ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

Безопасность интернет-банкинга: практические аспекты

Безопасность интернет-банкинга

Просто отправлять платежи, не выходя из дому, с помощью интернет-банкинга. Но всегда ли можно быть уверенным, что с вашего счета спишется только указанная вами сумма, а платеж дойдет по назначению? Об опасностях, которые могут подстерегать пользователей онлайн банкинга, о том, как борются с ними банки и как уберечься от них пользователю, рассказывает статья.

По утверждениям экспертов, основная и самая главная угроза, подстерегающая любого пользователя интернет-банкинга – это риск мошеннического взлома и несанкционированного доступа к средствам на счете. "Единственной существенной опасностью, которая может подстерегать пользователей этих систем, является риск противоправного завладения их денежными средствами злоумышленниками, с использованием возможностей систем "интернет-банкинга", впрочем, как и любых иных типов систем дистанционного обслуживания", – рассказывает Егор Изотов, начальник отдела информационно-технической защиты "Пивденкомбанка".

А потому банки стараются использовать различные системы и механизмы, призванные если не гарантировать, то, по крайней мере, повысить безопасность использования онлайн банкинга.

Шифрование данных.

На сегодня уже всеми или почти всеми банками, предоставляющими услугу интернет-банкинга, применяется SSL-шифрование данных, передаваемых от компьютера пользователя в систему банка и обратно. Эта мера безопасности позволяет исключить распространенный ранее вид мошенничества. "Раньше часто использовалась схема "man in the middle": данные о платеже перехватываются на этапе, когда они отправлены от клиента, но еще не дошли в банк. Мошенник меняет данные и только после этого отправляет их в банк", – рассказывает Борис Косяков, начальник управления информационной безопасности "Астра Банка".

Чтобы воспользоваться всеми преимуществами защищенной передачи данных, следует соблюдать элементарные меры безопасности в Интернете – не реагировать на подозрительные сообщения (полученные якобы от вашего банка) и не переходить по неизвестным ссылкам.

Одноразовые пароли, получаемые в банкомате.

При такой системе защиты, кроме обычного логина и пароля, для входа в систему и подтверждения операций пользователь должен ввести одноразовый пароль, список которых он может получить в банкомате своего банка.

С точки зрения безопасности такая система имеет преимущество – чтобы совершать операции по карточному счету через интернет-банкинг, лицо должно как минимум иметь в наличии непосредственно саму карту, а также знать ПИН-код, чтобы получить список паролей в банкомате.

Вместе с тем нельзя не отметить ряд недостатков такой системы защиты. Во-первых, список паролей, распечатанный в виде чека из банкомата, вам придется хранить для подтверждения будущих операций. А это значит, что если вы случайно потеряете или выбросите чек (или просто используете все пароли), вам придется идти за новым. Зачастую список паролей можно получить далеко не в каждом банкомате банка, и вполне вероятно, что вам придется ехать за ним на другой конец города. К тому же, списком могут завладеть злоумышленники.

Если ваша система интернет-банкинга предусматривает использование списка одноразовых паролей, постарайтесь придерживаться простых правил. Во-первых, не выбрасывайте список паролей и по возможности старайтесь его не терять. Во-вторых, не храните список одноразовых паролей вместе с логином и паролем от вашей учетной записи. Последний вовсе не рекомендуется записывать, лучше запомнить.

Одноразовые СМС-пароли.

Этот способ аутентификации пользователя в системе интернет-банкинга является едва ли не самым распространенным в предложениях украинских банков. При такой системе каждая операция, которую вы совершаете с помощью онлайн банкинга, должна быть подтверждена одноразовым паролем, который вы получите в СМС-сообщении на ваш мобильный телефон. При этом ваш мобильный номер должен быть "привязан" к номеру счета.

Такая система имеет ряд преимуществ. Во-первых, она достаточно проста в использовании – вам не нужно специальное оборудование, а процедура подтверждения операции занимает всего пару минут. Во-вторых, она позволяет обезопасить вашу учетную запись от использования злоумышленниками – даже если мошенникам станет известен ваш логин и пароль для входа в систему, они не получат доступ к вашим деньгам, а вы узнаете о попытке провести несанкционированную операцию из СМС-сообщения. Кроме этого, вам не нужно хранить список одноразовых паролей, а значит, вы не сможете его потерять, и у вас его не украдут.

На этом преимущества системы заканчиваются. Действительно, злоумышленникам довольно сложно завладеть одноразовым паролем, действующим в течение короткого времени. Если только они не завладели вашим мобильным телефоном. И совсем бесполезной система будет в том случае, если вы пользуетесь интернет-банкингом с мобильного телефона и сохраняете пароли в браузере. Тогда, украв у вас телефон, мошенник получит ваш счет в полное распоряжение.

Если ваш банк использует аутентификацию пользователя по СМС, постарайтесь придерживаться таких правил:

    не пользуйтесь интернет-банкингом с мобильного телефона;

    не сохраняйте пароль от учетной записи в браузере;

    в случае потери или кражи мобильного телефона – немедленно обратитесь в банк с просьбой заблокировать вашу учетную запись интернет-банкинга.

Электронная цифровая подпись (ЭЦП).

Этот механизм чаще используется при обслуживании банками компаний, но иногда его предлагают и индивидуальным клиентам. Плюс ЭЦП в том, что она позволяет однозначно идентифицировать пользователя. Недостаток же заключается в том, что ЭЦП также может быть уязвима для мошенников. Злоумышленники могут добраться до ключа от вашей цифровой подписи, заразив ваш компьютер вредоносным программным обеспечением.

"Существуют "трояны", умеющие находить и красть на зараженном компьютере аутентификационные данные (идентификаторы, пароли и даже ключи ЭЦП) пользователей для доступа к различным сервисам (в т.ч. и серверам удаленного обслуживания клиентов банков)", – рассказывает Борис Косяков.

Если для подтверждения ваших финансовых операций через интернет вы используете ЭЦП, не забывайте пользоваться антивирусными программами и регулярно проверять ваш компьютер на предмет заражения компьютерными вирусами. Также эксперты не советуют оставлять ключ ЭЦП подключенным к компьютеру, если вы его не используете.

Внешние электронные устройства.

Некоторые банки предлагают пользователям онлайн банкинга приобрести (или взять в аренду) специальное устройство – генератор одноразовых паролей. Генератор подключается к компьютеру через usb-порт и не требует специального программного обеспечения.

Другие учреждения предлагают использовать внешний электронный ключ, который генерируется при первом подключении к системе интернет-банкинга, записывается на внешний носитель и затем используется при проведении операций в системе.

Такие системы, по сути, являются упрощенной версией ЭЦП. Среди недостатков их можно выделить то, что вы не сможете получить доступ к своему счету, не имея под рукой "ключа", а всегда носить его с собой может быть не очень удобно и безопасно.

Помимо перечисленного выше, банки зачастую применяют дополнительные меры для обеспечения безопасного пользования интернет-банкингом:

    ограничение использования личного сертификата – система некоторых банков позволяет использовать электронный ключ (электронный сертификат) только на том компьютере, на котором он был сгенерирован. Таким образом, осуществлять платежи через интернет-банкинг вы сможете только со своего личного компьютера (хотя просматривать выписки по счету можно и на других устройствах);

    виртуальная клавиатура – предназначена для того, чтобы мошенники не могли "считать" ваши регистрационные данные при вводе их с обычной клавиатуры с помощью компьютерных вирусов ("троянов");

    ограничение длительности сессии – в случае неактивности пользователя, сессия в системе интернет-банкинга через определенное время (обычно 10-15 минут) будет закрыта. После этого для возобновления работы потребуется заново пройти аутентификацию;

    история подключений – с помощью этой функции пользователь интернет-банкинга узнает, если кто-то кроме него подключался к системе, а также сможет отследить все несанкционированные операции, если они были произведены.

Многое зависит от пользователя.

Эксперты отмечают, что чаще всего причиной мошеннического доступа к счету пользователя интернет-банкинга является невнимательность и неосторожность самого пользователя. А потому, чтобы избежать возможных проблем, владельцу учетной записи следует беречь данные доступа к ней. Во-первых, эксперты советуют периодически изменять пароли для доступа в систему, желательно делать это раз в месяц и не использовать интернет-банкинг на непроверенных компьютерах (например, в интернет-кафе).

Помимо этого, следует соблюдать осторожность при работе в Интернете. "Мошенники широко используют приемы "социальной инженерии" для того, чтобы выманить аутентификационные данные (логин, пароль и т.д.) клиентов. Наиболее старый метод – "фишинговые" письма электронной почты, которые провоцируют получателей отправить свои аутентификационные данные злоумышленникам или предлагают пройти по ссылке на мошеннический сайт. С ростом популярности социальных сетей ("Одноклассники", Twitter, Facebook) мошенники тут же начали использовать для "фишинга" сообщения социальных сетей. Также злоумышленники создают подложные копии сайтов для интернет-банкинга с именами, очень похожими на настоящие", – поясняет Борис Косяков. И если вы введете на таком сайте данные своей учетной записи, то они тут же попадут в руки к мошенникам.

Если у вас возникли опасения, что мошенники получили доступ к вашему счету через интернет-банкинг, эксперты советуют предпринять следующие действия:

    отключить компьютер от Интернета;

    обратиться в контакт-центр (а при необходимости – в отделение) вашего банка, изложить проблему и попросить заблокировать вашу учетную запись;

    проверить компьютер на предмет заражения вредоносным программным обеспечением;

    возобновить работу с системой онлайн банкинга только тогда, когда вы убедились, что угроза отсутствует;

    сменить пароль от учетной записи.

Если ваши подозрения оправдались, и со счета были списаны несанкционированные вами платежи, следует составить заявление о произошедшем в банк и в правоохранительные органы. В этом случае не рекомендуется совершать никаких действий на вашем компьютере (устанавливать или удалять программное обеспечение и т.п.) до прибытия сотрудников правоохранительных органов или специалистов банка, поскольку любые изменения могут помешать расследованию инцидента.

Системы безопасности интернет-банкинга, используемые крупнейшими украинскими банками (банки расположены по размеру активов).

БанкСистема безопасностиДополнительно к
системе безопасности
"ПриватБанк"Одноразовые смс-паролиВиртуальная клавиатура, ограничение длительности сессии
"Укрэксимбанк"Одноразовые пароли (используется USB-генератор)ЭЦП
"УкрСиббанк"Внешний электронный ключЭЦП
"Укрсоцбанк"Одноразовые пароли (получаются в банкомате банка)Код PIN2, выдается одновременно с картой
"Альфа-Банк"Одноразовые смс-пароли...
OTP BankОдноразовые пароли (используется USB-генератор)...
"Финансы и Кредит"Одноразовые смс-паролиЭЦП
ПУМБОдноразовые смс-пароли...
"Форум"Одноразовые смс-паролиИстория подключений, ограничение длительности сессии
"Дельта-Банк"Одноразовые смс-пароли...
SwedbankОдноразовые смс-паролиBиртуальная клавиатура
"Пивденный"Внешний электронный ключЭЦП
"Сбербанк России"Одноразовые смс-паролиЭЦП
Universal BankЛичный цифровой сертификатMожно заказать смарт-карту для хранения личного сертификата

Другие опасности.

Помимо риска мошеннического взлома, пользователь интернет-банкинга подвергается и другим угрозам. Например, нежелательное списание средств через интернет-банкинг может произойти, если пользователь сам неправильно ввел данные для отправки денег.

"Если клиент при отправке платежа через интернет-банкинг допустил ошибку в номере счёта, то процедура возврата такого платежа ничем не отличается, как если бы платёж был отправлен при посещении отделения банка. Увидев, что платеж в системе интернет-банкинга отправлен ошибочно, клиент должен уведомить об этом свой банк", – комментирует Юлия Морозова, директор департамента развития карточного бизнеса VAB.

Эксперты отмечают, что успешность исправления такой ошибки в первую очередь зависит от скорости реакции на нее самого пострадавшего. Если ваши средства еще не были отправлены в банк получателя, то вы получите их назад почти сразу. Если платеж уже поступил в другой банк – то придется немного подождать. "Если деньги были отправлены в другой банк на счет юридического лица, то в связи с тем, что остальные реквизиты не соответствуют счету, деньги будут возвращены в течение трех дней либо на основании заявления", – рассказывает Ростислав Божко, ведущий специалист управления альтернативной дистрибуции "МАРФИН БАНКА".

Впрочем, возврат средств может затянуться и на более длительный срок. "Точные сроки возврата в данном случае будут зависеть от банка получателя. То есть, как только банк-получатель вернет средства банку-отправителю, средства будут зачислены на счет клиента", – поясняет Юлия Морозова.

Сложнее всего дело обстоит в том случае, если деньги были отправлены на счет физического лица и уже поступили на его счет. "Если денежные средства были зачислены получателю, то согласно п.1.7 и 1.19 Инструкции НБУ "О безналичных расчетах в Украине в национальной валюте" №22 от 21 января 2004 года распорядителем средств является владелец счета. Соответственно, письмо с просьбой вернуть ошибочно перечисленные средства на счет клиента необходимо направлять получателю средств", – рассказывает Егор Изотов. В таком случае вернуть свои деньги вы сможете либо с согласия получателя, либо по решению суда.

Впрочем, интернет-банкинг не застрахован и от других рисков, к возникновению которых люди не причастны. Например, если во время проведения операции возникнет технический сбой. Эксперты уверяют, что такой риск не несет большой угрозы для владельца счета. "Системы интернет-банкинга, как, и любые иные современные системы обработки данных, устроены таким образом, что в случае технического или программного сбоя в процессе транзакции документ просто не будет принят банком", – рассказывает Егор Изотов. Но даже если неверная операция все же была проведена – стоит сразу же обратиться в банк для исправления ошибки. "Если при осуществлении перевода произойдет сбой в транзакции, то о таком сбое достаточно проинформировать банк и средства будут возвращены на счет в кратчайшие сроки", – уверяет Ростислав Божко.

В то же время, пользователь интернет-банкинга может столкнуться и с гораздо белее неприятной ситуацией. Так, по сообщениям в СМИ, клиент одного из российских банков в начале 2009 года попал в неприятную историю, когда одноразовые пароли на подтверждение платежей в системе интернет-банкинга присылались не на его, а на чужой номер мобильного телефона. В результате, мошенниками со счета были списаны крупные суммы денег. Пострадавший уверен, что в инциденте замешаны сотрудники банка, ведь только они могли не просто сообщить злоумышленникам регистрационные данные (логин и пароль от учетной записи), но и отправлять им разовые пароли.

Опыт пострадавшего в этой ситуации показывает, что доказать что-то в таких обстоятельствах довольно сложно. Скорее всего, придется обращаться в суд, а его решение будет во многом зависеть от содержания договора, подписанного с банком. Впрочем, эксперты отмечают, что такого вида мошенничество не связано напрямую с использованием интернет-банкинга, ведь в присутствии недобросовестного сотрудника мошенники могли с таким же успехом оформить поддельное платежное поручение.

Автор статьи: Евгения Резниченко


e-Commerce (17.06.2011 в 11:55) | вверх страницы | к списку статей

Общие вопросы:

Что нас ждет в 2011 году и о чем необходимо задуматься сегодня?
Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2011 ООО "Ди Эй Кей продакшн"