Шифрование данных
На сегодня уже всеми или почти всеми банками, предоставляющими услугу Интернет-банкинга, применяется SSL-шифрование данных, передаваемых от компьютера пользователя в систему банка и обратно. Эта мера безопасности позволяет исключить распространенный ранее вид мошенничества. «Раньше часто использовалась схема «man in the middle»: данные о платеже перехватываются на этапе, когда они отправлены от клиента, но еще не дошли в банк. Мошенник меняет данные и только после этого отправляет их в банк», — рассказывает Борис Косяков, начальник управления информационной безопасности Астра Банка.
Чтобы воспользоваться всеми преимуществами защищенной передачи данных, следует соблюдать элементарные меры безопасности в Интернете – не реагировать на подозрительные сообщения (полученные якобы от вашего банка) и не переходить по неизвестным ссылкам.
Одноразовые пароли, получаемые в банкомате
При такой системе защиты, кроме обычного логина и пароля, для входа в систему и подтверждения операций пользователь должен ввести одноразовый пароль, список которых он может получить в банкомате своего банка.
С точки зрения безопасности такая система имеет преимущество – чтобы совершать операции по карточному счету через интернет-банкинг, лицо должно как минимум иметь в наличии непосредственно саму карту, а также знать ПИН-код, чтобы получить список паролей в банкомате.
Вместе с тем нельзя не отметить ряд недостатков такой системы защиты. Во-первых, список паролей, распечатанный в виде чека из банкомата, вам придется хранить для подтверждения будущих операций. А это значит, что если вы случайно потеряете или выбросите чек (или просто используете все пароли), вам придется идти за новым. Зачастую список паролей можно получить далеко не в каждом банкомате банка, и вполне вероятно, что вам придется ехать за ним на другой конец города. К тому же, списком могут завладеть злоумышленники.
Если ваша система интернет-банкинга предусматривает использование списка одноразовых паролей, постарайтесь придерживаться простых правил. Во-первых, не выбрасывайте список паролей и по возможности старайтесь его не терять. Во-вторых, не храните список одноразовых паролей вместе с логином и паролем от вашей учетной записи. Последний вовсе не рекомендуется записывать, лучше запомнить.
Одноразовые СМС-пароли
Этот способ аутентификации пользователя в системе интернет-банкинга является едва ли не самым распространенным в предложениях украинских банков. При такой системе каждая операция, которую вы совершаете с помощью онлайн банкинга, должна быть подтверждена одноразовым паролем, который вы получите в СМС-сообщении на ваш мобильный телефон. При этом ваш мобильный номер должен быть «привязан» к номеру счета.
Такая система имеет ряд преимуществ. Во-первых, она достаточно проста в использовании – вам не нужно специальное оборудование, а процедура подтверждения операции занимает всего пару минут. Во-вторых, она позволяет обезопасить вашу учетную запись от использования злоумышленниками – даже если мошенникам станет известен ваш логин и пароль для входа в систему, они не получат доступ к вашим деньгам, а вы узнаете о попытке провести несанкционированную операцию из СМС-сообщения. Кроме этого, вам не нужно хранить список одноразовых паролей, а значит, вы не сможете его потерять, и у вас его не украдут.
На этом преимущества системы заканчиваются. Действительно, злоумышленникам довольно сложно завладеть одноразовым паролем, действующим в течение короткого времени. Если только они не завладели вашим мобильным телефоном. И совсем бесполезной система будет в том случае, если вы пользуетесь интернет-банкингом с мобильного телефона и сохраняете пароли в браузере. Тогда, украв у вас телефон, мошенник получит ваш счет в полное распоряжение.
Если ваш банк использует аутентификацию пользователя по СМС, постарайтесь придерживаться таких правил:
-не пользуйтесь Интернет-банкингом с мобильного телефона;
-не сохраняйте пароль от учетной записи в браузере;
-в случае потери или кражи мобильного телефона – немедленно обратитесь в банк с просьбой заблокировать вашу учетную запись Интернет-банкинга.
Электронная цифровая подпись (ЭЦП)
Этот механизм чаще используется при обслуживании банками компаний, но иногда его предлагают и индивидуальным клиентам. Плюс ЭЦП в том, что она позволяет однозначно идентифицировать пользователя. Недостаток же заключается в том, что ЭЦП также может быть уязвима для мошенников. Злоумышленники могут добраться до ключа от вашей цифровой подписи, заразив ваш компьютер вредоносным программным обеспечением. «Существуют «трояны», умеющие находить и красть на зараженном компьютере аутентификационные данные (идентификаторы, пароли и даже ключи ЭЦП) пользователей для доступа к различным сервисам (в том числе и серверам удаленного обслуживания клиентов банков)», — рассказывает Борис Косяков.
Если для подтверждения ваших финансовых операций через интернет вы используете ЭЦП, не забывайте пользоваться антивирусными программами и регулярно проверять ваш компьютер на предмет заражения компьютерными вирусами. Также эксперты не советуют оставлять ключ ЭЦП подключенным к компьютеру, если вы его не используете.
Внешние электронные устройства
Некоторые банки предлагают пользователям онлайн банкинга приобрести (или взять в аренду) специальное устройство – генератор одноразовых паролей. Генератор подключается к компьютеру через usb-порт и не требует специального программного обеспечения.
Другие учреждения предлагают использовать внешний электронный ключ, который генерируется при первом подключении к системе Интернет-банкинга, записывается на внешний носитель и затем используется при проведении операций в системе.
Такие системы, по сути, являются упрощенной версией ЭЦП. Среди недостатков их можно выделить то, что вы не сможете получить доступ к своему счету, не имея под рукой «ключа», а всегда носить его с собой может быть не очень удобно и безопасно.
Помимо перечисленного выше, банки зачастую применяют дополнительные меры для обеспечения безопасного пользования интернет-банкингом:
-ограничение использования личного сертификата – система некоторых банков позволяет использовать электронный ключ (электронный сертификат) только на том компьютере, на котором он был сгенерирован. Таким образом, осуществлять платежи через Интернет-банкинг вы сможете только со своего личного компьютера (хотя просматривать выписки по счету можно и на других устройствах);
-виртуальная клавиатура – предназначена для того, чтобы мошенники не могли «считать» ваши регистрационные данные при вводе их с обычной клавиатуры с помощью компьютерных вирусов («троянов»);
-ограничение длительности сессии – в случае неактивности пользователя, сессия в системе Интернет-банкинга через определенное время (обычно 10-15 минут) будет закрыта. После этого для возобновления работы потребуется заново пройти аутентификацию;
-история подключений – с помощью этой функции пользователь Интернет-банкинга узнает, если кто-то кроме него подключался к системе, а также сможет отследить все несанкционированные операции, если они были произведены.
Многое зависит от пользователя
Эксперты отмечают, что чаще всего причиной мошеннического доступа к счету пользователя Интернет-банкинга является невнимательность и неосторожность самого пользователя. А потому, чтобы избежать возможных проблем, владельцу учетной записи следует беречь данные доступа к ней. Во-первых, эксперты советуют периодически изменять пароли для доступа в систему, желательно делать это раз в месяц и не использовать Интернет-банкинг на непроверенных компьютерах (например, в Интернет-кафе).
Помимо этого, следует соблюдать осторожность при работе в Интернете. «Мошенники широко используют приемы «социальной инженерии» для того, чтобы выманить аутентификационные данные (логин, пароль и т.д.) клиентов. Наиболее старый метод – «фишинговые» письма электронной почты, которые провоцируют получателей отправить свои аутентификационные данные злоумышленникам или предлагают пройти по ссылке на мошеннический сайт. С ростом популярности социальных сетей («Одноклассники», Twitter, Facebook) мошенники тут же начали использовать для «фишинга» сообщения социальных сетей. Также злоумышленники создают подложные копии сайтов для Интернет-банкинга с именами, очень похожими на настоящие», — поясняет Борис Косяков. И если вы введете на таком сайте данные своей учетной записи, то они тут же попадут в руки к мошенникам.
Если у вас возникли опасения, что мошенники получили доступ к вашему счету через Интернет-банкинг, эксперты советуют предпринять следующие действия:
-отключить компьютер от Интернета;
-обратиться в контакт-центр (а при необходимости – в отделение) вашего банка, изложить проблему и попросить заблокировать вашу учетную запись;
-проверить компьютер на предмет заражения вредоносным программным обеспечением;
-возобновить работу с системой онлайн банкинга только тогда, когда вы убедились, что угроза отсутствует;
-сменить пароль от учетной записи.
Если ваши подозрения оправдались, и со счета были списаны несанкционированные вами платежи, следует составить заявление о произошедшем в банк и в правоохранительные органы. В этом случае не рекомендуется совершать никаких действий на вашем компьютере (устанавливать или удалять программное обеспечение и т.п.) до прибытия сотрудников правоохранительных органов или специалистов банка, поскольку любые изменения могут помешать расследованию инцидента.
Системы безопасности Интернет-банкинга, используемые крупнейшими украинскими банками (банки в таблице расположены по размеру активов):
| Банки | Какая система безопасности используется | Дополнительно |
| ПриватБанк | Одноразовые смс-пароли | виртуальная клавиатура, ограничение длительности сессии |
| Укрэксимбанк | Одноразовые пароли (используется USB-генератор) | ЭЦП |
| УкрСиббанк | Внешний электронный ключ | ЭЦП |
| Укрсоцбанк | Одноразовые пароли (получаются в банкомате банка) | код PIN2, выдается одновременно с картой |
| Альфа-Банк | Одноразовые смс-пароли | |
| ОТП Банк | Одноразовые пароли (используется USB-генератор) | |
| Финансы и Кредит | Одноразовые смс-пароли | ЭЦП |
| Первый Украинский Международный Банк | Одноразовые смс-пароли | |
| Форум | Одноразовые смс-пароли | история подключений, ограничение длительности сессии |
| Дельта-Банк | Одноразовые смс-пароли | |
| Сведбанк | Одноразовые смс-пароли | виртуальная клавиатура |
| Пивденный | Внешний электронный ключ | ЭЦП |
| Сбербанк России | Одноразовые смс-пароли | ЭЦП |
| Universal Bank | Личный цифровой сертификат | можно заказать смарт-карту для хранения личного сертификата |
Другие опасности
Помимо риска мошеннического взлома, пользователь Интернет-банкинга подвергается и другим угрозам. Например, нежелательное списание средств через Интернет-банкинг может произойти, если пользователь сам неправильно ввел данные для отправки денег.
«Если клиент при отправке платежа через Интернет-банкинг допустил ошибку в номере счёта, то процедура возврата такого платежа ничем не отличается, как если бы платёж был отправлен при посещении отделения банка. Увидев, что платеж в системе Интернет-банкинга отправлен ошибочно, клиент должен уведомить об этом свой банк», — комментирует Юлия Морозова, директор департамента развития карточного бизнеса VAB Банка.
Эксперты отмечают, что успешность исправления такой ошибки в первую очередь зависит от скорости реакции на нее самого пострадавшего. Если ваши средства еще не были отправлены в банк получателя, то вы получите их назад почти сразу. Если платеж уже поступил в другой банк – то придется немного подождать. «Если деньги были отправлены в другой банк на счет юридического лица, то в связи с тем, что остальные реквизиты не соответствуют счету, деньги будут возвращены в течение трех дней либо на основании заявления», — рассказывает Ростислав Божко, ведущий специалист управления альтернативной дистрибуции МАРФИН БАНКА. Впрочем, возврат средств может затянуться и на более длительный срок. «Точные сроки возврата в данном случае будут зависеть от банка получателя. То есть, как только банк-получатель вернет средства банку-отправителю, средства будут зачислены на счет клиента», — поясняет Юлия Морозова.
Сложнее всего дело обстоит в том случае, если деньги были отправлены на счет физического лица и уже поступили на его счет. «Если денежные средства были зачислены получателю, то согласно п.1.7. и 1.19. Инструкции НБУ «О безналичных расчетах в Украине в национальной валюте» №22 от 21.01.04г. распорядителем средств является владелец счета. Соответственно, письмо с просьбой вернуть ошибочно перечисленные средства на счет клиента необходимо направлять получателю средств», — рассказывает Егор Изотов. В таком случае вернуть свои деньги вы сможете либо с согласия получателя, либо по решению суда.
Впрочем, Интернет-банкинг не застрахован и от других рисков, к возникновению которых люди не причастны. Например, если во время проведения операции возникнет технический сбой. Эксперты уверяют, что такой риск не несет большой угрозы для владельца счета. «Системы Интернет-банкинга, как, и любые иные современные системы обработки данных, устроены таким образом, что в случае технического или программного сбоя в процессе транзакции документ просто не будет принят банком», — рассказывает Егор Изотов. Но даже если неверная операция все же была проведена – стоит сразу же обратиться в банк для исправления ошибки. «Если при осуществлении перевода произойдет сбой в транзакции, то о таком сбое достаточно проинформировать банк и средства будут возвращены на счет в кратчайшие сроки», — уверяет Ростислав Божко.
В то же время, пользователь Интернет-банкинга может столкнуться и с гораздо белее неприятной ситуацией. Так, по сообщениям в СМИ, клиент одного из российских банков в начале 2009 года попал в неприятную историю, когда одноразовые пароли на подтверждение платежей в системе Интернет-банкинга присылались не на его, а на чужой номер мобильного телефона. В результате, мошенниками со счета были списаны крупные суммы денег. Пострадавший уверен, что в инциденте замешаны сотрудники банка, ведь только они могли не просто сообщить злоумышленникам регистрационные данные (логин и пароль от учетной записи), но и отправлять им разовые пароли.
Мнение
Опыт пострадавшего в этой ситуации показывает, что доказать что-то в таких обстоятельствах довольно сложно. Скорее всего, придется обращаться в суд, а его решение будет во многом зависеть от содержания договора, подписанного с банком. Впрочем, эксперты отмечают, что такого вида мошенничество не связано напрямую с использованием Интернет-банкинга, ведь в присутствии недобросовестного сотрудника мошенники могли с таким же успехом оформить поддельное платежное поручение.
Мнение
Для предоставления качественных услуг своим клиентам банки сегодня обеспечивают наивысший уровень защиты передачи данных. Используются web-сервис с сертификатом безопасности https://, есть требования к паролю для входа в систему. Для подтверждения проведения каждой операции запрашивается введение одноразового пароля. В системе внедрена генерация ключей электронной цифровой подписи. При нескольких неудачных попытках регистрации в системе учетная запись автоматически блокируется.
Для исключения перехвата конфиденциальных данных вирусными программами советуем пользоваться виртуальной клавиатурой при наборе логина и пароля.
Перечислим некоторые рекомендации, которые будут полезны всем пользователям Интернет-банкинга, прежде всего:
использовать антивирусное программное обеспечение и межсетевые экраны (файрволы), известных производителей
ограничивать доступ к компьютерам, с которых ведется работа с системой Интернет-банкинг, посторонним лицам;
не работать на компьютере, с которого выполняется работа с системой Интернет-банкинг, с правами системного администратора;
не использовать для работы в сети Интернет и в системе Интернет-банкинг не проверенные компьютеры (например, в Интернет-кафе), на которых может быть установлено вредоносное программное обеспечение.
Что делать клиенту, если его учетную запись взломали?
В первую очередь нужно отключить взломанный (зараженный) компьютер от сети и сообщить об этом в банк, чтобы заблокировать учетную запись клиента для предотвращения мошенничества.
Обеспечить сохранность всех необходимых данных для дальнейшего расследования – ничего не изменять на взломанном (зараженном) компьютере.
Для расследования привлекать квалифицированных специалистов (из банка или специализированных фирм). Только квалифицированное расследование и выяснение причины поможет избежать подобных инцидентов в дальнейшем.
Практика показала, что злоумышленники чаще всего не пытаются взламывать компьютерные сети банков, а захватывают управление компьютерами клиентов, и, получая доступ к ключам электронно-цифровой подписи и паролям доступа, осуществляют платежи от их имени.
Следовательно, достаточно надежная схема безопасности должна решать следующий минимальный набор задач:
1. Создание безопасной, доверенной и неизменной среды функционирования системы дистанционного обслуживания на стороне клиента банка. Никакие изменения в рабочем коде среды и ее настройках, возникшие в процессе функционирования системы, не должны сохраняться при выключении системы. В этом случае, даже если злоумышленник и получит каким-то образом удаленный доступ к этой среде в процессе ее функционирования, он не сможет завладеть ею на постоянной основе;
2. Создание защищенного от несанкционированного доступа канала передачи информации между клиентом и банком;
3. Обеспечение условий, не допускающих хищение ключей и паролей, применяемых для работы в системе дистанционного обслуживания.
Этим критериям соответствует специальный компьютер, виртуальный, получаемый путем загрузки со специального неизменяемого системного носителя, или «обычный», но, в любом случае – узкоспециализированный, решающий только одну-единственную задачу: обеспечение работы системы дистанционного обслуживания. Такие решения, в разработке которых довелось принимать участие специалистам нашего банка, уже существуют, к сожалению – не на Украине.
Банки прилагают максимум усилий для того, чтобы технические средства системы Интернет-банкинга защищали денежные средства и финансовую информацию пользователей от злоумышленников. Конечно, все эти сложные и дорогие системы наиболее эффективно работают в комплексе с ответственным и внимательным отношением пользователя к своим паролям, ключам электронно-цифровой подписи и другим средствам защиты, предлагаемым банками. Мы рекомендуем соблюдать несколько простых правил безопасности, которые обеспечат секретность личных данных клиента и сохранность его денег:
-никому не сообщать свой пароль. Сотрудники банка никогда, ни при каких обстоятельствах не запрашивают пароли пользователей;
-не сохранять ключ электронно-цифровой подписи на чужих компьютерах;
-избегать проведения платежей или смены паролей с компьютеров, к которым имеет доступ множество людей (компьютеры в интернет-клубах, залах ожидания на вокзалах, аэропортах и т.п.);
-если пользователю показалось, что кто-то подсмотрел его пароль, необходимо сразу уведомить банк и заблокировать доступ в систему;
-если клиенту все же не удалось обеспечить секретность своих данных, первое что он должен сделать — это проинформировать банк о случившемся. Банк заблокирует доступ пользователя в систему и счета клиента, чтобы избежать финансовых потерь. Клиенту будет необходимо составить заявление, в котором он укажет обстоятельства случившегося. Расследование таких событий проводит служба безопасности банка совместно с правоохранительными органами.