Как выглядят существующие сегодня методы защиты пользователей Интернет-банкинга от мошенников? Узнавал у экспертов Prostobank.ua.
Егор Изотов, начальник отдела информационно-технической защиты Пивденкомбанка:
Вне зависимости от методов, применяемых для взятия под контроль клиентской части системы дистанционного обслуживания, существует одна-единственная задача, которой они служат – внедрение функционирующего злонамеренного кода в среду выполнения прикладной программы (операционную систему), или в саму программу, в данном случае — в программу дистанционного обслуживания. Какую задачу этот код решает – хищение ключей и паролей, установление дистанционного доступа, или какую-то иную – уже не столь важно. Важно лишь то, что он должен быть внедрен и исполнен на стороне «жертвы».
Следовательно, достаточно надежная схема безопасности должна решать следующий минимальный набор задач:
- создание безопасной, доверенной и неизменной среды функционирования системы дистанционного обслуживания на стороне клиента банка. Никакие изменения в рабочем коде среды и ее настройках, возникшие в процессе функционирования системы, не должны сохраняться при выключении системы. В этом случае, даже если злоумышленник и получит каким-то образом удаленный доступ к этой среде в процессе ее функционирования, он не сможет завладеть ею на постоянной основе;
- создание защищенного от несанкционированного доступа канала передачи информации между клиентом и банком;
- обеспечение условий, не допускающих хищение ключей и паролей, применяемых для работы в системе дистанционного обслуживания.
Этим критериям соответствует специальный компьютер, виртуальный, получаемый путем загрузки со специального неизменяемого системного носителя, или «обычный», но, в любом случае, – узкоспециализированный, решающий только одну-единственную задачу: обеспечение работы системы дистанционного обслуживания. Такие решения, в разработке которых довелось принимать участие специалистам нашего банка, уже существуют, но, к сожалению, не в Украине.
В нашем банке используются следующие базовые механизмы обеспечения безопасности:
- электронная цифровая подпись (ЭЦП) под финансовыми документами для обеспечения целостности и аутентичности (доказательство авторства) передаваемой информации;
- криптографические алгоритмы шифрования данных при передаче информации между банком и клиентом для конфиденциальности передаваемых данных;
- механизм криптографической аутентификации сторон при защищенном взаимодействии через Интернет.
Кроме того, применяются и иные организационно-технические мероприятия, такие как фильтрация IP-адресов корреспондентов, базовый фрауд-мониторинг и т.д.
Борис Косяков, начальник управления информационной безопасности Астра Банка:
В большинстве случаев применяются следующие системы безопасности:
- шифрование передаваемых данных,
- строгая аутентификация пользователей с помощью криптографии, в том числе системы одноразовых паролей,
- электронная цифровая подпись,
- двойной контроль всех платежных операций.
Надежнее всего комбинировать использование этих систем. Но никакие технические меры, применяемые банком, не помогут уберечься от мошенничества, если клиенты не соблюдают элементарные правила безопасности.
Для обеспечения максимальной надежности Интернет-банкинга мы используем комбинирование средств защиты: шифрование канала передачи данных, строгую аутентификацию пользователей, электронную цифровую подпись на передаваемых данных и двойной контроль платежных операций.
Юлия Морозова, директор департамента развития карточного бизнеса VAB Банка:
Для предоставления качественных услуг своим клиентам банки сегодня обеспечивают наивысший уровень защиты передачи данных. Используются web-сервис с сертификатом безопасности https://, есть требования к паролю для входа в систему. Для подтверждения проведения каждой операции запрашивается введение одноразового пароля. В системе внедрена генерация ключей электронной цифровой подписи. При нескольких неудачных попытках регистрации в системе учетная запись автоматически блокируется.
В качестве элемента безопасности передачи данных в сети Интернет наш банк использует специальный сертификат безопасности https://. C целью повышения безопасности работы с web-сервисами наш банк ввел политику безопасности использования паролей при работе в системе Интернет-банкинга. При регистрации в системе клиенту отправляется ОТP-пароль, который генерируется автоматически и известен только ему. Этот пароль действует ровно сутки. При первой авторизации в Интернет-банкинге система потребует изменить инициальный пароль (ОТP-пароль). Пароль должен состоять из символов, букв и цифр. Стоит учесть, что после нескольких неудачных попыток регистрации система автоматически заблокирует учетную запись.
Для исключения перехвата конфиденциальных данных вирусными программами советуем пользоваться виртуальной клавиатурой при наборе логина и пароля. К тому же, клиент выбирает себе аватар – уникальную картинку, которая известна только ему. Если при входе в Интернет-банкинг клиент увидит другое изображение, это означает, что кто-то пытается получить доступ к его данным. В этом случае мы рекомендуем не выполнять каких-либо действий на странице и немедленно обратиться в банк.
Каждая активная операция клиента, совершенная в системе Интернет-банкинга нашего банка, подтверждается одноразовым паролем, который действует всего 5 минут.