Не корысти ради

Глобальные средства массовой информации время от времени пугают аудиторию различными «страшилками», пытаясь представить Красную Поднебесную чуть ли не «пиратским королевством» хакеров, угрожающих безопасности международных электронных расчётов. Как же в действительности обстоят дела с развитием передовых банковских сервисов, в частности дистанционного обслуживания, в Китайской Народной Республике, что делается для обеспечения их информационной безопасности?

БОЛЬШЕ, ЧЕМ КИТАЙЦЕВ

Минувшим летом количество банковских карт, выданных в Китае, достигло 2,67 млрд., − говорится в докладе Объединения китайских банковских учреждений. Статистически на каждого китайца, которых в КНР более 1,34 млрд. по данным последней переписи населения, приходится по 2 банковские карточки. Это не предел, внутренний рынок банковских карточек далеко не переполнен. Кредитными являются пока только около 230 млн., 10% всех выпущенных карт.

Эксперты, несмотря на надвигающуюся вторую волну глобального финансового кризиса, учитывают рост благосостояния китайцев и предрекают дальнейшее распространение банковских услуг. Рост объёмов выпуска банковских карт сулит и такой косвенный показатель, как растущий индекс потребительского доверия их держателей, который с 2009 года рассчитывают китайское информационное агентство «Синьхуа» и корпорация «Чайна Юнионпэй».

Развитие «карточной индустрии» стимулируется государственной программой эмиссии этих средств расчётов. В Китае запущен проект обеспечения граждан «гибридными» картами наподобие российской универсальной электронной карты. Китайский «гибрид» наделён функциями банковской карточки, карты медицинского страхования и идентификационного документа. Пользоваться такими картами большинство китайцев начнут к 2015 году.

Специальные исследования свидетельствуют: число пользователей мобильных банковских услуг в Китае только за последний период выросло на треть. Обеспеченные китайцы − чиновники, руководители и сотрудники преуспевающих компаний − всё активнее используют банковскими картами через интернет. Всё больше сделок совершается в сети подобным образом, перспективы перед бизнесом в китайской зоне интернета − огромные. Заметим, что количество пользователей всемирной сети в КНР давно превысило всё население Соединённых Штатов, и этот разрыв будет только возрастать.

ИХ ЗОВУТ «ХЭЙКЕ»

По мере быстрого роста экономики, благосостояния граждан, всё более широкого использования дистанционного банковского обслуживания и платежей через интернет, китайские банковские счета и карточки становятся всё более привлекательными для злоумышленников. Но каких − зарубежных или своих, доморощенных?

Забываются времена, когда слова «Made in China» воспринимались как синоним «дёшево да гнило», ведущие мировые компании наперегонки спешат перенести производственные мощности в эту страну. Зато способности китайских хакеров изначально не ставились под сомнение: легендарный вирус конца 1990-х CIH был назван по инициалам своего создателя Чхэнь Иньхао, выходца из Китая. Один из новейших стереотипов массового сознания в отношении КНР − что это «страна хакеров».

Последние года на серверы крупных западных компаний регулярно подвергались информационным атакам, порой весьма успешным, следы которых вели в Китай. Компания Googleобвиняла китайцев в несанкционированном доступе к электронным почтовым ящикам южнокорейских чиновников и китайских диссидентов-правозащитников. Грянул скандал вокруг многолетнего сетевого шпионажа со взломом баз данных интернет-ресурсов правительственных органов ряда государств и крупных мировых корпораций, где также усмотрели «китайским след». Стоит упомянуть и про регулярные хакерские атаки с политической окраской, например, на порталы организаций США и сепаратистского Тайваня.

Мировые средства массовой информации немало потрудились, чтобы сформировать в общественном мнении жупел многотысячной армии хакеров, трудящихся под руководством Коммунистической партией Китая. Электронная «жёлтая» пресса не устаёт муссировать слухи о специальном обучении тысяч «хэйкэ» − китайская «калька» с английского hacker, которые и организуют периодические нападения на серверы ООН или Пентагона. Специалисты «Лаборатории Касперского» считают, что именно Китаю интернет обязан десятикратным ростом числа зловредных программ в последние годы.

ЗА КРАЖУ − СМЕРТЬ

Сами китайцы смеются на подобными недружественными измышлениями. Вспоминают старый анекдот про взлом сервера Пентагона простой ручной подборкой пароля: каждый второй китаец набирал «Мао Цзэдун», и на 120-миллионной попытке сервер «согласился», что пароль именно такой. Шутки шутками, но официальный Китай, отвергая обвинения в адрес своих граждан, выдвигает встречные претензии по поводу бесконечных хакерских атак на национальные интернет-ресурсы. Чиновники заявляют, что не потворствуют кибер-преступности, а напротив, для противодействия злоумышленникам готовы к сотрудничеству, в том числе международному.

На счёт китайских IT-злоумышленников относят успешные «операции» и против «родных» крупнейших банков, частности, Банка коммуникаций и Индустриального коммерческого банка. Страдают и обычные граждане, которые, ведясь на посулы беспроцентных кредитов или прочих гор золотых, вводили персональные данные на фишинговых сайтах. Официальная статистика этого вида преступлений ведётся с 2008 года, когда у сотен пользователей из Пекина, Уханя, Шанхая, Шенчженя организованные группы злоумышленников изъяли около $13 млн.

Но Китай такая страна, что особо не забалуешь. Политическое руководство начало применять в отношении кибер-преступников жесткие, но справедливые кары с непременным назидательным эффектом. В 1999 году были приговорены к смертной казни братья Цзинвэня и Цзинлуна Хао за взлом компьютерной сети Банка коммуникаций и хищение 720 000 юаней − тогда около $87 000. Правда, одного из них за сотрудничество со следствие помиловали. Позднее четверых преступников из Харбина, похитивших свыше 1 млн. юаней, или примерно $ 120 000, получили от 10 до 15 лет тюрьмы.

В преддверии Олимпийских игр, чтобы обезопасить банковские карты туристов от мошенников, был разработан официальный программный документ «Белая книга» с анализом обеспечения в стране сетевой и банковской безопасности. Опыт тесного сотрудничества банковских организаций с органами юстиции в противодействии кибер-преступникам оказался положительным.

… ОТ СЕМИ ЛЕТ ТЮРЬМЫ

Наказания за преступления в сфере информационной безопасности были ужесточены. В сентябре 2011 года вступила в силу «прогрессивная шкала»: чем большему количеству компьютеров нанесли ущерб действия хакера, тем больший тюремный срок ему грозит. Предусмотрены наказания от 3 лет тюрьмы за 20 повреждённых компьютеров до 7 и более за ущерб более чем сотне пользователей.

Введение новых санкций возымело действие. Легендарные китайские кибер-гуру Гун Вэй и Вань Тао, «отцы» двух старейших национальных хакерских сообществ, обратились к «коллегам» с призывом обсудить и принять «Хакерскую конвенцию самодисциплины». Речи идёт не о капитуляции: документ определяет моральные принципы деятельности хакера и по духу чем-то напоминает кодексы восточных боевых искусств.

Хакер должен отречься от корысти, его деятельность рассматривается как путь самосовершенствования. Приёмы информационных атак запрещается применять ради финансовой выгоды. Отвергается любое вмешательство, в том числе кража персональных данных, в жизнь обычных граждан, в особенности детей. Также авторы конвенции предлагают не использовать хакерство в политических целях.

Китайские банки, в свою очередь, стремятся обезопасить деньги клиентов от посягательств кибер-злоумышленников. При подключении дистанционного банковского обслуживания, в том числе через интернет, клиентов инструктируют и снабжают различными средствами информационной защиты.  Официальные сайты банков пестрят многократными, на разны лады призывами к бдительности.

Средства информационной защиты в Китае используют традиционные, начиная с распечаток одноразовых паролей − распределённых по ячейкам цифр, последовательность которых нужно ввести для идентификации пользователя при транзакции. Многие банки за умеренную сумму от 40 до 60 юаней выдают клиенту e-токен − USB-флэшку cэлектронной подписью. Которую для подтверждения онлайн-покупки необходимо вставить в порт компьютера, а потом и ввести дополнительный пароль в всплывающем окне.

При этом осуществляется мониторинг компьютера пользователя на наличие вредоносных программ. Правда, в в пассивном режиме, поскольку применяемый софт не позиционируется как антивирус или брандмауэр. Широко применяется sms-оповещение: пароли с быстро истекающим сроком годности, которые нужно вводить на интернет-ресурсах банка, оперативные сообщения о любых изменениях на счёте, о попытках входа в систему под логином клиента и т. д.

РАСЧЁТЫ ЧЕРЕЗ ШЛЮЗ

Бастионом безопасности расчётов в интернете служит система Alipay, по-китайски, Чжифубао − финансовый шлюз между покупателем и продавцом. Требуется регистрация пользователей с указанием достоверных данных китайского аналога паспорта. Для иностранцев, кроме паспорта, необходимо письменное поручительство реально существующего гражданина Китая. При покупке нужная сумма с карточного счёта покупателя переводится продавцу только в том случае, если в течение контрольного срок оплата не опротестовывается. Этапы сопровождаются sms-оповещением плательщика по мобильному телефону.

Система Alipay, первоначально китайская копия западного интернет-сервиса PayPal, прекрасно прижилась и стремительно развилась на благодатной китайской почве. Большинство китайских online-магазинов добровольно используют её возможности как надёжную гарантию безопасности расчётов. В общем, для информационной защиты клиентов китайские банки не предлагает ничего оригинального, зато эффективно используют испытанные во многих странах средства.

Но китайские мошенники пытаются облапошить граждан, под разными предлогами провоцируя их нарушать нехитрые правила информационной безопасности электронных расчётов, сформулированные для клиентов банками и платёжными системами. Приведу историю из собственного опыта, по всей видимости, довольно типичную. Как-то коллега попросил меня о небольшом одолжении − купить в Китае для него новенький компьютер-планшет. Благо знал о моём богатом опыте переговоров в китайском интернете с продавцами по поводу цены и комплектации покупок.

На китайском интернет-аукционе Тао Бао (ходячее выражение, буквально значит что-то вроде «толкнуть добро»), аналоге eBay, я обнаружил заманчивое предложение − новёхонький планшетник, только с завода, в замечательной комплектации. Среди аналогичных лотов выделялся ценой ниже чуть ли не на четверть, что не показалась мне подозрительным. Подобная скидка может означать рекламную акцию, или же желание «модника» поскорее скинуть «старьё» для покупки «самой наиновейшей новинки».

РЫБКА КЛЮНУЛА, ДА СОРВАЛАСЬ

Во время переговоров в системе Тао Бао продавец был дружелюбен и предупредителен, что вообще характерно китайцев, желающих сбыть товар. Товар в наличии, заверил он, может быть отослан прямо сейчас. Кстати, у вас случайно банковский счёт не в одном из таких-то ведущих китайских банков? Прельстившись возможными бонусами (вкладывать недорогие сувениры в товарную упаковку − обычай китайских продавцов), я ответил утвердительно, и назвал банк.

Продавец воодушевился: «Прекрасно! У нас ведь сейчас действует договорённость с Alipay, и мы вам можем предоставить скидку в 15% при покупке!». Обрадованный возможностью сэкономить деньги приятеля, я поинтересовался условия бонусной программы. «Вам делать ничего не надо, − заверил продавец, − мы всё устроим сами». Но тут же пожаловался, что у него что-то случилось с компьютером, и предложил продолжить общение вне системы «Тао Бао», через мессенджер с другого компьютера.

У меня мелькнули подозрения: ведь общение в системе «Тао Бао» фиксируется в log-файлах, по которым администраторы могут вычислять мошенников. Но я сделал вид, что «повёлся», и заново связался с продавцом предложенным способом. После чего он предложил мне обнулить покупку, совершённую в «Тао Бао», иначе, дескать, скидки в 15% не видать, и прислал мне новую ссылку для платежа.

Перейдя по ней, я увидел страничку, внешне почти ничем не отличающуюся от прежней, кроме… адреса ссылки. Перед длинным кодом вместо домена второго уровня taobao.com  лота стояло – ta0bao.com.cn. Банальный фишинг, ловушка для дураков! Воистину, на каждого мудреца довольно простоты − и я мог в неё угодить. Мошенник только что узнал, с моих же слов, какой у меня банк. «Оплачивая покупку» на сайте-подделке, я бы вводил свои идентификационные данные в фальшивом шлюз-сайте реально существующего банка. И в итоге остался бы без денег и без покупки. Обращаться потом в китайскую полицию или суды было бы бесполезно, они редко реагируют на обращения из-за рубежа иностранных граждан.

Я наивно поинтересовался, почему в присланной ссылке такой странный адрес? Мой контрагент начал извиняться и моментально прислал, опять-таки, через мессенджер, адрес на taobao.com.cn, уже настоящий. Я был поражён быстротой реакции продавца-«оборотня» и тем, что всё у него просчитано. Решив больше не рисковать безопасностью своего компьютера и денег, я попрощался, сославшись, что сегодня не в настроении быть обманутым. Тот сделал вид, что не понял, о чём идёт речь, зато попрощался с неподдельным сожалением: рыбка клюнула, да сорвалась.

Вопросы информационной безопасности кредитно-финансовой системы и электронных расчётов в Китайской Народной Республике оперативно решаются по мере развития и распространения новых банковских сервисов. Но, как и в России, да и во всём мире, актуален лозунг «спасение утопающих − дело рук самих утопающих». Никакие усилия, ни государственные, ни банков, не помогут, если сами клиенты не будут придерживаться нехитрых правил информационной безопасности.

Владимир Северный -- Специальный корреспондент в Харбине (КНР) (BIS Journal)

BIS Journal №1(4)/2012

5 ноября, 2011

Смотрите также