MITM-атаки: что это такое и почему их снова опасаются в банках

В 2017 году сразу несколько европейских банков обновили мобильные приложения. Поводом стало исследование Бирмингемского университета, авторы которого описали общую уязвимость перед атаками MITM. Позже подобные истории случались, в том числе и в России. Однако MITM-атаки происходили редко, да и поводов переживать было немного. Сейчас ситуация изменилась – считают эксперты.

Насколько опасными могут быть MITM-атаки в банках? Как защищаются от них в России? И почему таких атак сейчас опасаются больше, чем несколько лет назад? Обо всем по порядку – в этой статье.

Когда человек посередине

Напомним, MITM-атака – это кибератака, при которой преступник перехватывает передачу данных. Чтобы добиться цели, он «подслушивает» или представляется легальным участником процесса (сокращение MITM – аббревиатура от man-in-the-middle, или «человек посередине»).

Цель злоумышленника – получить конфиденциальные данные. Чаще всего это данные о банковском счете или карте жертвы, а также логин-пароль для доступа к системам интернет-банкинга или другим информационным ресурсам. Затем преступники, как правило, совершают кражу денег или получают более ценную информацию.

Классическая MITM-атака проходит в два этапа. Первый – перехват данных. Киберпреступник вклинивается в процесс передачи информации, в котором участвует жертва. Он стремится сделать это раньше, чем данные будут доставлены адресату. Если злоумышленник успешно справляется с задачей, то он может продолжить атаку с помощью спуфинга – подмены IP-адресов, ARP-сообщений, сервера доменных имен и т.д.

Второй этап – дешифрация. Злоумышленник получает доступ к зашифрованным данным жертвы. Чтобы использовать их в своих целях, он подключает такие методы, как HTTPS-спуфинг и перехват SSL. Они работают без предупреждения пользователя и уведомлений внутри атакуемого приложения.

Почему и как атакуют

В последнее время MITM-атаки стали особенно актуальными в финансовом секторе. Многие российские банки столкнулись с проблемой, о которой почти не вспоминали несколько лет – сообщают эксперты.

Александр Мормуш

Руководитель отдела развития бизнеса решений ИБ компании Axoft

Если бы вы спросили два года назад, то я ответил бы, что распространенность атак man-in-the-middle в банковской сфере минимальна, и вопрос, можно сказать, закрыт. Однако ввиду ухода зарубежных разработчиков средств ИБ, изменения ландшафта специалистов и в целом увеличения количества атак на информационные системы сценарий MITM-атак кратковременно стал актуальным. И это несмотря на то, что другие типы атак – будь то социальная инженерия, фишинговые письма и др. – для злоумышленников существенно проще в части реализации.

Эксперт считает, что причины актуальности нужно искать в том, как развивается сегодня российский рынок. Многие банки попали под санкции и лишились приложений из Google Play и App Store. Сейчас они не могут продлить сертификаты УЦ (удостоверяющих центров), к которым у всех пользователей есть доверие на уровне операционных систем.

В таких условиях банковский сектор стал активно развивать онлайн-сервисы и мобильные версии интернет-банка. И вполне логично, что эти ресурсы сегодня оказались привлекательными целями для злоумышленников. 

Как правило, в ходе MITM-атак преступники используют открытые Wi-Fi сети, подменные банковские приложения, вредоносное программное обеспечение на компьютере клиента. Хотя могут также применить компрометацию сетевой инфраструктуры – отмечают эксперты.

Станислав Чернухин

CEO Polygant

Так как приложения многих банков удалены из магазинов приложений AppStore и Google Play, пользователям необходимо скачивать и устанавливать их вручную. Вы скачиваете приложение, но не с официального сайта банка (возможна также визуальная подмена), которое содержит «закладки». После установки вы входите в личный кабинет, который становится известен злоумышленникам.

Помимо этого, по словам эксперта, сегодня регулярно находят критические уязвимости в популярных приложениях. Они позволяют проводить атаки MITM даже без активных действий со стороны пользователя – клиента банка или даже микрофинансовой организации.

Иван Елисеев

Инженер ИБ компании Крайон

Наиболее актуальный сценарий на сегодняшний день: перехват данных пользователей микрофинансовых организаций путем создания «сайта прокладки» и пропуска данных через него. В дальнейшем данные жертвы перепродаются в пуле адресов кардерам.

Если рассматривать единичный ущерб, то сумма варьируется от 5 до 15 тыс. рублей. Если рассматривать в общем по временному срезу в месяц, то сумма может достигать 20 млн рублей.

 MITM-атаки завершаются не только кражей средств у клиентов и финансовых организаций. Они также опасны тем, что бьют по их репутации. А это потенциально самый крупный ущерб, который банки могут ощутить в перспективе.

Защита от MITM: вчера, сегодня, завтра

Эксперты напоминают, что для защиты от MITM-атак в 2011 году создали метод закрепления сертификата (certificate pinning). Благодаря ему организации могут использовать сертификаты доверительных УЦ (удостоверяющих центров) на уровне браузера и мобильных приложений.

Сертификат – аналог цифрового паспорта. Он подтверждает, что трафик идет именно с того сайта, который запрашивает пользователь. Гарантом сертификата выступает УЦ. Он же выполняет роль паспортного стола, которому можно доверять.

Метод защиты с помощью сертификатов, как отмечают эксперты, эффективен и сейчас. Однако с важной оговоркой. Пользователь должен доверять УЦ, выдающему сертификат, который он устанавливает на свою систему для обеспечения безопасного доступа к банковским сервисам.

Александр Мормуш

Руководитель отдела развития бизнеса решений ИБ компании Axoft

Казалось бы, что может быть проще? Однако на практике большое количество публичных точек доступа Wi-Fi с captive-порталами, когда мы нажимаем кнопку «подключиться» и нас просят ввести номер телефона, вполне могут быть использованы злоумышленниками в своих целях.

Давайте представим, возможен ли вообще сценарий, когда при подключении к фейковой точке доступа «Free Wi-Fi» пользователь установит сертификат непонятного УЦ с красивым названием или даже небольшую утилиту, реагируя на призыв: «мы заботимся о вашей безопасности»? Поверьте, это вполне реально. И во избежание такой ситуации крайне важно создание доверительной инфраструктуры на базе РФ, повышение грамотности пользователей в целом.

Помимо метода закрепления сертификата, для защиты от MITM-атак в банках также используют стандартные способы. В их числе HTTPS и SSL/TLS – протоколы отвечают за шифрование данных и проверку подлинности серверов. Кроме того, активно применяется двухфакторная аутентификация (2FA) – для усиления защиты аккаунтов клиентов и предотвращения несанкционированного доступа.

Глеб Абрамов

Руководитель направления аудита информационной безопасности ITGLOBAL.COM Security

Также важным остается обучение клиентов. Банки проводят специальные курсы для клиентов, где рассказывают о противодействии MITM-атакам и других мерах безопасности.

Кроме того, к мерам защиты нужно отнести улучшенное обнаружение и мониторинг. А именно – внедрение систем мониторинга и обнаружения аномальной активности, которые могут помочь выявить MITM-атаки и предпринять соответствующие меры.

Чтобы эффективнее обнаруживать и предотвращать MITM-атаки, банкам придется в будущем подключать новые технологии. По мнению Глеба Абрамова, это может быть более продвинутый анализ поведения пользователей и искусственный интеллект. С ним согласны и другие собеседники Cyber Media. 

Артур Маркаров

CEO IT-компании Arbitroom

В будущем банки, возможно, будут усиливать свои методы защиты, включая использование биометрических данных с большей точностью и расширенным использованием искусственного интеллекта и машинного обучения для выявления подозрительной активности и анализа больших объемов данных в реальном времени. Эволюция технологий и угроз потребует постоянного обновления и усовершенствования методов защиты в банковской сфере.

В любом случае новые технологии будут усиливать меры, которые уже применяются в банках для защиты от MTIM-атак. И вряд ли их стоит менять кардинально – считают эксперты.

Валерий Степанов

Руководитель направления Центра компетенций по информационной безопасности Т1 Интеграции

Как и к любому вопросу по информационной безопасности, к вопросу противодействия MITM-атакам стоит подходить комплексно: использовать шифрование канала связи, многофакторную аутентификацию для подтверждения пользовательской транзакции и постоянный анализ защищенности банковских приложений.

Резюмируем

MITM-атака – это не самая популярная, но все же актуальная проблема для банков в России. Однако пока сложности чаще возникают на стороне клиентов. Многие не могут отличить настоящий сайт или мобильное приложение от поддельного, а потому продолжают терять деньги со счетов и обвинять в этом других.

Банки же пока используют все доступные инструменты для защиты от MITM-атак. И вероятно, их количество будет расти. Во всяком случае, если учитывать уровень кибергигиены клиентов и активный интерес хакеров к российским компаниям – заключают эксперты.