ПОДЕЛИТЬСЯ

Просто отправлять платежи, не выходя из дому, с помощью Интернет-банкинга. Но всегда ли можно быть уверенным, что с вашего счета спишется только указанная вами сумма, а платеж дойдет по назначению? Об опасностях, которые могут подстерегать пользователей онлайн банкинга, о том, как борются с ними банки и как уберечься от них пользователю, узнавал Prostobank.ua.

По утверждениям экспертов, основная и самая главная угроза, подстерегающая любого пользователя Интернет-банкинга – это риск мошеннического взлома и несанкционированного доступа к средствам на счете. «Единственной существенной опасностью, которая может подстерегать пользователей этих систем, является риск противоправного завладения их денежными средствами злоумышленниками, с использованием возможностей систем «Интернет-банкинга», впрочем, как и любых иных типов систем дистанционного обслуживания», — рассказывает Егор Изотов, начальник отдела информационно-технической защиты Пивденкомбанка.

А потому банки стараются использовать различные системы и механизмы, призванные если не гарантировать, то, по крайней мере, повысить безопасность использования онлайн банкинга.

Шифрование данных

На сегодня уже всеми или почти всеми банками, предоставляющими услугу Интернет-банкинга, применяется SSL-шифрование данных, передаваемых от компьютера пользователя в систему банка и обратно. Эта мера безопасности позволяет исключить распространенный ранее вид мошенничества. «Раньше часто использовалась схема «man in the middle»: данные о платеже перехватываются на этапе, когда они отправлены от клиента, но еще не дошли в банк. Мошенник меняет данные и только после этого отправляет их в банк», — рассказывает Борис Косяков, начальник управления информационной безопасности Астра Банка.

Чтобы воспользоваться всеми преимуществами защищенной передачи данных, следует соблюдать элементарные меры безопасности в Интернете – не реагировать на подозрительные сообщения (полученные якобы от вашего банка) и не переходить по неизвестным ссылкам.

Одноразовые пароли, получаемые в банкомате

При такой системе защиты, кроме обычного логина и пароля, для входа в систему и подтверждения операций пользователь должен ввести одноразовый пароль, список которых он может получить в банкомате своего банка.

С точки зрения безопасности такая система имеет преимущество – чтобы совершать операции по карточному счету через интернет-банкинг, лицо должно как минимум иметь в наличии непосредственно саму карту, а также знать ПИН-код, чтобы получить список паролей в банкомате.

Вместе с тем нельзя не отметить ряд недостатков такой системы защиты. Во-первых, список паролей, распечатанный в виде чека из банкомата, вам придется хранить для подтверждения будущих операций. А это значит, что если вы случайно потеряете или выбросите чек (или просто используете все пароли), вам придется идти за новым. Зачастую список паролей можно получить далеко не в каждом банкомате банка, и вполне вероятно, что вам придется ехать за ним на другой конец города. К тому же, списком могут завладеть злоумышленники.

Если ваша система интернет-банкинга предусматривает использование списка одноразовых паролей, постарайтесь придерживаться простых правил. Во-первых, не выбрасывайте список паролей и по возможности старайтесь его не терять. Во-вторых, не храните список одноразовых паролей вместе с логином и паролем от вашей учетной записи. Последний вовсе не рекомендуется записывать, лучше запомнить.

Одноразовые СМС-пароли

Этот способ аутентификации пользователя в системе интернет-банкинга является едва ли не самым распространенным в предложениях украинских банков. При такой системе каждая операция, которую вы совершаете с помощью онлайн банкинга, должна быть подтверждена одноразовым паролем, который вы получите в СМС-сообщении на ваш мобильный телефон. При этом ваш мобильный номер должен быть «привязан» к номеру счета.

Такая система имеет ряд преимуществ. Во-первых, она достаточно проста в использовании – вам не нужно специальное оборудование, а процедура подтверждения операции занимает всего пару минут. Во-вторых, она позволяет обезопасить вашу учетную запись от использования злоумышленниками – даже если мошенникам станет известен ваш логин и пароль для входа в систему, они не получат доступ к вашим деньгам, а вы узнаете о попытке провести несанкционированную операцию из СМС-сообщения. Кроме этого, вам не нужно хранить список одноразовых паролей, а значит, вы не сможете его потерять, и у вас его не украдут.

На этом преимущества системы заканчиваются. Действительно, злоумышленникам довольно сложно завладеть одноразовым паролем, действующим в течение короткого времени. Если только они не завладели вашим мобильным телефоном. И совсем бесполезной система будет в том случае, если вы пользуетесь интернет-банкингом с мобильного телефона и сохраняете пароли в браузере. Тогда, украв у вас телефон, мошенник получит ваш счет в полное распоряжение.

Если ваш банк использует аутентификацию пользователя по СМС, постарайтесь придерживаться таких правил:

  • не пользуйтесь Интернет-банкингом с мобильного телефона;
  • не сохраняйте пароль от учетной записи в браузере;
  • в случае потери или кражи мобильного телефона – немедленно обратитесь в банк с просьбой заблокировать вашу учетную запись Интернет-банкинга.

Электронная цифровая подпись (ЭЦП)

Этот механизм чаще используется при обслуживании банками компаний, но иногда его предлагают и индивидуальным клиентам. Плюс ЭЦП в том, что она позволяет однозначно идентифицировать пользователя. Недостаток же заключается в том, что ЭЦП также может быть уязвима для мошенников. Злоумышленники могут добраться до ключа от вашей цифровой подписи, заразив ваш компьютер вредоносным программным обеспечением. «Существуют «трояны», умеющие находить и красть на зараженном компьютере аутентификационные данные (идентификаторы, пароли и даже ключи ЭЦП) пользователей для доступа к различным сервисам (в том числе и серверам удаленного обслуживания клиентов банков)», — рассказывает Борис Косяков.

Если для подтверждения ваших финансовых операций через интернет вы используете ЭЦП, не забывайте пользоваться антивирусными программами и регулярно проверять ваш компьютер на предмет заражения компьютерными вирусами. Также эксперты не советуют оставлять ключ ЭЦП подключенным к компьютеру, если вы его не используете.

Внешние электронные устройства

Некоторые банки предлагают пользователям онлайн банкинга приобрести (или взять в аренду) специальное устройство – генератор одноразовых паролей. Генератор подключается к компьютеру через usb-порт и не требует специального программного обеспечения.

Другие учреждения предлагают использовать внешний электронный ключ, который генерируется при первом подключении к системе Интернет-банкинга, записывается на внешний носитель и затем используется при проведении операций в системе.

Такие системы, по сути, являются упрощенной версией ЭЦП. Среди недостатков их можно выделить то, что вы не сможете получить доступ к своему счету, не имея под рукой «ключа», а всегда носить его с собой может быть не очень удобно и безопасно.

Помимо перечисленного выше, банки зачастую применяют дополнительные меры для обеспечения безопасного пользования интернет-банкингом:

  • ограничение использования личного сертификата – система некоторых банков позволяет использовать электронный ключ (электронный сертификат) только на том компьютере, на котором он был сгенерирован. Таким образом, осуществлять платежи через Интернет-банкинг вы сможете только со своего личного компьютера (хотя просматривать выписки по счету можно и на других устройствах);
  • виртуальная клавиатура – предназначена для того, чтобы мошенники не могли «считать» ваши регистрационные данные при вводе их с обычной клавиатуры с помощью компьютерных вирусов («троянов»);
  • ограничение длительности сессии – в случае неактивности пользователя, сессия в системе Интернет-банкинга через определенное время (обычно 10-15 минут) будет закрыта. После этого для возобновления работы потребуется заново пройти аутентификацию;
  • история подключений – с помощью этой функции пользователь Интернет-банкинга узнает, если кто-то кроме него подключался к системе, а также сможет отследить все несанкционированные операции, если они были произведены.

Многое зависит от пользователя

Эксперты отмечают, что чаще всего причиной мошеннического доступа к счету пользователя Интернет-банкинга является невнимательность и неосторожность самого пользователя. А потому, чтобы избежать возможных проблем, владельцу учетной записи следует беречь данные доступа к ней. Во-первых, эксперты советуют периодически изменять пароли для доступа в систему, желательно делать это раз в месяц и не использовать Интернет-банкинг на непроверенных компьютерах (например, в Интернет-кафе).

Помимо этого, следует соблюдать осторожность при работе в Интернете. «Мошенники широко используют приемы «социальной инженерии» для того, чтобы выманить аутентификационные данные (логин, пароль и т.д.) клиентов. Наиболее старый метод – «фишинговые» письма электронной почты, которые провоцируют получателей отправить свои аутентификационные данные злоумышленникам или предлагают пройти по ссылке на мошеннический сайт. С ростом популярности социальных сетей («Одноклассники», Twitter, Facebook) мошенники тут же начали использовать для «фишинга» сообщения социальных сетей. Также злоумышленники создают подложные копии сайтов для Интернет-банкинга с именами, очень похожими на настоящие», — поясняет Борис Косяков. И если вы введете на таком сайте данные своей учетной записи, то они тут же попадут в руки к мошенникам.

Если у вас возникли опасения, что мошенники получили доступ к вашему счету через Интернет-банкинг, эксперты советуют предпринять следующие действия:

  • отключить компьютер от Интернета;
  • обратиться в контакт-центр (а при необходимости – в отделение) вашего банка, изложить проблему и попросить заблокировать вашу учетную запись;
  • проверить компьютер на предмет заражения вредоносным программным обеспечением;
  • возобновить работу с системой онлайн банкинга только тогда, когда вы убедились, что угроза отсутствует;
  • сменить пароль от учетной записи.

Если ваши подозрения оправдались, и со счета были списаны несанкционированные вами платежи, следует составить заявление о произошедшем в банк и в правоохранительные органы. В этом случае не рекомендуется совершать никаких действий на вашем компьютере (устанавливать или удалять программное обеспечение и т.п.) до прибытия сотрудников правоохранительных органов или специалистов банка, поскольку любые изменения могут помешать расследованию инцидента.

Системы безопасности Интернет-банкинга, используемые крупнейшими украинскими банками (банки расположены по размеру активов):

Банк Какая система безопасности используется Дополнительно
ПриватБанк Одноразовые смс-пароли виртуальная клавиатура, ограничение длительности сессии
Укрэксимбанк Одноразовые пароли (используется USB-генератор) ЭЦП
УкрСиббанк Внешний электронный ключ ЭЦП
Укрсоцбанк Одноразовые пароли (получаются в банкомате банка) код PIN2, выдается одновременно с картой
Альфа-Банк Одноразовые смс-пароли
ОТП Банк Одноразовые пароли (используется USB-генератор)
Финансы и Кредит Одноразовые смс-пароли ЭЦП
Первый Украинский Международный Банк Одноразовые смс-пароли
Форум Одноразовые смс-пароли История подключений, ограничение длительности сессии
Дельта-Банк Одноразовые смс-пароли
Сведбанк Одноразовые смс-пароли Bиртуальная клавиатура
Пивденный Внешний электронный ключ ЭЦП
Сбербанк России Одноразовые смс-пароли ЭЦП
Universal Bank Личный цифровой сертификат Mожно заказать смарт-карту для хранения личного сертификата

Другие опасности

Помимо риска мошеннического взлома, пользователь Интернет-банкинга подвергается и другим угрозам. Например, нежелательное списание средств через Интернет-банкинг может произойти, если пользователь сам неправильно ввел данные для отправки денег.

«Если клиент при отправке платежа через Интернет-банкинг допустил ошибку в номере счёта, то процедура возврата такого платежа ничем не отличается, как если бы платёж был отправлен при посещении отделения банка. Увидев, что платеж в системе Интернет-банкинга отправлен ошибочно, клиент должен уведомить об этом свой банк», — комментирует Юлия Морозова, директор департамента развития карточного бизнеса VAB Банка.

Эксперты отмечают, что успешность исправления такой ошибки в первую очередь зависит от скорости реакции на нее самого пострадавшего. Если ваши средства еще не были отправлены в банк получателя, то вы получите их назад почти сразу. Если платеж уже поступил в другой банк – то придется немного подождать. «Если деньги были отправлены в другой банк на счет юридического лица, то в связи с тем, что остальные реквизиты не соответствуют счету, деньги будут возвращены в течение трех дней либо на основании заявления», — рассказывает Ростислав Божко, ведущий специалист управления альтернативной дистрибуции МАРФИН БАНКА. Впрочем, возврат средств может затянуться и на более длительный срок. «Точные сроки возврата в данном случае будут зависеть от банка получателя. То есть, как только банк-получатель вернет средства банку-отправителю, средства будут зачислены на счет клиента», — поясняет Юлия Морозова.

Сложнее всего дело обстоит в том случае, если деньги были отправлены на счет физического лица и уже поступили на его счет. «Если денежные средства были зачислены получателю, то согласно п.1.7. и 1.19. Инструкции НБУ «О безналичных расчетах в Украине в национальной валюте» №22 от 21.01.04г. распорядителем средств является владелец счета. Соответственно, письмо с просьбой вернуть ошибочно перечисленные средства на счет клиента необходимо направлять получателю средств», — рассказывает Егор Изотов. В таком случае вернуть свои деньги вы сможете либо с согласия получателя, либо по решению суда.

Впрочем, Интернет-банкинг не застрахован и от других рисков, к возникновению которых люди не причастны. Например, если во время проведения операции возникнет технический сбой. Эксперты уверяют, что такой риск не несет большой угрозы для владельца счета. «Системы Интернет-банкинга, как, и любые иные современные системы обработки данных, устроены таким образом, что в случае технического или программного сбоя в процессе транзакции документ просто не будет принят банком», — рассказывает Егор Изотов. Но даже если неверная операция все же была проведена – стоит сразу же обратиться в банк для исправления ошибки. «Если при осуществлении перевода произойдет сбой в транзакции, то о таком сбое достаточно проинформировать банк и средства будут возвращены на счет в кратчайшие сроки», — уверяет Ростислав Божко.

В то же время, пользователь Интернет-банкинга может столкнуться и с гораздо белее неприятной ситуацией. Так, по сообщениям в СМИ, клиент одного из российских банков в начале 2009 года попал в неприятную историю, когда одноразовые пароли на подтверждение платежей в системе Интернет-банкинга присылались не на его, а на чужой номер мобильного телефона. В результате, мошенниками со счета были списаны крупные суммы денег. Пострадавший уверен, что в инциденте замешаны сотрудники банка, ведь только они могли не просто сообщить злоумышленникам регистрационные данные (логин и пароль от учетной записи), но и отправлять им разовые пароли.

Опыт пострадавшего в этой ситуации показывает, что доказать что-то в таких обстоятельствах довольно сложно. Скорее всего, придется обращаться в суд, а его решение будет во многом зависеть от содержания договора, подписанного с банком. Впрочем, эксперты отмечают, что такого вида мошенничество не связано напрямую с использованием Интернет-банкинга, ведь в присутствии недобросовестного сотрудника мошенники могли с таким же успехом оформить поддельное платежное поручение.

Мнение

Юлия Морозова, директор департамента развития карточного бизнеса VAB Банка:

Для предоставления качественных услуг своим клиентам банки сегодня обеспечивают наивысший уровень защиты передачи данных. Используются web-сервис с сертификатом безопасности https://, есть требования к паролю для входа в систему. Для подтверждения проведения каждой операции запрашивается введение одноразового пароля. В системе внедрена генерация ключей электронной цифровой подписи. При нескольких неудачных попытках регистрации в системе учетная запись автоматически блокируется.

Для исключения перехвата конфиденциальных данных вирусными программами советуем пользоваться виртуальной клавиатурой при наборе логина и пароля.

Ростислав Божко, ведущий специалист управления альтернативной дистрибуции МАРФИН БАНК:

Перечислим некоторые рекомендации, которые будут полезны всем пользователям Интернет-банкинга, прежде всего:

  • использовать антивирусное программное обеспечение и межсетевые экраны (файрволы), известных производителей;
  • ограничивать доступ к компьютерам, с которых ведется работа с системой Интернет-банкинг, посторонним лицам;
  • не работать на компьютере, с которого выполняется работа с системой Интернет-банкинг, с правами системного администратора;
  • не использовать для работы в сети Интернет и в системе Интернет-банкинг не проверенные компьютеры (например, в Интернет-кафе), на которых может быть установлено вредоносное программное обеспечение.

Борис Косяков, начальник управления информационной безопасности Астра Банка:

Что делать клиенту, если его учетную запись взломали?

В первую очередь нужно отключить взломанный (зараженный) компьютер от сети и сообщить об этом в банк, чтобы заблокировать учетную запись клиента для предотвращения мошенничества.

Обеспечить сохранность всех необходимых данных для дальнейшего расследования – ничего не изменять на взломанном (зараженном) компьютере.

Для расследования привлекать квалифицированных специалистов (из банка или специализированных фирм). Только квалифицированное расследование и выяснение причины поможет избежать подобных инцидентов в дальнейшем.

Егор Изотов, начальник отдела информационно-технической защиты Пивденкомбанка:

Практика показала, что злоумышленники чаще всего не пытаются взламывать компьютерные сети банков, а захватывают управление компьютерами клиентов, и, получая доступ к ключам электронно-цифровой подписи и паролям доступа, осуществляют платежи от их имени.

Следовательно, достаточно надежная схема безопасности должна решать следующий минимальный набор задач:

  1. Создание безопасной, доверенной и неизменной среды функционирования системы дистанционного обслуживания на стороне клиента банка. Никакие изменения в рабочем коде среды и ее настройках, возникшие в процессе функционирования системы, не должны сохраняться при выключении системы. В этом случае, даже если злоумышленник и получит каким-то образом удаленный доступ к этой среде в процессе ее функционирования, он не сможет завладеть ею на постоянной основе;
  2. Создание защищенного от несанкционированного доступа канала передачи информации между клиентом и банком;
  3. Обеспечение условий, не допускающих хищение ключей и паролей, применяемых для работы в системе дистанционного обслуживания.

Этим критериям соответствует специальный компьютер, виртуальный, получаемый путем загрузки со специального неизменяемого системного носителя, или «обычный», но, в любом случае – узкоспециализированный, решающий только одну-единственную задачу: обеспечение работы системы дистанционного обслуживания. Такие решения, в разработке которых довелось принимать участие специалистам нашего банка, уже существуют, к сожалению – не в Украине.

Анджей Олейник, директор по маркетингу и развитию продуктов Platinum Bank:

Банки прилагают максимум усилий для того, чтобы технические средства системы Интернет-банкинга защищали денежные средства и финансовую информацию пользователей от злоумышленников. Конечно, все эти сложные и дорогие системы наиболее эффективно работают в комплексе с ответственным и внимательным отношением пользователя к своим паролям, ключам электронно-цифровой подписи и другим средствам защиты, предлагаемым банками. Мы рекомендуем соблюдать несколько простых правил безопасности, которые обеспечат секретность личных данных клиента и сохранность его денег:

  • никому не сообщать свой пароль. Сотрудники банка никогда, ни при каких обстоятельствах не запрашивают пароли пользователей;
  • не сохранять ключ электронно-цифровой подписи на чужих компьютерах;
  • избегать проведения платежей или смены паролей с компьютеров, к которым имеет доступ множество людей (компьютеры в интернет-клубах, залах ожидания на вокзалах, аэропортах и т.п.);
  • если пользователю показалось, что кто-то подсмотрел его пароль, необходимо сразу уведомить банк и заблокировать доступ в систему;
  • если клиенту все же не удалось обеспечить секретность своих данных, первое что он должен сделать — это проинформировать банк о случившемся. Банк заблокирует доступ пользователя в систему и счета клиента, чтобы избежать финансовых потерь. Клиенту будет необходимо составить заявление, в котором он укажет обстоятельства случившегося. Расследование таких событий проводит служба безопасности банка совместно с правоохранительными органами.

Евгения Резниченко