Бережёного банк бережет

О том, как удобно пользоваться дистанционными банковскими услугами, сегодня не знают только те, кто никогда в жизни не подходил к компьютеру. Нужно только помнить, что современные мошенники тоже активно «осваивают» удалённые сервисы, и своя доля ответственности за безопасность электронных платежей лежит не только на банке, но и на клиенте.

НЕ ПОДХОДЯ К КАССЕ

Оплатить жилищно-коммунальные услуги, погасить штраф, пополнить баланс мобильного телефона – конечно, намного приятнее сделать это, даже не подходя к кассе, перед этим простояв длинную очередь. Дистанционные финансовые услуги через интернет или мобильный банкинг позволяют платить, не вставая с кресла, в офисе или дома. Те, кто испытал удовольствие гонять деньги со счёта на счёт одним кликом мышки, вряд ли согласятся отказаться от этой услуги.

Тем не менее, нужно помнить, что активизировались IT-жулики, которые при помощи разного технического инструментария и прямого мошенничества ухитряются красть деньги с электронных счетов клиентов. Количество кибер-атак на деньги клиентов растет из года в год, по мере того, как  технологии дистанционных финансовых услуг развиваются, а клиентов становится всё больше. Электронные платежи становятся все более популярными не только у компаний − юридических лиц, но и среди граждан ещё и потому, что вероятность уличного грабежа пока существенно выше уровня угрозы со стороны кибер-воров.

По данным, приводимым в «Национальном банковском журнале» заместителем генерального директора ЗАО «ОКБ САПР» Светланой Конявской, потери клиенты российских банков в результате хакерских атак достигли общей суммы в 2,5 млрд. евро. Официальной статистики нет, поскольку банки, по понятным причинам, не спешат обнародовать статистику успешных хакерских атак. Остаётся черпать информацию неофициальную, с форумов в интернете, на которых делятся печалями их пострадавшие клиенты, пользовавшиеся дистанционными сервисами.

ЛЕГЕНДАРНАЯ ЖЕРТВА

Самая громкая история, которая попала и на телеэкран, − хищение у москвички Аллы Тасиц с электронного счёта всех накоплений в размере 425 000 рублей. Пострадавшая так описывает инцидент: «Я зашла на сайт www.sberbank.ru (вводила вручную в адресной строке) и выбрала Сбербанк Онлайн. Как обычно, ввела идентификатор и пароль, запросила одноразовый пароль на свой мобильный для входа в личный кабинет. Мне пришел пароль, я его ввела, но на страницу меня не пустили, а на сайте появилась надпись, что, в связи со сбоем, временно могут присылаться ошибочные SMS-сообщения.

В это время мне на телефон стали приходить SMS от мобильного банка (900), что с моего счета списываются деньги на мою карту. Затем несколько SMS о том, что с моей карты переводятся деньги на неизвестные счета. Я сразу набрала номер горячей линии, но так как туда невозможно дозвониться быстро, пока ждала на линии, на мой мобильный поступил звонок с номера, в котором было на одну пятерку больше, чем в настоящем (понять это было нереально, тем более в стрессовой ситуации). Человек представился сотрудником банка. Он называл меня по имени-отчеству. Сказал, что произошел сбой в системе и что мне приходят ошибочные SMS о выполнении операций, которые нужно отменить, введя информацию из SMS на сайт Сбербанка в строке.

Будучи в шоковом состоянии, я попыталась ввести на сайте Сбербанка пароли, но у меня ничего не получалось, тогда я попросила помочь мне и прочитала ему пришедшие SMS. После разговора мне пришла SMS о том, что все ошибочные операции успешно отменены (в подписи от кого было «sb-rf»). В этот день я не смогла больше зайти в Сбербанк онлайн, а на следующий день зашла и обнаружила, что моего вклада просто нет со всеми деньгами. Я сразу же написала заявление в Сбербанк и полицию.

28 августа 2011 года я написала заявление в полицию и отнесла претензионное письмо № 000107-2011-114259 в отделение Сбербанка (дополнительный офис № 01016, г. Москва, г. Зеленоград, корп. 1106, 124460, приняла Паршуткина Елена Владимировна). В нём я описала всю ситуацию и предъявила свои требования по возмещению ущерба, указав прислать ответ по почте. Мне сообщили, что максимальный срок рассмотрения претензии – 1 месяц и что со мной обязательно свяжутся. По истечении срока (27.09.11) со мной не связались. Я неоднократно звонила на горячую линию Сбербанка, но никакой информации мне не предоставили. Только после огласки случившегося в интернете, меня заметили и, наконец, отправили мне письмо, в котором был отказ.

Во время одного из визитов в отделение Сбербанка (филиал Зеленоградского ОСБ № 7954, структурное подразделение № 7954/01389, 124575, г. Зеленоград, корпус 1004) специалист Корсакова Людмила Викторовна, которая и навязала мне услугу Сбербанк онлайн, не предупредив меня о мерах предосторожности и о возможности застраховать вклад. На мой вопрос «ПОЧЕМУ вы это не сделали?» просто нагло посмеялась мне в лицо и сказала: "А вы все равно ничего не докажете!"».

НЕ ХЛОПАТЬ УШАМИ

Далее Алла Тасиц резюмирует, что, по её мнению, в случившемся виновата служба безопасности Сбербанка, а также конкретные его сотрудники. Которые в момент заключения договора на пластиковую карту женщине не дали полной и необходимой информации о правильном и безопасном использовании услуги «Сбербанк Онлайн». Сетует, что ни в самом договоре, ни в приложениях к нему не было ни слова о том, что для безопасного использования на компьютере клиента должны быть установлены какие-либо специальные антивирусные программы. Жалуется, что её не проинформировали о мерах предосторожности, например о том, что сотрудники банка никогда не звонят своим клиентам, не предложили застраховать вклад. Недоумевает, откуда мошенники узнали номер мобильного, привязанного к карте, а также имя и отчество клиента.

Благодаря общественному резонансу в средствах массовой информации и на интернет-форумах, за развитием этой истории следило все банковское сообщество. Дело «Аллы Тасиц» обсуждалось в кулуарах ежегодной конференции по противостоянию компьютерному мошенничеству «Антифрод 2011». Множество дискуссий прошло на интернет-форумах и социальных сетях, Алле удалось сформировать целую группу из 200 единомышленников − товарищей по несчастью, пострадавших от кражи денег с электронных счетов.

Справедливости ради следует отметить, что большинство пострадавших жалуются на то, что «не были предупреждены банком» о возможных информационных угрозах. Хотя схема, которую используют мошенники, почти всегда одна и та, или же очень похожая. Возможно, банкам следует выпускать памятки для клиентов, где будут подробно расписаны все правила безопасности, и вручать их под личную подпись клиенту.

Потому что, как показывает практика, читать правила, написанные мелким шрифтом на сайтах, у наших граждан привычки нет. Хотя там часто подробно написано, как именно пользоваться дистанционными банковскими услугами. Конечно, идеальной защиты не бывает, но, следуя минимальными требованиями в части информационной безопасности, выдвигаемыми банками к пользователям своих услуг и используя все предоставленные механизмы защиты, можно серьезно снизить вероятность мошенничества. Хотя это труднее, чем «хлопать ушами», а потом перекладывать на банк всю ответственность за пропажу денег.

НЕБРЕЖНЫХ ШТРАФУЮТ ХАКЕРЫ

Однако не все возлагали вину за кражи на промахи банков: «Самое противное в высказываниях пострадавших, что они не признают своей тупости, безграмотности и полностью перекладывают свою вину на других! Постоянные слова «мне не дали», «мне не предложили», «мне не сказали», «мне не рассказали»…. Сколько раз уж говорить – «без бумажки ты букашка», «слова к делу не привяжешь» и т.д., – пишет юзер под говорящим ником «Банкир». – Мошенники звонки делают вообще наугад, люди сами говорят им свои PIN-коды, коды безопасности, номера счетов и карт, об этом пишут и показывают давно! Вот читаю я сообщения такого рода и, честно, смешно. Как же, служба безопасности банка будет отслеживать сотовые номера зеков на зоне, а банк придет к Вам домой и будет проверять компьютеры на вирусы и стоять на страже, чтобы к нему не подошли третьи лица??? И пока такие наивные люди есть, у нас будет процветать мошенничество!».

Проблема соблюдения клиентами правил информационной безопасности активно обсуждают. Причём не только на форумах, и не только сами клиенты, но также сотрудники банков и компаний, занимающихся защитой информации. «При начале обслуживания в интернет-банкинге необходимо соблюдать комплекс мер по безопасности, как при работе в интернет-банкинге, так и с использованием мобильного банкинга. Необходимо выбирать банк, который уделяет особое внимание вопросам защищенности при работе в системах дистанционного банкинга», – советует Виталий Патешман, заместитель коммерческого директора ООО «БСС».

По мнению специалистов, большинство мошеннических операций совершается по вине самих пользователей. «И самое главное, не забывайте, что факт компрометации вашего пароля с большой долей вероятности произошел по вашей собственной вине. Либо выбранный вами пароль оказался легко угадываемым для злоумышленника, или не хранился в тайне, либо ваше устройство доступа (ноутбук, планшетный компьютер, мобильный телефон) было заражено вирусной программой, осуществляющей кражу ваших идентификационных данных. Поэтому после компрометации не забудьте установить антивирус с последними обновлениями сигнатур, обновления используемой операционной системы, а так же выбирать трудно угадываемый пароль, не используемый вами на других ресурсах», – объясняет Алексей Бабенко, старший аудитор компании «Информзащита».

Выбор легко угадываемых паролей, хранение PIN-кода записанным на носителе рядом с платежной картой, использование банкоматов в сомнительных местах − всё это пренебрежение элементарными основами информационной безопасности. В результате небрежности клиентов преступники получают доступ к средствам на их электронных счетах. Хакеры «штрафуют» небрежных жертв, что чем-то напоминает «воспитательную работу», которую некоторые недобросовестные сотрудники ГИБДД проводят с водителями,  нарушающими правила дорожного движения.

И БАНКИ БЫВАЮТ НЕБЕЗУПРЕЧНЫ

Практически все банки сообщают, что противодействуют электронным мошенничествам. Выпуская пластиковые платёжные карты, соблюдают требования стандарта PCI DSS, регламентирующего основные требования к безопасности информационной инфраструктуры. Для систем интернет-банка вводятся дополнительные факторы аутентификации – одноразовые пароли, коды подтверждения транзакций, высылаемые на мобильный телефон, sms-информирование обо всех изменениях состояния счета.

Но, согласно исследованию степени защищённости систем банк-клиент российских производителей, проведенному компанией Digital Security Research Group, трёхлетняя статистика за 2009-2011 годы показывает: ситуация к лучшему практически не меняется. Общее количество, перечень уязвимостей и уровень угроз остаются неизменными. Получив информацию о существующих в программном обеспечении брешах, банки зачастую ограничиваются тем, что устраняют её, не тратя сил и денег на общую проверку систем информационной безопасности.

Блоггеры с никами «Sony» и «Flexxpoint» опубликовали результаты исследования, в котором описали найденные уязвимости на сайтах 13 различных банковских структур. Речь идет об уязвимостях межсайтового скриптинга, которые позволяют внедрить и выполнить произвольный JavaScript или HTML-код в браузер пользователя. Сами по себе эти уязвимости для рядовых пользователей не очень страшны. Но если они работают с сайтами банков, у злоумышленников появляется шанс на получение доступа к счетам пользователей и дальнейшее хищение средств.

Блоггеры с никами «Sony» и «Flexxpoint» опубликовали результаты исследования, в котором описали найденные уязвимости на сайтах 13 различных банковских структур. Речь идет об уязвимостях межсайтового скриптинга, которые позволяют внедрить и выполнить произвольный JavaScript или HTML-код в браузер пользователя. Сами по себе эти уязвимости для рядовых пользователей не очень страшны. Но если они работают с сайтами банков, у злоумышленников появляется шанс на получение доступа к счетам пользователей и дальнейшее хищение средств.

С помощью описанных исследователями уязвимостей злоумышленники могут получить доступ к счетам клиентов, например, с помощью инструмента XSS-Proxy. В этом случае даже авторизация по одноразовым паролям не защитит клиента, поскольку злоумышленник может обманом заставить пользователя авторизоваться на сайте с помощью одноразового пароля − OTP. Получив полный контроль над браузером клиента, атакующий потенциально может осуществить денежные транзакции на произвольные счета. В качестве дополнительного вектора атаки, злоумышленник может от имени банка предложить пользователю скачать и установить новое приложение «клиент-банк», которое, затем, позволит получить полный контроль над системой жертвы.

Исследователи следующим образом прокомментировали опубликованные уязвимости, советуя регулярно проводить тестирование на проникновение (penetration testing или пен-тест): «В принципе стоит добавить несколько слов о безопасности. Хотим сразу заметить, что поводов для паники нет. Мы не живем в идеальном мире, и мы не можем быть в идеальной безопасности. Но мы можем и должны стремиться к этому. Что можно посоветовать банковским структурам и не только, в этом плане?

Безусловно, обратить внимание на повышение квалификации и дисциплины сотрудников IT-отделов. Вкладывать финансовые средства не только в маркетинговые исследования, а непосредственно, например, в пен-тесты, устраивать конкурсы среди пен-тестеров, как это делают такие компании как Google, Facebook. Или иметь небольшой штат своих пен-тестеров, проводить скрытый аудит среди сотрудников компании на тему социальной инженерии. В этом плане очень много разных аспектов, но здесь выделены основные, на что следует обратить внимание».

МЕСТО ДЛЯ ОПТИМИЗМА

Так какое будущее ждет дистанционные финансовые услуги в России? Не затормозят ли информационные риски рост количества клиентов и объемов операций? Специалисты настроены оптимистично. «Крайне не хотелось бы, чтобы рост мошеннических операций отрицательно повлиял на развитие дистанционных каналов в нашей стране и степень доверия пользователей к таким каналам. И опыт других стран в этом смысле обнадеживает – в той или иной степени, мошенники есть в любой стране, однако это не мешает развитию интернет-банкинга», – считает директор департамента «Кредитное и депозитное обслуживание (FLEXTERA)» компании «Диасофт» Алексей Ефимов.

«Объем предоставления услуг через каналы ДБО будет постоянно расти, так как это выгодно и клиенту (экономия времени и доступность услуг) и банку (снижение издержек на обслуживание клиентов). Что касается безопасности, то банки и компании разработчики программного обеспечения постоянно работают над совершенствованием средств защиты, а также применяют дополнительные меры обеспечения гарантии сохранности средств, к примеру, страхование. На текущий момент уровень обеспечения безопасности совершения операций через каналы ДБО уже достаточно высок за счет применения различных программных и технических средств», – говорит коммерческий директор ЗАО «ФОРС – Банковские системы» Сергей Дубинин.
 

Человечество редко отказывалось от комфорта ради безопасности. Значит, банкам придется более серьезно рассматривать факторы угрозы мошенничества и искать способы защитить своих клиентов, не перекладывая на тех всю ответственность. В том числе − проводя с ними более тщательную разъяснительную работу, чаще напоминая правила безопасности, добиваясь подтверждения, что информация получена и усвоена.

Ольга Хвастунова -- обозреватель (BIS Journal)

BIS Journal №2(5)/2012

6 апреля, 2012

Смотрите также