Банки

Безопасность – общее дело банка и клиента

В обеспечении безопасности интернет-банка должны участвовать кредитная организация и клиент.

Времена огромных очередей в банках давно прошли. Во многом это заслуга такого новшества, как система «Клиент-банк», которую также называют «Интернет-банк». Благодаря данной системе клиентам не нужно стоять в очередях: значительную часть услуг можно получить не выходя из дома или офиса. Банк при этом не возьмет проценты за оказанные услуги. Однако у любой медали есть оборотная сторона: несмотря на то что система «Клиент-банк» облегчает жизнь клиентам, она подвергает их большому риску, связанному с кибератаками.

Один из актуальных на сегодняшний день методов взлома интернет-банка клиента тесно связан с развитием рынка мобильных устройств и приложений. Расчет киберпреступников прост: 
множество начинающих пользователей гаджетов недостаточно знакомы с техническими новинками, уязвимы перед капканами, которые расставляют для них хакеры. Ничего не подозревающая жертва устанавливает на свой смартфон или планшет шпионское приложение, которое очень быстро узнает и передает злоумышленникам логин и пароль клиента интернет-банка, перехватывает временные пароли, которые направляет система «Клиент-банк» для аутентификации пользователя и его транзакций. Завладев данными сведениями, злоумышленник получает полный контроль над счетами клиента.

Избежать описанных выше проблем легко: необходимо быть внимательным при выборе того или иного приложения, обязательно отмечать, какое количество пользователей скачало и установило данный продукт, изучать отзывы о ПО. Если у программы несколько тысяч пользователей и высокий рейтинг, то работать с ней безопасно.

Еще одна распространенная угроза – фишинг. Его схема проста: клиенту приходит письмо, в котором злоумышленники представляются сотрудниками банка и предлагают воспользоваться новыми выгодными услугами. В письме приводится интернет-ссылка на сайт, который по написанию очень близок к реальному доменному имени банка. Заинтересовавшийся предложением человек переходит по ссылке и попадает на сайт, который не вызывает у него подозрений, так как киберпреступники умело скопировали интерфейс сайта. Далее клиенту предлагается воспользоваться услугой клиент-банка, он вводит свой логин и пароль. Данные сведения тут же попадают к злоумышленникам. Остается преодолеть еще один барьер в виде разовых паролей, если они предусмотрены системой безопасности интернет-банка, и финансовые средства клиента оказываются в руках преступников. Бороться с описанной угрозой можно, соблюдая элементарные меры предосторожности: не доверять письмам из непроверенных источников, добавить сайт клиент-банка в закладки интернет-браузера и заходить в систему, используя данную, проверенную ссылку. Важно обращать внимание, защищено ли соединение на странице авторизации интернет-банка: соединение с сайтом злоумышленников будет либо незашифрованным, либо с недоверенным сертификатом безопасности, о чем предупредит браузер.

Социальная инженерия – действенный метод хищения средств, используемый не только киберпреступниками, но и самыми обычными правонарушителями. Клиенту звонит злоумышленник, представляясь специалистом техподдержки банка. Как правило, гражданин оказывается не в силах отказать мошеннику в простой просьбе – сообщить пароль от личного кабинета, информацию, необходимую исключительно в интересах клиента. Очевидно, что подобная неосторожность будет стоить очень дорого. 

Простой способ избежать описанной проблемы: запомнить, что пароль – это конфиденциальная информация, которая должна и может быть доступна только пользователю интернет-банка.

Несколько устарел на сегодняшний день метод аутентификации клиента интернет-банка через сертификат безопасности. В первую очередь это связано с неудобством использования данного метода для клиента: ключ нужно постоянно носить с собой, он требует обслуживания, что влечет за собой необходимость обращения в банк. Тем не менее данный способ достаточно надежен, главное – держать ключ в защищенном месте, так как в противном случае злоумышленник легко может похитить его, аутентифицироваться и выполнить любые операции от лица клиента.

«Не стоит забывать и об элементарных мерах безопасности, пренебрежение которыми может сослужить киберпреступникам хорошую службу: не оставляйте ваш телефон, привязанный к интернет-банку, без присмотра, – советует начальник отдела дистанционного банковского обслуживания крупного российского банка. – Если вы потеряли мобильное устройство или оно было у вас похищено, незамедлительно свяжитесь со службой технической поддержки вашего оператора и заблокируйте SIM-карту. Держите в недоступном для третьих лиц месте распечатку с временными паролями. Установите надежную антивирусную систему на вашем компьютере, которая не позволит шпионским программам перехватить информацию, которую вы вводите с клавиатуры. Все вышеперечисленное обезопасит вас от утечки паролей доступа в систему, которые необходимы злоумышленникам для доступа к вашим счетам».

Предотвращать атаки на рабочее место пользователя позволяют, помимо антивирусов, так называемые брандмауэры или фаерволы. В отличие от антивирусов они не борются с последствиями вторжения вредоносных программ, а предотвращают данное вторжение путем блокировки входящих и исходящих соединений.

Описанные схемы – самые распространенные и эффективные в мире киберпреступности, так как нацелены на самый уязвимый компонент информационной системы – пользователя. Однако злоумышленник может найти уязвимость и в системе безопасности клиент-банка.

Наиболее опасны для кредитной организации и ее клиентов так называемые дыры в программном обеспечении. Это уязвимости приложения, программного кода, которые могут быть обнаружены опытными хакерами и использованы в корыстных целях. Проблема в том, что подобные угрозы могут нанести ущерб не одному, а нескольким клиентам интернет-банка или учетным системам кредитной организации, которые по запросу предоставляют клиенту финансовую информацию. Для того чтобы обезопасить себя от этой серьезной угрозы, банку следует выбирать надежных поставщиков платформы «Клиент-банк», что гарантирует контроль качества разработанного приложения и минимизацию возможных уязвимостей. Кроме того, у информационной системы должна быть продуманная архитектура, например вынос интеграционных серверов в демилитаризованную зону (DMZ).

Современные стандарты безопасности клиент-банка подразумевают дублирование средств защиты от несанкционированного доступа. Самые распространенные методы – использование аутентификации пользователя по постоянному паролю и дополнительная аутентификация по временному паролю, высылаемому в SMS-сообщении клиенту либо заблаговременно полученному пользователем в виде скретч-карт или распечатанного чека. В результате, если преступник обойдет одну защиту (например, украдет постоянный пароль клиента), то столкнется с дополнительной преградой в виде временных паролей, которые не дадут злоумышленнику получить доступ в систему. Таким образом, выбор надежного поставщика платформы «Интернет-банк» с продуманной системой защиты от несанкционированного доступа – это ответственность кредитной организации, которая ценит безопасность своих клиентов.

Стандартом по умолчанию практически для любой современной системы «Интернет-банк» стало использование криптографии для шифрования данных, передаваемых через Интернет, и подписание запросов на совершение платежей электронной цифровой подписью. Эти средства сводят на нет вероятность перехвата и подмены злоумышленником важной информации в ходе обмена данными между рабочим местом клиента и системой «Клиент-банк». Кроме того, производители ПО не забывают о политике безопасности при генерации постоянных паролей: пользователя просят придумать сложный, надежный пароль, который не сможет подобрать злоумышленник. В дополнение к защите от подбора пароля может применяться система специальных проверочных символов CAPTCHA. При отсутствии обозначенных средств безопасности у клиентбанка риск несанкционированного доступа хакера в систему очень высок.

В дополнение к антивирусному ПО, которое обнаруживает и нейтрализует вирусы-шпионы, некоторые поставщики услуг клиент-банка предлагают использовать виртуальную клавиатуру при вводе постоянного пароля. Информация вводится без использования физической клавиатуры, соответственно, вирусам, если они проникли в систему, нечего перехватывать. Это эффективно, но не очень удобно для клиента, так как набирать символы на настоящей клавиатуре проще и быстрее.

Если злоумышленник все же нашел уязвимость и проник в систему «Клиент-банк», ущерб для клиента и банка будет минимальным при использовании антифрод-систем (Anti-Fraud) в кредитной организации. Данные системы позволяют отслеживать и предотвращать случаи финансового мошенничества путем блокировки счетов клиента.

Несмотря на то что безопасность информационной системы – один из приоритетных вопросов, необходимо помнить о потребностях клиентов в качественном и удобном сервисе. Об этом говорит начальник управления депозитных и комиссионных продуктов МОСКОВСКОГО КРЕДИТНОГО БАНКА Наталья Розенберг: «Способов усилить безопасность множество, однако мы всегда придерживаемся строгого принципа: уровень защиты не должен расти за счет удобства, а многофункциональность не должна идти вразрез с правилами безопасности».

Начать дискуссию