PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Новые статьи в RSSНовые статьи

Хакеры заинтересовались POS-терминалами

 4 августа 2016   0 комментариев
 Алина Оприско  
Кражи через такие терминалы распространены на Западе, предупредил банкиров Центробанк

В Digital Security подготовили обзор по безопасности высокоскоростных поездов

 2 августа 2016   0 комментариев
 Алина Оприско  
Компания Digital Security открывает цикл аналитических обзоров, посвященных безопасности транспорта и промышленных объектов. Первый обзор серии подготовлен Егором Литвиновым, ведущим специалистом по безопасности АСУ ТП Digital Security, который сосредоточил свое внимание на ИБ высокоскоростных поездов на основе информации из открытых источников. Специалист Digital Security описал инфраструктуру современного поезда, а также представил возможные векторы атак, которые в потенциале имеются в распоряжении злоумышленников. Обзор полностью можно почитать в нашем блоге на Хабре.

ЦБ потребовал киберзащиты

 2 августа 2016   0 комментариев
 Алина Оприско  
От рекомендаций банкам по информационной безопасности ЦБ перешел к однозначным требованиям. Регулятор разработал четкий и обязательный для всех банков регламент кибербезопасности, призванный защитить кредитные организации от хакерских атак. В документе, в частности, вводится обязанность банка в течение трех часов сообщать о готовящейся или свершившейся атаке.

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.


Атаки типа "человек в браузере" держат в страхе банковское сообщество.

9 сентября 2013
  
  pdf-

Большинство профессионалов финансового сектора считают "человек в браузере" самой большой угрозой онлайн банкингу, причем киберпреступники используют ее все чаще.

Человек в браузере, DDoS атаки, фишинг – вот наиболее опасные угрозы для финансовых организаций. Последние статистические данные, предоставленные ведущими компаниями по обеспечению безопасности, подтверждают, что онлайн банкинг считается наиболее прибыльным бизнесом киберпреступников.

Широкое распространение платформ онлайн банкинга, их открытость для мобильных платформ и социальных сетей, привлекают внимание киберпреступников. Первой формой атак считается фишинг, использующий приемы социальной инженерии, которые позволяют получить банковские данные ничего не подозревающих жертв.

Разработчики вредоносных программ также концентрируют свои усилия на создании все новых вредоносных кодов, способных похитить банковские данные жертв, включая кейлогеры(key-loggers) и грабберы экранов.

Ответом банковского сообщества стало усовершенствование процесса аутентификации, классическим примером которого является введение многофакторной аутентификации( одноразовые пароли, аппаратные токены).

Чтобы обойти системы защиты, киберпреступники широко используют атаки "человек в браузере". В этой статье мы рассмотрим, что представляют из себя такие атаки, и какие контрмеры могут быть приняты для эффективной защиты клиентов. По данным многочисленных исследований, большинство финансовых организаций считают атаку "человек в браузере" самой серьезной угрозой онлайн банкингу. В классической схеме атаки "человек посередине" преступники находятся между жертвой и банковским сервером.

В схеме "человек в браузере" мошенники используют вредоносные коды, которые инфицируют браузер жертв. Обычно "человек в браузере" появляется в образе объектов модулей поддержки(Browser Helper Object), управляющих элементов ActiveX, расширений для браузера, дополнений, плагинов или перехвате API функций.

Такой тип атак основан на присутствии на устройстве жертвы вредоносной программы, которая инфицирует браузер жертвы. Вредоносное ПО способно изменять параметры транзакции или проводить операции незаметно для жертвы. Такие программы обычно способны "прятать" мошеннические транзакции от жертвы, подменяя содержимое браузера.

Подобные программы могут обойти многофакторную аутентификацию- как только вебсайт банка подтвердит правильность введенных клиентом логина и пароля, Троян подменит данные транзакции. Вредоносный код также способен обеспечить видимость успешного завершения транзакции, подменяя содержимое, отображаемое браузером. "Человек в браузере"- очень коварный тип атак, потому что ни банк, ни пользователь не могут обнаружить ее несмотря на многофакторную аутентификацию, капчи или применение других способов аутентификации. Эксперты по безопасности обнаружили, что большинство интернет-пользователей (73%) не может различить реальные и поддельные всплывающие предупреждения, а также не способны распознать контент, созданный вредоносным ПО.

По результатам опроса, большинство профессионалов финансовых организаций считают атаку "человек посередине" самой серьезной угрозой онлайн-банкингу. На этом типе атак основаны такие вредоносные программы, как Zeus, Carberp, Sinowal и Clampi.

К сожалению, конечные потребители все еще уязвимы для атак типа "человек посередине", но в их силах попытаться уменьшить вероятность атак (например, фишинг), которые могли бы инфицировать их систему. Наиболее эффективной контрмерой считается аутентификация по внешнему каналу (Out-Of-Band, OOB), поскольку злоумышленник, применяющий методику MITM, протоколирует лишь один канал связи. ООВ предусматривает отдельный канал для аутентификации, чтобы верифицировать и авторизовать транзакции с высоким риском. Система ООВ передает пользователю информацию о транзакции, например, по электронной почте, SMS или телефону, и для подтверждения получения требует ввода прилагаемого одноразового пароля.

В следующей таблице приводятся основные меры противостояния атакам типа "человек посередине" и их реальная эффективность.

Источник: securityaffairs.co


!
,
 









Партнеры