Клиенты готовы платить за «продвинутый» сервис безопасности 30-40

рублей в месяц, что позволяет банку получать значительную прибыль

16

PayControl. Преимущества для банка

#CODEIB


Спасибо за внимание

Вопросы?

Денис Калемберг

[email protected]

17#CODEIB

Business

SafeTech (Д. Калемберг) - Интернет-банкинг: как сделать работу клиента безопасной