Обзор подготовлен

версия для печати
Интернет-банкинг растет, несмотря на угрозы ИБ

Интернет-банкинг растет, несмотря на
угрозы ИБ

Популярность интернет-банкинга ни у кого не вызывает сомнений – он нравится потребителям, удобен для самих банков и позволяет онлайн-ритейлерам значительно упростить процесс торговли. Однако за все время существования интернет-банкинга его главной проблемой оставалась безопасность. В интернете нет сейфов, вооруженных охранников и камер наблюдения, поэтому многие справедливо беспокоятся, что их деньги в сети находятся под угрозой. Аналитики подтверждают: потери, связанные с мошенничествами в сети, уступают только вреду от фальшивомонетчиков.

Согласно исследованию британской организации Financial Fraud Action UK, за первое полугодие 2011 г. уровень преступлений, связанных с интернет-банкингом, снизился в Англии на 32% по сравнению с тем же периодом 2010 г. Причин этому несколько. Во-первых, пользователи стали лучше понимать, как работает онлайн-банк и какими схемами пользуются мошенники – теперь их куда сложнее обмануть. Во-вторых, улучшились и сами защитные системы банков – они стали доступнее для пользователя, проще в обращении и в целом эффективнее.

Праздновать победу, однако, еще рано, предупреждают аналитики Financial Fraud Action UK. Несмотря на то, что уровень онлайн-мошенничества значительно снизился, он все еще невероятно высок. Так, за первое полугодие 2011 г. потери, связанные с различными мошенническими и воровскими акциями в сети, составили почти 17 млн фунтов стерлингов. "Опережают" эту сумму только фальшивомонетчики (на поддельных картах и чеках воры заработали 18 млн) и воры (с краденных карт было нелегально снято более 25 млн фунтов стерлингов).

Процентное соотношение видов банковских преступлений в Британии за первое полугодие 2011

Источник: Financial Fraud ActionUK, 2012

В тоже время популярность самих интернет-банков только растет. Согласно опросу Американской Банковской Ассоциации, проведенному в 2010 г., услугами интернет-банкинга пользовались 36% американцев. В 2011 г. эта цифра составила уже 62%. Схожие опросы в других странах также показали высокий рост. В России рейтинговое агентство "Эксперт РА" проанализировало темп роста на отечественном розничном рынке банков, поддерживающих интернет-банкинг и не имеющих такой функции. Как оказалось, клиенты отдают предпочтения организациям, предоставляющим широкий круг онлайн-услуг: прирост средств, полученных от физических лиц, у таких банков составил 37% с 2009 по 2011 гг. За период 2010–2011 гг. количество транзакций, совершаемых физическими лицами через интернет-банкинг, возросло с 8% до 26% (от общего числа транзакций).

Виды угроз

Чем больше денег будет циркулировать в сети, тем более привлекательной она будет для мошенников. Из этого следует, что безопасность должна стать повесткой дня у всех банков, которые хотят привлечь больше клиентов. Но как клиенту определить, безопасен ли банк и каких угроз в принципе стоит опасаться?

"Традиционно при создании систем [интернет-банкинга] рассматривались угрозы нарушения конфиденциальности и целостности электронных платежей, а также угроза отказа от авторства совершения платежа, – объясняет Иван Янсон, заместитель руководителя службы информационной безопасности "Промсвязьбанка". – Эти вопросы были разрешены достаточно давно посредством применения  средств  шифрования и электронной подписи. В последнее же время чаще всего рассматривается проблема защиты от несанкционированных платежей". Подобные махинации осуществляются через заражение компьютера: в результате вирусной атаки мошенник либо попросту "крадет" пароль или электронную подпись, либо считывает их после того, как пользователь сам вводит их на поддельную страницу платежа.

Канал, по которому проходит связь между банком и пользователем, должен быть тщательно зашифрован. При помощи различных криптографических методик для операций с интернет-банком создается специальный "тоннель". Оценить защищенность соединения со стороны можно, во-первых, по сертификату безопасности (его вы найдете в адресной строке прямо перед адресом сайта) и по использованию протокола https (вместо традиционного http). Не менее важным требованием к "тоннелю" между банком и клиентом является его постоянный мониторинг со стороны банка – таким образом можно будет оперативно обнаружить нелегальный перевод средств.

Наконец, все признаки, по которым этот канал можно отличить от фальшивого (например, сертификат) должны находиться на видном месте. Незащищенный канал злоумышленникам значительно проще использовать в своих целях, а банкам – значительно труднее их потом отследить. Непосредственно в банке для обеспечения безопасности транзакции часто используются приборы, программным обеспечением которых невозможно манипулировать, например такие гаджеты, как SafeTouch, Рутокен и Pinpad.

Итак, главным препятствием между данными (и деньгами) пользователя и злоумышленниками традиционно является пароль. И если для менее важных данных подойдет единый пароль, то для банков это неприемлемо. "Стоит понимать, что использовать постоянные пароли – это как хранить ключ от квартиры под ковриком", сетует Александр Серяков, заместитель директора департамента карточных и дистанционных технологий "Росбанка". – Если в системе используется постоянный пароль, его ввод должен осуществляться с помощью виртуальной клавиатуры, так как это сможет немного затруднить работу злоумышленников".

Большинство надежных банков совмещает систему постоянных паролей с добавлением элементов "one time password", одноразовых паролей. Одноразовые пароли чаще всего используются как дополнительный слой защиты при входе в личный кабинет в интернет-банке и при осуществлении дополнительных платежей. Одноразовые пароли либо выдаются пользователю в банке, либо высылаются на мобильный телефон в виде sms, либо генерируются специальным приложением в телефоне, либо генерируется специальными флешками, которые хранит у себя клиент. Мобильный телефон является наиболее оптимальным вариантом, в равной степени простым в использовании и надежным – вряд ли хакерам удастся заразить сразу два прибора, принадлежащих пользователю. "Современные технические средства защиты обязательно должны предусматривать наличие компонента, физически отделенного от персонального компьютера клиента, позволяющего одновременно подтверждать списание средств со счета клиента и отображать информацию о сумме и назначении платежа", – отметил Владимир Михайлов, заместитель директора по развитию платежной системы Faktura.ru.

Интернет-банкинг: признаки защищенности:

  1. Используется система одноразовых паролей:
    • при каждом входе в личный кабинет или при проведении платежа пользователя просят ввести дополнительный пароль,
    • пароль для подтверждения платежа или входа в личный кабинет запрашивается через мобильный телефон или через специальный "токен",
    • пароль известен только пользователю и передается по защищенному каналу.
  2. Между банком и пользователем устанавливается защищенный канал:
    • рядом с адресной строкой банка обозначен сертификат безопасности, подтверждающий защищенность канала,
    • банк использует протокол https,
    • банк отслеживает все действия, производимые в рамках защищенного канала, и сообщает пользователю о подозрительных переводах.
  3. В банке введена система лимита на количество операций и система автоматического выхода из личного кабинета после короткого периода бездействия.
  4. Система хранения паролей организована так, что сотрудникам банка не нужно знать ваш постоянный пароль.
  5. Банк постоянно информирует клиента о типах мошеннических действий, которые могут ему угрожать.

Дополнительную безопасность онлайн-банку обеспечивает строгое регламентирование числа операций. Например, банк должен автоматически сбрасывать соединение, если пользователь какое-то время не производил никаких операций – таким образом никому не удастся воспользоваться открытым окном браузера в отсутствии владельца. На всех этапах перевода денег банк должен запрашивать у пользователя подтверждение, желательно привязанное к одноразовому паролю. Полезно будет также, если в определенный период банк будет напоминать пользователю, что он давно не менял свой постоянный пароль. В некоторых банках пользователям дается возможность ввести ограничение на определенные типы платежей. "Наши клиенты могут самостоятельно ограничивать возможности использования карты для проведения определенных операций: снятия наличных в банкоматах, операциях за рубежом, оплаты покупок в интернете и переводов с карты на карту. Например, если в ближайшее время человек не собирается за границу, он может отключить возможность использования карты за границей и подключить ее только тогда, когда отправится в отпуск или командировку", – рассказал Сергей Теймуразян, вице-президент и директор департамента развития платежных сервисов "Связного Банка".

Банку необходима полноценная система IDM (Identity management), считает Андрей Конусов, генеральный директор компании Avanpost. "Если она внедрена, пользователям интернет-банка нет необходимости самостоятельно придумывать и устанавливать свои пароли доступа к приложениям: за них это своевременно сделает система в соответствии с заданными политиками безопасности. Изменения можно проводить хоть каждые 5 минут, автоматически записывая новые пароли в защищенную область памяти на токене пользователя. Пользователю не нужно заучивать эти пароли, достаточно иметь с собой сам токен и помнить PIN-код", – объясняет он. Кроме того, современная IDM-система заранее напомнит пользователю о том, что у него истекает срок действия сертификата и предложит удаленно обновить его, не дожидаясь часа "X", когда клиент просто не сможет войти в систему. Это не раздражает пользователя и разгружает службу поддержки от потока обращений по поводу "сломавшихся" токенов.

Одновременно современные IDM-системы решают острую "проблему системного администратора", который, предоставляя права доступа, знает пароли пользователей и может ими воспользоваться. Теперь пароли доступа к приложениям генерируются и хранятся в IDM-системе, их не знает никто, а PIN-коды к токенам печатаются в PIN-конверты (как при выдаче кредитных и дебетовых карт). И никто, включая администратора, узнать их не может, заключает Андрей Конусов.

Бдительность – первое правило

Однако никакие технические средства безопасности не спасут клиента от злоумышленников, если он сам не будет соблюдать правила безопасности. "Безопасность исходит в первую очередь от пользователя, – считает Дмитрий Каштанов, начальник отдела развития интернет-банка "Альфа-Банка". – Киберпреступлений множество, но если клиент понимает, что не нужно открывать сомнительные письма, а в интернете лучше не ходить по незнакомым страницам, куда то и дело пытаются заманить яркими баннерами – он может спать спокойно, ему ничто не угрожает. Во многих случаях достаточно быть бдительным и внимательным пользователем компьютера, тогда у преступника не будет шансов". Выманивание паролей различными способами непосредственно у пользователей, как с использованием технических ловушек, так и при личном контакте, по-прежнему остается наиболее серьезной проблемой безопасности интернет-банкинга.

Способов выманивания существует множество, они применимы по всей цепи доступа пользователя к банку. Злоумышленник может так или иначе выдавать себя за сотрудника банка или даже за автоматический запрос, требующий подтверждения пароля. Активно используются фишинговые сайты – созданные хакерами подделки под настоящие сайты, где невнимательные пользователи могут ввести пароль и таким образом "подарить" его злоумышленникам. "Так же распространены мошеннические sms и даже звонки с уточнением личной информации от лица банка. Защита от такого вида мошенничества только одна – бдительность! При получении подобных писем или звонков нужно обратиться в колл-центр банка и убедиться в достоверности информации сообщений", – добавляет Мария Коханюк, начальник управления транзакционных и сберегательных продуктов "Абсолют-Банка".

В целом пользователю интернет-банка стоит следовать простому набору правил, чтобы чувствовать себя в безопасности: нужно установить антивирус, держать пароль и логин в строжайшем секрете, проверять реквизиты и сумму платежей, не доверять звонкам из банка и sms сомнительного содержания, не посещать неизвестные сайты и не переходить по сомнительным ссылкам.

Война за безопасность пользователя – это прежде всего информационная война. Большинство интернет-банков обладает достойными мерами безопасности, но все они могут не сработать, если пользователю не объяснят, как с ними обращаться и каких опасностей он должен избегать. Для пользователя же выбор сводится к тому, насколько комфортно ему пользоваться банком. Существуют строгие и весьма труднопреодолимые меры безопасности, например такие, как электронная подпись и специальные "токены" (флешки или пейджеры) для одноразовых паролей. Однако банк, применяющий такие меры, будет далеко не так удобен и оперативен. В большинстве случаев оптимальный вариант лежит где-то посередине: средства безопасности должны быть максимально надежными, но при этом не ограничивать удобство использования самого банка.

Евгений Смирнов

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS