Безопасность интернет-банкинга: практические аспекты
Просто отправлять платежи, не выходя из дому, с помощью интернет-банкинга. Но всегда ли можно быть уверенным, что с вашего счета спишется только указанная вами сумма, а платеж дойдет по назначению? Об опасностях, которые могут подстерегать пользователей онлайн банкинга, о том, как борются с ними банки и как уберечься от них пользователю, рассказывает статья.
По утверждениям экспертов, основная и самая главная угроза, подстерегающая любого пользователя интернет-банкинга – это риск мошеннического взлома и несанкционированного доступа к средствам на счете. "Единственной существенной опасностью, которая может подстерегать пользователей этих систем, является риск противоправного завладения их денежными средствами злоумышленниками, с использованием возможностей систем "интернет-банкинга", впрочем, как и любых иных типов систем дистанционного обслуживания", – рассказывает Егор Изотов, начальник отдела информационно-технической защиты "Пивденкомбанка".
А потому банки стараются использовать различные системы и механизмы, призванные если не гарантировать, то, по крайней мере, повысить безопасность использования онлайн банкинга.
Шифрование данных.
На сегодня уже всеми или почти всеми банками, предоставляющими услугу интернет-банкинга, применяется SSL-шифрование данных, передаваемых от компьютера пользователя в систему банка и обратно. Эта мера безопасности позволяет исключить распространенный ранее вид мошенничества. "Раньше часто использовалась схема "man in the middle": данные о платеже перехватываются на этапе, когда они отправлены от клиента, но еще не дошли в банк. Мошенник меняет данные и только после этого отправляет их в банк", – рассказывает Борис Косяков, начальник управления информационной безопасности "Астра Банка".
Чтобы воспользоваться всеми преимуществами защищенной передачи данных, следует соблюдать элементарные меры безопасности в Интернете – не реагировать на подозрительные сообщения (полученные якобы от вашего банка) и не переходить по неизвестным ссылкам.
Одноразовые пароли, получаемые в банкомате.
При такой системе защиты, кроме обычного логина и пароля, для входа в систему и подтверждения операций пользователь должен ввести одноразовый пароль, список которых он может получить в банкомате своего банка.
С точки зрения безопасности такая система имеет преимущество – чтобы совершать операции по карточному счету через интернет-банкинг, лицо должно как минимум иметь в наличии непосредственно саму карту, а также знать ПИН-код, чтобы получить список паролей в банкомате.
Вместе с тем нельзя не отметить ряд недостатков такой системы защиты. Во-первых, список паролей, распечатанный в виде чека из банкомата, вам придется хранить для подтверждения будущих операций. А это значит, что если вы случайно потеряете или выбросите чек (или просто используете все пароли), вам придется идти за новым. Зачастую список паролей можно получить далеко не в каждом банкомате банка, и вполне вероятно, что вам придется ехать за ним на другой конец города. К тому же, списком могут завладеть злоумышленники.
Если ваша система интернет-банкинга предусматривает использование списка одноразовых паролей, постарайтесь придерживаться простых правил. Во-первых, не выбрасывайте список паролей и по возможности старайтесь его не терять. Во-вторых, не храните список одноразовых паролей вместе с логином и паролем от вашей учетной записи. Последний вовсе не рекомендуется записывать, лучше запомнить.
Одноразовые СМС-пароли.
Этот способ аутентификации пользователя в системе интернет-банкинга является едва ли не самым распространенным в предложениях украинских банков. При такой системе каждая операция, которую вы совершаете с помощью онлайн банкинга, должна быть подтверждена одноразовым паролем, который вы получите в СМС-сообщении на ваш мобильный телефон. При этом ваш мобильный номер должен быть "привязан" к номеру счета.
Такая система имеет ряд преимуществ. Во-первых, она достаточно проста в использовании – вам не нужно специальное оборудование, а процедура подтверждения операции занимает всего пару минут. Во-вторых, она позволяет обезопасить вашу учетную запись от использования злоумышленниками – даже если мошенникам станет известен ваш логин и пароль для входа в систему, они не получат доступ к вашим деньгам, а вы узнаете о попытке провести несанкционированную операцию из СМС-сообщения. Кроме этого, вам не нужно хранить список одноразовых паролей, а значит, вы не сможете его потерять, и у вас его не украдут.
На этом преимущества системы заканчиваются. Действительно, злоумышленникам довольно сложно завладеть одноразовым паролем, действующим в течение короткого времени. Если только они не завладели вашим мобильным телефоном. И совсем бесполезной система будет в том случае, если вы пользуетесь интернет-банкингом с мобильного телефона и сохраняете пароли в браузере. Тогда, украв у вас телефон, мошенник получит ваш счет в полное распоряжение.
Если ваш банк использует аутентификацию пользователя по СМС, постарайтесь придерживаться таких правил:
не пользуйтесь интернет-банкингом с мобильного телефона;
не сохраняйте пароль от учетной записи в браузере;
в случае потери или кражи мобильного телефона – немедленно обратитесь в банк с просьбой заблокировать вашу учетную запись интернет-банкинга.
Электронная цифровая подпись (ЭЦП).
Этот механизм чаще используется при обслуживании банками компаний, но иногда его предлагают и индивидуальным клиентам. Плюс ЭЦП в том, что она позволяет однозначно идентифицировать пользователя. Недостаток же заключается в том, что ЭЦП также может быть уязвима для мошенников. Злоумышленники могут добраться до ключа от вашей цифровой подписи, заразив ваш компьютер вредоносным программным обеспечением.
"Существуют "трояны", умеющие находить и красть на зараженном компьютере аутентификационные данные (идентификаторы, пароли и даже ключи ЭЦП) пользователей для доступа к различным сервисам (в т.ч. и серверам удаленного обслуживания клиентов банков)", – рассказывает Борис Косяков.
Если для подтверждения ваших финансовых операций через интернет вы используете ЭЦП, не забывайте пользоваться антивирусными программами и регулярно проверять ваш компьютер на предмет заражения компьютерными вирусами. Также эксперты не советуют оставлять ключ ЭЦП подключенным к компьютеру, если вы его не используете.
Внешние электронные устройства.
Некоторые банки предлагают пользователям онлайн банкинга приобрести (или взять в аренду) специальное устройство – генератор одноразовых паролей. Генератор подключается к компьютеру через usb-порт и не требует специального программного обеспечения.
Другие учреждения предлагают использовать внешний электронный ключ, который генерируется при первом подключении к системе интернет-банкинга, записывается на внешний носитель и затем используется при проведении операций в системе.
Такие системы, по сути, являются упрощенной версией ЭЦП. Среди недостатков их можно выделить то, что вы не сможете получить доступ к своему счету, не имея под рукой "ключа", а всегда носить его с собой может быть не очень удобно и безопасно.
Помимо перечисленного выше, банки зачастую применяют дополнительные меры для обеспечения безопасного пользования интернет-банкингом:
ограничение использования личного сертификата – система некоторых банков позволяет использовать электронный ключ (электронный сертификат) только на том компьютере, на котором он был сгенерирован. Таким образом, осуществлять платежи через интернет-банкинг вы сможете только со своего личного компьютера (хотя просматривать выписки по счету можно и на других устройствах);
виртуальная клавиатура – предназначена для того, чтобы мошенники не могли "считать" ваши регистрационные данные при вводе их с обычной клавиатуры с помощью компьютерных вирусов ("троянов");
ограничение длительности сессии – в случае неактивности пользователя, сессия в системе интернет-банкинга через определенное время (обычно 10-15 минут) будет закрыта. После этого для возобновления работы потребуется заново пройти аутентификацию;
история подключений – с помощью этой функции пользователь интернет-банкинга узнает, если кто-то кроме него подключался к системе, а также сможет отследить все несанкционированные операции, если они были произведены.
Многое зависит от пользователя.
Эксперты отмечают, что чаще всего причиной мошеннического доступа к счету пользователя интернет-банкинга является невнимательность и неосторожность самого пользователя. А потому, чтобы избежать возможных проблем, владельцу учетной записи следует беречь данные доступа к ней. Во-первых, эксперты советуют периодически изменять пароли для доступа в систему, желательно делать это раз в месяц и не использовать интернет-банкинг на непроверенных компьютерах (например, в интернет-кафе).
Помимо этого, следует соблюдать осторожность при работе в Интернете. "Мошенники широко используют приемы "социальной инженерии" для того, чтобы выманить аутентификационные данные (логин, пароль и т.д.) клиентов. Наиболее старый метод – "фишинговые" письма электронной почты, которые провоцируют получателей отправить свои аутентификационные данные злоумышленникам или предлагают пройти по ссылке на мошеннический сайт. С ростом популярности социальных сетей ("Одноклассники", Twitter, Facebook) мошенники тут же начали использовать для "фишинга" сообщения социальных сетей. Также злоумышленники создают подложные копии сайтов для интернет-банкинга с именами, очень похожими на настоящие", – поясняет Борис Косяков. И если вы введете на таком сайте данные своей учетной записи, то они тут же попадут в руки к мошенникам.
Если у вас возникли опасения, что мошенники получили доступ к вашему счету через интернет-банкинг, эксперты советуют предпринять следующие действия:
отключить компьютер от Интернета;
обратиться в контакт-центр (а при необходимости – в отделение) вашего банка, изложить проблему и попросить заблокировать вашу учетную запись;
проверить компьютер на предмет заражения вредоносным программным обеспечением;
возобновить работу с системой онлайн банкинга только тогда, когда вы убедились, что угроза отсутствует;
сменить пароль от учетной записи.
Если ваши подозрения оправдались, и со счета были списаны несанкционированные вами платежи, следует составить заявление о произошедшем в банк и в правоохранительные органы. В этом случае не рекомендуется совершать никаких действий на вашем компьютере (устанавливать или удалять программное обеспечение и т.п.) до прибытия сотрудников правоохранительных органов или специалистов банка, поскольку любые изменения могут помешать расследованию инцидента.
Системы безопасности интернет-банкинга, используемые крупнейшими украинскими банками (банки расположены по размеру активов).
Банк | Система безопасности | Дополнительно к системе безопасности |
"ПриватБанк" | Одноразовые смс-пароли | Виртуальная клавиатура, ограничение длительности сессии |
"Укрэксимбанк" | Одноразовые пароли (используется USB-генератор) | ЭЦП |
"УкрСиббанк" | Внешний электронный ключ | ЭЦП |
"Укрсоцбанк" | Одноразовые пароли (получаются в банкомате банка) | Код PIN2, выдается одновременно с картой |
"Альфа-Банк" | Одноразовые смс-пароли | ... |
OTP Bank | Одноразовые пароли (используется USB-генератор) | ... |
"Финансы и Кредит" | Одноразовые смс-пароли | ЭЦП |
ПУМБ | Одноразовые смс-пароли | ... |
"Форум" | Одноразовые смс-пароли | История подключений, ограничение длительности сессии |
"Дельта-Банк" | Одноразовые смс-пароли | ... |
Swedbank | Одноразовые смс-пароли | Bиртуальная клавиатура |
"Пивденный" | Внешний электронный ключ | ЭЦП |
"Сбербанк России" | Одноразовые смс-пароли | ЭЦП |
Universal Bank | Личный цифровой сертификат | Mожно заказать смарт-карту для хранения личного сертификата |
Другие опасности.
Помимо риска мошеннического взлома, пользователь интернет-банкинга подвергается и другим угрозам. Например, нежелательное списание средств через интернет-банкинг может произойти, если пользователь сам неправильно ввел данные для отправки денег.
"Если клиент при отправке платежа через интернет-банкинг допустил ошибку в номере счёта, то процедура возврата такого платежа ничем не отличается, как если бы платёж был отправлен при посещении отделения банка. Увидев, что платеж в системе интернет-банкинга отправлен ошибочно, клиент должен уведомить об этом свой банк", – комментирует Юлия Морозова, директор департамента развития карточного бизнеса VAB.
Эксперты отмечают, что успешность исправления такой ошибки в первую очередь зависит от скорости реакции на нее самого пострадавшего. Если ваши средства еще не были отправлены в банк получателя, то вы получите их назад почти сразу. Если платеж уже поступил в другой банк – то придется немного подождать. "Если деньги были отправлены в другой банк на счет юридического лица, то в связи с тем, что остальные реквизиты не соответствуют счету, деньги будут возвращены в течение трех дней либо на основании заявления", – рассказывает Ростислав Божко, ведущий специалист управления альтернативной дистрибуции "МАРФИН БАНКА".
Впрочем, возврат средств может затянуться и на более длительный срок. "Точные сроки возврата в данном случае будут зависеть от банка получателя. То есть, как только банк-получатель вернет средства банку-отправителю, средства будут зачислены на счет клиента", – поясняет Юлия Морозова.
Сложнее всего дело обстоит в том случае, если деньги были отправлены на счет физического лица и уже поступили на его счет. "Если денежные средства были зачислены получателю, то согласно п.1.7 и 1.19 Инструкции НБУ "О безналичных расчетах в Украине в национальной валюте" №22 от 21 января 2004 года распорядителем средств является владелец счета. Соответственно, письмо с просьбой вернуть ошибочно перечисленные средства на счет клиента необходимо направлять получателю средств", – рассказывает Егор Изотов. В таком случае вернуть свои деньги вы сможете либо с согласия получателя, либо по решению суда.
Впрочем, интернет-банкинг не застрахован и от других рисков, к возникновению которых люди не причастны. Например, если во время проведения операции возникнет технический сбой. Эксперты уверяют, что такой риск не несет большой угрозы для владельца счета. "Системы интернет-банкинга, как, и любые иные современные системы обработки данных, устроены таким образом, что в случае технического или программного сбоя в процессе транзакции документ просто не будет принят банком", – рассказывает Егор Изотов. Но даже если неверная операция все же была проведена – стоит сразу же обратиться в банк для исправления ошибки. "Если при осуществлении перевода произойдет сбой в транзакции, то о таком сбое достаточно проинформировать банк и средства будут возвращены на счет в кратчайшие сроки", – уверяет Ростислав Божко.
В то же время, пользователь интернет-банкинга может столкнуться и с гораздо белее неприятной ситуацией. Так, по сообщениям в СМИ, клиент одного из российских банков в начале 2009 года попал в неприятную историю, когда одноразовые пароли на подтверждение платежей в системе интернет-банкинга присылались не на его, а на чужой номер мобильного телефона. В результате, мошенниками со счета были списаны крупные суммы денег. Пострадавший уверен, что в инциденте замешаны сотрудники банка, ведь только они могли не просто сообщить злоумышленникам регистрационные данные (логин и пароль от учетной записи), но и отправлять им разовые пароли.
Опыт пострадавшего в этой ситуации показывает, что доказать что-то в таких обстоятельствах довольно сложно. Скорее всего, придется обращаться в суд, а его решение будет во многом зависеть от содержания договора, подписанного с банком. Впрочем, эксперты отмечают, что такого вида мошенничество не связано напрямую с использованием интернет-банкинга, ведь в присутствии недобросовестного сотрудника мошенники могли с таким же успехом оформить поддельное платежное поручение.
Автор статьи: Евгения Резниченко
e-Commerce (17.06.2011 в 11:55) | вверх страницы | к списку статей
|
|