«Мы можем защитить даже от нового, неизвестного антивирусу вредоносного ПО» - «Интервью»
Сергей Голованов
ведущий антивирусный эксперт «Лаборатории Касперского»
Через Интернет очень удобно управлять своим банковским счетом и совершать платежи любого рода. Но это удобство сопровождается серьезной угрозой со стороны высокотехнологичных интернет-мошенников. Ведущий антивирусный эксперт «Лаборатории Касперского» Сергей ГОЛОВАНОВ рассказал порталу Банки.ру о продукте, предназначенном для защиты интернет-банкинга и удаленных платежей.
— «Лаборатория Касперского» прежде всего известна своими антивирусными продуктами. Есть ли у вас предложения, нацеленные на защиту финансов?
— У нас есть флагманский продукт, который называется Kaspersky Internet Security (KIS). В каждую новую его версию добавляется какой-нибудь особый функционал, предназначенный для защиты от специальных угроз. В 2012 году в KIS был введен комплексный модуль, который защищает таргетированно от банковских «троянцев», то есть «троянцев», которые воруют логины и пароли, одноразовые пароли от сайтов банков и позволяют злоумышленникам переводить деньги на свои счета. Эта технология называется SafeMoney («Безопасные платежи»).
— От каких угроз защищают «Безопасные платежи»?
— Все киберугрозы, нацеленные на кражу данных от онлайн-банка, можно разделить на три типа. Первый тип — фишинг, то есть поддельная страница, копирующая контент оригинального сайта, на которую злоумышленники заманивают пользователей с помощью спам-рассылок, рассылок в социальных сетях и так далее. Никаких вирусов в этом случае не нужно.
Второй тип — получение паролей с помощью вредоносного ПО. Например, есть классические вирусы-кейлоггеры, которые запоминают нажатия клавиш на клавиатуре и таким образом собирают пароли. Есть вирусы, которые подменяют сетевые соединения на компьютере пользователя. Он думает, что заходит на сайт банка, а на самом деле попадает на фишинговую страницу.
И третий, самый важный способ, по-английски он называется web-inject. На русский это можно перевести как «внедрение дополнительного кода в страницу». В этом случае пользователь работает с настоящей страницей интернет-банка или платежной системы, но в нее внедрен компонент, крадущий вводимые данные.
На этом история не заканчивается. Злоумышленник получил пароли и логины, теперь нужно их как-то использовать. Если у человека нет никаких вредоносных программ на компьютере, то мошенники с помощью фишингового сайта всячески пытаются выудить у него те самые одноразовые пароли, необходимые для выполнения трансакции.
Если же на компьютере есть вирус, злоумышленники могут действовать по-другому: пользователь подготавливает свою трансакцию в интернет-банке, вводит одноразовый пароль, но в банк уходит совершенно другая трансакция, подмененная на сетевом уровне.
Вредоносные программы для кражи денег через интернет-банкинг базируются на двух «китах». Первый — внедрение в браузер и модификация его содержимого. Второй — социальная инженерия. Ее методы направлены на то, чтобы заставить пользователя ввести одноразовый пароль, если он получает СМС на смартфон, либо установить на смартфон специальную программу.
— Каким образом «Безопасные платежи» с этим справляются?
— Когда мы начали смотреть, как происходит внедрение в браузер, оказалось, что все довольно просто. И перехватить это внедрение — решаемая задача.
Основная задача «Безопасных платежей» состоит в том, чтобы заблокировать модификацию контента банковского сайта в браузере пользователя. Для этого прежде всего нужно запретить модификацию памяти, чтобы вредоносная программа не могла пролезть в защищаемую область.
Кроме того, «Безопасные платежи» определяют, когда пользователь заходит на фишинговый сайт. Наш продукт знает, какой сертификат должен быть на сайте. Если фишинговый сайт выдаст ему какой-то случайный сертификат либо не выдаст вообще, на экран компьютера выводится предупреждающая картинка, и все действия пользователя на этом сайте блокируются.
Таким образом мы можем защитить информационный обмен с банком или платежной системой даже от нового, неизвестного антивирусу вредоносного ПО.
— Как приложение реагирует на обнаружение подозрительной деятельности в системе?
— Есть два подхода. Первый — обнаружить и сообщить в банк о компрометации компьютера пользователя, чтобы кредитная организация заблокировала трансакцию. Второй — просто выстроить «забор» и не пустить. В настоящий момент «Безопасные платежи» в Kaspersky Internet Security применяют второй вариант, естественно, уведомляя пользователя.
— Как это выглядит для пользователя? Что он должен сделать, чтобы безопасно провести свой платеж?
— В нашем антивирусе есть компонент «Безопасные платежи», у которого имеется список защищаемых сайтов — страниц банков и платежных систем. Пользователь может дополнять этот список любыми сайтами. Когда антивирус запущен и пользователь ввел в адресную строку адрес сайта (или, скажем, заходит на него через поисковик), активное окно браузера сворачивается. Открывается новое окно того же браузера, обведенное зеленой рамкой. Это значит, что браузер защищен с помощью данного модуля, можно безопасно работать с сайтом банка.
— Кроме вашего продукта какие еще разработки есть в этой области? Чем-нибудь можно заменить «Безопасные платежи»?
— Для банков есть аналогичные решения (например, IBM Trusteer. — Прим. ред.), работают они немного иначе, чем «Безопасные платежи», но смысл тот же: банк предоставляет своему клиенту программу, которую он должен установить на свой компьютер, и эта программа следит за тем, чтобы операции пользователя с банком не были скомпрометированы.
— А для защиты мобильного банкинга есть вариант?
— Для защиты трансакций с мобильных устройств на базе Android (а именно под них создано 97% всех образцов мобильного вредоносного ПО) мы предлагаем Kaspersky Internet Security для Android. Наш продукт контролирует браузер, блокируя фишинговые сайты, защищает мобильные банковские приложения и проверяет ссылки в получаемых СМС-сообщениях.
— Есть ли защита от захвата вирусами управления «Безопасными платежами»?
— Обязательно. Все технологии самозащиты антивирусов применимы и для модуля «Безопасные платежи». Есть контроль целостности, есть контроль того, что компонент не отключен вирусом. Сведения об этом уходят по доверенному каналу в наше облако для дополнительного контроля со стороны.
Беседовал Михаил ДЬЯКОВ, Банки.ру