Розслідування: Схеми шахрайства в інтернет-банкінгу
Які існують схеми шахрайства, небезпечні для користувачів інтернет-банкінгу, і як себе вберегти від них?
Думка банківських експертів, як уберегтися користувачеві інтернет-банкінгу від шахраїв.
Начальник управління інформаційної безпеки
Банк: ВАТ Астра Банк
Широко поширений перехоплення даних ідентифікації користувача і ключів для цифрового підпису з метою підробки платежів. Робиться це за допомогою зараження ПК спеціальними вірусами.
Також існує схема "man in the middle": дані про платіж перехоплюються на етапі, коли вони відправлені від клієнта, але ще не дійшли в банк. Шахрай змінює дані і тільки після цього відправляє їх у банк. Таке можливо, якщо трафік не шифрується.
У більшості випадків банками застосовуються такі системи безпеки: шифрування переданих даних, сувора ідентифікація (аутентифікація) користувачів за допомогою криптографії та електронний цифровий підпис. Надійніше всього комбінувати використання цих систем.
Якщо при роботі з інтернет-банкінгом не використовуються система електронного підпису або генератора пароля, клієнт може стати жертвою кібер-шахраїв.
Крім використання електронного підпису, ми рекомендуємо клієнтам постійно стежити за оновленням системного і антивірусного ПЗ на комп'ютері, з якого відбувається робота в системі інтернет-банкінгу, встановити персональний Firewall.
Для забезпечення максимальної надійності інтернет-банкінгу ми використовуємо комбінування систем безпеки: шифрування переданих даних, строгу аутентифікацію користувачів і електронний цифровий підпис на переданих даних.
Сергій Познанський
Начальник управління альтернативної дистрибуції
Банк: ВАТ Морський транспортний банк
Схем шахрайства багато, але майже всі вони грунтуються на безвідповідальному ставленні користувача до питань безпеки при роботі в мережі Інтернет. Основне слабка ланка в системі інтернет-банкінг - це людина, користувач системи. Якщо він буде безвідповідально ставитися до своїх секретних даних (ключам і паролів), зберігати їх в ненадійному місці, розголошувати їх, то ймовірність того, що шахрай отримає доступ до банківських рахунків користувача, значно зростає. Це як з ключами від квартири - якщо ви будете їх скрізь залишати, то чекайте крадіжки.
Існує кілька варіантів організації безпеки для системи інтернет-банкінг. Перерахую основні:
Шифрування трафіку між користувачем і банком на всіх етапах роботи з системою інтернет-банкінг, як між користувачем і Веб-сайтом системи, так і між клієнтською програмою і сервером додатків системи.
Наявність надійного методу аутентифікації користувача (тобто способу визначення автентичності користувача ). Тут використовуються електронні ключі, одноразові паролі або їх комбінація.
Банк зобов'язаний забезпечити користувача надійними способами захисту конфіденційної інформації (шифрування переданої інформації, використання електронних ключів або одноразових паролів тощо). В іншому випадку, такі сервіси не можуть вважатися безпечними для користувача, ними не варто користуватися.
У нашому банку для забезпечення безпеки системи інтернет-банкінг, використовується як шифрування інформації, якою обмінюються користувач і банк, так і система електронно-цифрового підпису.
Олена Соболєва-Терещенко
Начальник управління продуктів і каналів продажів карткового бізнесу
Банк: ВАТ VAВ Банк
Основним слабким місцем інтернет-банкінгу є халатне ставлення клієнтів до дотримання правил роботи з системою. Найчастіше клієнти забувають періодично міняти паролі для доступу в систему, або, що ще гірше, повідомляють свої паролі стороннім особам.
Головне правило безпеки при використанні інтернет-банкінгу - ніколи і нікому, усно, електронною поштою, або по телефону не повідомляти свої паролі для входу в інтернет-банкінг.
Той чи інший вид захисту застосовується залежно від спектру послуг, що надаються користувачам через інтернет-банкінг. Якщо до переліку функціоналу відноситься тільки перегляд стану рахунку - досить захисту тільки у вигляді введення пароля та логіна. Якщо ж інтернет-банкінг дає можливість здійснювати платежі в межах лімітованих сум - банки практикують захист у вигляді електронного цифрового підпису. Генератор пароля зазвичай застосовують як захист, при здійсненні через інтернет-банкінг платежів без обмежень.
Якщо банк не пропонує скористатися системою електронного підпису або генератора пароля - значить, функціонал інтернет-банкінгу мінімальний і не вимагає захисту такого рівня. Банк як фінансова установа покликане дотримуватися банківську та комерційну таємницю ніколи не буде економити на захисті інформації. Зовсім інша річ, коли клієнт відмовляється від використання захисту або економить на ній. Кращий спосіб убезпечити себе - не скупитися на системи захисту.
Борис Косяков