Просто отправлять платежи, не выходя из дому, с помощью интернет-банкинга. Но всегда ли можно быть уверенным, что с вашего счета спишется только указанная вами сумма, а платеж дойдет по назначению? Об опасностях, которые могут подстерегать пользователей онлайн банкинга, о том, как борются с ними банки и как уберечься от них пользователю, рассказывает статья.
По утверждениям экспертов, основная и самая главная угроза, подстерегающая любого пользователя интернет-банкинга – это риск мошеннического взлома и несанкционированного доступа к средствам на счете. "Единственной существенной опасностью, которая может подстерегать пользователей этих систем, является риск противоправного завладения их денежными средствами злоумышленниками, с использованием возможностей систем "интернет-банкинга", впрочем, как и любых иных типов систем дистанционного обслуживания" , – рассказывает Егор Изотов , начальник отдела информационно-технической защиты "Пивденкомбанка" .
А потому банки стараются использовать различные системы и механизмы, призванные если не гарантировать, то, по крайней мере, повысить безопасность использования онлайн банкинга.
На сегодня уже всеми или почти всеми банками, предоставляющими услугу интернет-банкинга, применяется SSL-шифрование данных, передаваемых от компьютера пользователя в систему банка и обратно. Эта мера безопасности позволяет исключить распространенный ранее вид мошенничества. "Раньше часто использовалась схема "man in the middle": данные о платеже перехватываются на этапе, когда они отправлены от клиента, но еще не дошли в банк. Мошенник меняет данные и только после этого отправляет их в банк" , – рассказывает Борис Косяков , начальник управления информационной безопасности "Астра Банка" .
Чтобы воспользоваться всеми преимуществами защищенной передачи данных, следует соблюдать элементарные меры безопасности в Интернете – не реагировать на подозрительные сообщения (полученные якобы от вашего банка) и не переходить по неизвестным ссылкам.
При такой системе защиты, кроме обычного логина и пароля, для входа в систему и подтверждения операций пользователь должен ввести одноразовый пароль, список которых он может получить в банкомате своего банка.
С точки зрения безопасности такая система имеет преимущество – чтобы совершать операции по карточному счету через интернет-банкинг, лицо должно как минимум иметь в наличии непосредственно саму карту, а также знать ПИН-код, чтобы получить список паролей в банкомате.
Вместе с тем нельзя не отметить ряд недостатков такой системы защиты. Во-первых, список паролей, распечатанный в виде чека из банкомата, вам придется хранить для подтверждения будущих операций. А это значит, что если вы случайно потеряете или выбросите чек (или просто используете все пароли), вам придется идти за новым. Зачастую список паролей можно получить далеко не в каждом банкомате банка, и вполне вероятно, что вам придется ехать за ним на другой конец города. К тому же, списком могут завладеть злоумышленники.
Если ваша система интернет-банкинга предусматривает использование списка одноразовых паролей, постарайтесь придерживаться простых правил. Во-первых, не выбрасывайте список паролей и по возможности старайтесь его не терять. Во-вторых, не храните список одноразовых паролей вместе с логином и паролем от вашей учетной записи. Последний вовсе не рекомендуется записывать, лучше запомнить.
Этот способ аутентификации пользователя в системе интернет-банкинга является едва ли не самым распространенным в предложениях украинских банков. При такой системе каждая операция, которую вы совершаете с помощью онлайн банкинга, должна быть подтверждена одноразовым паролем, который вы получите в СМС-сообщении на ваш мобильный телефон. При этом ваш мобильный номер должен быть "привязан" к номеру счета.
Такая система имеет ряд преимуществ. Во-первых, она достаточно проста в использовании – вам не нужно специальное оборудование, а процедура подтверждения операции занимает всего пару минут. Во-вторых, она позволяет обезопасить вашу учетную запись от использования злоумышленниками – даже если мошенникам станет известен ваш логин и пароль для входа в систему, они не получат доступ к вашим деньгам, а вы узнаете о попытке провести несанкционированную операцию из СМС-сообщения. Кроме этого, вам не нужно хранить список одноразовых паролей, а значит, вы не сможете его потерять, и у вас его не украдут.
На этом преимущества системы заканчиваются. Действительно, злоумышленникам довольно сложно завладеть одноразовым паролем, действующим в течение короткого времени. Если только они не завладели вашим мобильным телефоном. И совсем бесполезной система будет в том случае, если вы пользуетесь интернет-банкингом с мобильного телефона и сохраняете пароли в браузере. Тогда, украв у вас телефон, мошенник получит ваш счет в полное распоряжение.
Если ваш банк использует аутентификацию пользователя по СМС, постарайтесь придерживаться таких правил:
Этот механизм чаще используется при обслуживании банками компаний, но иногда его предлагают и индивидуальным клиентам. Плюс ЭЦП в том, что она позволяет однозначно идентифицировать пользователя. Недостаток же заключается в том, что ЭЦП также может быть уязвима для мошенников. Злоумышленники могут добраться до ключа от вашей цифровой подписи, заразив ваш компьютер вредоносным программным обеспечением.
"Существуют "трояны", умеющие находить и красть на зараженном компьютере аутентификационные данные (идентификаторы, пароли и даже ключи ЭЦП) пользователей для доступа к различным сервисам (в т.ч. и серверам удаленного обслуживания клиентов банков)" , – рассказывает Борис Косяков .
Если для подтверждения ваших финансовых операций через интернет вы используете ЭЦП, не забывайте пользоваться антивирусными программами и регулярно проверять ваш компьютер на предмет заражения компьютерными вирусами. Также эксперты не советуют оставлять ключ ЭЦП подключенным к компьютеру, если вы его не используете.
Некоторые банки предлагают пользователям онлайн банкинга приобрести (или взять в аренду) специальное устройство – генератор одноразовых паролей. Генератор подключается к компьютеру через usb-порт и не требует специального программного обеспечения.
Другие учреждения предлагают использовать внешний электронный ключ, который генерируется при первом подключении к системе интернет-банкинга, записывается на внешний носитель и затем используется при проведении операций в системе.
Такие системы, по сути, являются упрощенной версией ЭЦП. Среди недостатков их можно выделить то, что вы не сможете получить доступ к своему счету, не имея под рукой "ключа", а всегда носить его с собой может быть не очень удобно и безопасно.
Помимо перечисленного выше, банки зачастую применяют дополнительные меры для обеспечения безопасного пользования интернет-банкингом:
Эксперты отмечают, что чаще всего причиной мошеннического доступа к счету пользователя интернет-банкинга является невнимательность и неосторожность самого пользователя. А потому, чтобы избежать возможных проблем, владельцу учетной записи следует беречь данные доступа к ней. Во-первых, эксперты советуют периодически изменять пароли для доступа в систему, желательно делать это раз в месяц и не использовать интернет-банкинг на непроверенных компьютерах (например, в интернет-кафе).
Помимо этого, следует соблюдать осторожность при работе в Интернете. "Мошенники широко используют приемы "социальной инженерии" для того, чтобы выманить аутентификационные данные (логин, пароль и т.д.) клиентов. Наиболее старый метод – "фишинговые" письма электронной почты, которые провоцируют получателей отправить свои аутентификационные данные злоумышленникам или предлагают пройти по ссылке на мошеннический сайт. С ростом популярности социальных сетей ("Одноклассники", Twitter, Facebook) мошенники тут же начали использовать для "фишинга" сообщения социальных сетей. Также злоумышленники создают подложные копии сайтов для интернет-банкинга с именами, очень похожими на настоящие" , – поясняет Борис Косяков . И если вы введете на таком сайте данные своей учетной записи, то они тут же попадут в руки к мошенникам.
Если у вас возникли опасения, что мошенники получили доступ к вашему счету через интернет-банкинг, эксперты советуют предпринять следующие действия:
Если ваши подозрения оправдались, и со счета были списаны несанкционированные вами платежи, следует составить заявление о произошедшем в банк и в правоохранительные органы. В этом случае не рекомендуется совершать никаких действий на вашем компьютере (устанавливать или удалять программное обеспечение и т.п.) до прибытия сотрудников правоохранительных органов или специалистов банка, поскольку любые изменения могут помешать расследованию инцидента.
Системы безопасности интернет-банкинга, используемые крупнейшими украинскими банками (банки расположены по размеру активов).
| Банк | Система безопасности | Дополнительно к системе безопасности |
| "ПриватБанк" | Одноразовые смс-пароли | Виртуальная клавиатура, ограничение длительности сессии |
| "Укрэксимбанк" | ЭЦП | |
| "УкрСиббанк" | Внешний электронный ключ | ЭЦП |
| "Укрсоцбанк" | Одноразовые пароли (получаются в банкомате банка) | Код PIN2, выдается одновременно с картой |
| "Альфа-Банк" | Одноразовые смс-пароли | ... |
| OTP Bank | Одноразовые пароли (используется USB-генератор) | ... |
| "Финансы и Кредит" | Одноразовые смс-пароли | ЭЦП |
| ПУМБ | Одноразовые смс-пароли | ... |
| "Форум" | Одноразовые смс-пароли | История подключений, ограничение длительности сессии |
| "Дельта-Банк" | Одноразовые смс-пароли | ... |
| Swedbank | Одноразовые смс-пароли | Bиртуальная клавиатура |
| "Пивденный" | Внешний электронный ключ | ЭЦП |
| "Сбербанк России" | Одноразовые смс-пароли | ЭЦП |
| Universal Bank | Личный цифровой сертификат | Mожно заказать смарт-карту для хранения личного сертификата |
Помимо риска мошеннического взлома, пользователь интернет-банкинга подвергается и другим угрозам. Например, нежелательное списание средств через интернет-банкинг может произойти, если пользователь сам неправильно ввел данные для отправки денег.
"Если клиент при отправке платежа через интернет-банкинг допустил ошибку в номере счёта, то процедура возврата такого платежа ничем не отличается, как если бы платёж был отправлен при посещении отделения банка. Увидев, что платеж в системе интернет-банкинга отправлен ошибочно, клиент должен уведомить об этом свой банк" , – комментирует Юлия Морозова , директор департамента развития карточного бизнеса VAB .
Эксперты отмечают, что успешность исправления такой ошибки в первую очередь зависит от скорости реакции на нее самого пострадавшего. Если ваши средства еще не были отправлены в банк получателя, то вы получите их назад почти сразу. Если платеж уже поступил в другой банк – то придется немного подождать. "Если деньги были отправлены в другой банк на счет юридического лица, то в связи с тем, что остальные реквизиты не соответствуют счету, деньги будут возвращены в течение трех дней либо на основании заявления" , – рассказывает Ростислав Божко , ведущий специалист управления альтернативной дистрибуции "МАРФИН БАНКА" .
Впрочем, возврат средств может затянуться и на более длительный срок. "Точные сроки возврата в данном случае будут зависеть от банка получателя. То есть, как только банк-получатель вернет средства банку-отправителю, средства будут зачислены на счет клиента" , – поясняет Юлия Морозова .
Сложнее всего дело обстоит в том случае, если деньги были отправлены на счет физического лица и уже поступили на его счет. "Если денежные средства были зачислены получателю, то согласно п.1.7 и 1.19 Инструкции НБУ "О безналичных расчетах в Украине в национальной валюте" №22 от 21 января 2004 года распорядителем средств является владелец счета. Соответственно, письмо с просьбой вернуть ошибочно перечисленные средства на счет клиента необходимо направлять получателю средств" , – рассказывает Егор Изотов . В таком случае вернуть свои деньги вы сможете либо с согласия получателя, либо по решению суда.
Впрочем, интернет-банкинг не застрахован и от других рисков, к возникновению которых люди не причастны. Например, если во время проведения операции возникнет технический сбой. Эксперты уверяют, что такой риск не несет большой угрозы для владельца счета. "Системы интернет-банкинга, как, и любые иные современные системы обработки данных, устроены таким образом, что в случае технического или программного сбоя в процессе транзакции документ просто не будет принят банком" , – рассказывает Егор Изотов . Но даже если неверная операция все же была проведена – стоит сразу же обратиться в банк для исправления ошибки. "Если при осуществлении перевода произойдет сбой в транзакции, то о таком сбое достаточно проинформировать банк и средства будут возвращены на счет в кратчайшие сроки" , – уверяет Ростислав Божко .
В то же время, пользователь интернет-банкинга может столкнуться и с гораздо белее неприятной ситуацией. Так, по сообщениям в СМИ, клиент одного из российских банков в начале 2009 года попал в неприятную историю, когда одноразовые пароли на подтверждение платежей в системе интернет-банкинга присылались не на его, а на чужой номер мобильного телефона. В результате, мошенниками со счета были списаны крупные суммы денег. Пострадавший уверен, что в инциденте замешаны сотрудники банка, ведь только они могли не просто сообщить злоумышленникам регистрационные данные (логин и пароль от учетной записи), но и отправлять им разовые пароли.
Опыт пострадавшего в этой ситуации показывает, что доказать что-то в таких обстоятельствах довольно сложно. Скорее всего, придется обращаться в суд, а его решение будет во многом зависеть от содержания договора, подписанного с банком. Впрочем, эксперты отмечают, что такого вида мошенничество не связано напрямую с использованием интернет-банкинга, ведь в присутствии недобросовестного сотрудника мошенники могли с таким же успехом оформить поддельное платежное поручение.
Мы с вами в прошлом посте разобрались как выбрать удобную банковскую карту для заграничных путешествий , настало время позаботиться про безопасное её использование.
Для написания этого поста я проконсультировался со своим приятелем, который является специалистом по информационной безопасности в одном из российских банков. Далее, его ответы на мои вопросы.
Хранить деньги на счёте в банке - это в разы безопаснее, чем хранить их дома, на это есть ряд причин. Во-первых, все вклады страхуются государством (АСВ). Во-вторых, любой банк имеет средства и возможности мониторить и контролировать свою безопасность, это как бы его одна из задач. В-третьих, банк кроме обязательной страховки через АСВ, имеет дополнительную страховку на тот случай если происходит кража средств с клиентских счетов и прочие форс-мажор обстоятельства.
Любое мелкое хулиганство (у каждого банка суммы разные, но примерно 3 000 000 рублей на один счет), проходит совершенно незаметно для пользователей, так как все покроет страховая. Информация про такую мелочовку никогда не выходит за пределы банка, ведь проще возместить ущерб клиенту, чем иметь репутационные риски.
На заре Интернета хакеры были совершенно иными, они скорее всего были идейными и занимались всякой ерундой. Сегодня, серьезные хакеры либо работают на правительства разных стран (это уже бывшие хакеры), либо занимаются крупным IT криминалом. И первым и вторым ваши копейки на карточном счете попросту не интересны, у них цели более масштабные. В то время как банковская система имеет от вторых регулярные атаки.
У безопасников есть такое понятие, «профиль атакующего», т.е. следует чётко понимать кто охотиться за вашими деньгами/информацией. Соответственно, когда вы подробно опишете как может выглядеть ваш оппонент, тогда и будет понятно какая защита вам потребуется.
Я бы не стал сгущать краски, так как для рядового пользователя банка, основную угрозу представляют обычные «школьники» и мелкое жульё с сайтов объявлений. Боятся их не стоит, но с этой публикой следует быть внимательным и осторожным.
Ваша банковская карта и так имеет очень хорошую систему защиты, тут беспокоится не стоит. Самое слабое звено в цепочке: клиент -> банковская карта -> банкомат/терминал в магазине -> банк. Конечно же сам клиент. Как я уже говорил ранее, всё банковское железо и софт регулярно проходят стресс тесты по безопасности и регулярно модернизируются, а вот клиенты такие тесты не проходит и каждый раз наступают на одни и те же грабли.
Вот самые регулярные провалы клиентов (мировая статистика):
Как видите, самые актуальные способы воровства ваших денег с банковских карт имеют понятную природу, и я бы сказал, что тут работает «Социальная инженерия», а не технические способы и навыки.
Как вы уже убедились, самое слабое звено это сам владелец карты. Тем не менее, следует учитывать факт новых технологий (как пример, бесконтактная система оплаты) к которым не все пользователи ещё привыкли, но всё же при соблюдении базовой грамотности пользоваться банковскими картами безопасно.
Вот несколько простых советов, которые сведут к минимуму вероятность воровства с вашей карты:
Прикрывайте ладонью клавиатуру - при вводе ПИН кода старайтесь прикрыть клавиатуру терминала/банкомата ладонью. Скиммеры постепенно уходят в прошлое, но еще встречаются, так что не облегчайте жуликам их работу.
Не «светите» своей картой в интернете - старайтесь как можно меньше указывать данные вашей карты в сети, не стоит «светить» даже номер карты. Помните, чем больше данных с вашей карты вы указали, тем более вы уязвимы.
Используйте виртуальную карту - если вы покупаете в непроверенном интернет магазине, то лучшим решением будет расплатиться с помощью виртуальной карты. Все чем вы рискуете - это средствами на ней, так как сразу после оплаты карта становится недействительной. Такую карту можно выпустить онлайн, прямо их админки Интернет банка (не у всех банков это возможно).
Используйте несколько карт - одна карта для интернет покупок, вторая карта для зарплаты, третья для путешествий и т.д.
Не храните большие суммы на карточном счете - это самое действенный метод, который редко кто использует, но он на 100% обезопасит ваши финансы. Сегодня, онлайн банк есть у всех, пользоваться им можно с любого смартфона, так что не ленитесь и храните основные деньги на отдельном счёте, который не привязан к карте. В момент похода за дорогостоящими подарками, переводите нужную сумму с основного счёта на карточный счет.
Устанавливайте лимиты - установите дневной лимит, это действенный способ помешать жуликам слить с вашего пластика всё под ноль.
Подключите услугу 3D Secure - услуга отлично помогает верифицировать держателя карты при покупках в интернет магазинах. 3D Secure - это ещё один заслон от мелких интернет хулиганов и всякой школоты. Суть проста, при оплате картой, вам приходит SMSка с кодом подтверждения.
Контролируйте состояние всех операций в режиме онлайн - включите SMS информирование и при любой непонятной транзакции звоните в банк и блокируйте карту (то же самое можно сделать через интернет банк).
Первое что следует сделать - успокоится. :) Но сильно расслабляться всё же не стоит, а следует как можно быстрее обратиться в свой банк и описать суть проблемы.
Тут следует понимать как работает вся система в целом, большинство клиентов про это не знает и сразу же начинают паниковать.
К примеру, вы находитесь в своём московском офисе и тут вам прилетает SMSка, что в далеком Бангкоке с помощью вашей карты была осуществлена дорогая покупка. Вроде бы самое время паниковать и рвать на всех частях тела волосы, а вот и нет.
Дело в том, что как только происходит какая-либо операция, то ваши средства никуда не деваются, они просто «морозятся». Вы естественно к ним уже доступа не имеете, но банк имеет. Деньги могут «морозится» на очень длительный срок (10 дней для банкомата, 45 дней для всех остальных терминалов).
Но это происходит не просто так, а в ожидании от мерчанта (интернет магазина, гостиницы и т.д.) документов, которые подтверждают на каких основаниях для него была заморожена ваша сумма. Как правило, мерчант предоставляет в МПС (Международная Платежная Система) документы в течение нескольких дней и платеж проходит, если документы от него не получены, то средства «размораживаются» и возвращаются.
Так вот знаю эту схему работы, вы приходите в офис своего банка (в некоторых случаях всё можно решить по телефону) и как правило вопрос решается в вашу пользу (тут могут быть разные ситуации). Часто подобные заявления и расследования - это платная услуга, про это стоит помнить. После возврата средств вам на счет, могут прийти документы от МПС, но это уже банк с ним сам разрулит (ситуация откатанная и не является чем то новым). В итоге, все довольны и счастливы.
Безопасного вам интернет банкинга.
/ Безопасность интернет-банкинга
Вконтакте
Одноклассники
Андрей Бирюков , специалист по информационной безопасности
Безопасность интернет-банкинга
С 1 января 2013 года вступают в силу требования Федерального закона №161 «О национальной платежной системе». Как это повлияет на услуги интернет-банкинга?
Сегодня никого уже не удивишь возможностью мгновенного выполнения банковских операций удаленно. Оплата счетов, денежные переводы – все это можно сделать сидя за компьютером благодаря системам интернет-банкинга. Но вместе с удобством пришли и проблемы. Прежде всего они касаются безопасности платежных операций.
Удаленные платежи
Интернет-банкинг для организаций – это услуги по управлению их счетами через глобальную сеть Интернет и веб-браузер. Типовые решения позволяют корпоративным клиентам отправлять в банк различные финансовые документы, такие как аккредитивы, платежные поручения, заявления и требования. При этом в интернет-банкинге предусмотрена возможность обмена между клиентами и банком информационными сообщениями с прикрепленными файлами.
Во многих современных решениях также предусмотрены функции обмена документами с бухгалтерскими программами клиентов, поддерживаются импорт и экспорт всех типов документов и отчетов через обмен файлами в текстовом и XML-формате, встроена поддержка «1С:Бухгалтерии».
Удобный банкинг
Стоит отметить, что интернет-банкинг – это не новая услуга, оказываемая банком, а лишь изменение формы обслуживания клиентуры.
Здесь можно провести аналогию с обслуживанием по телефону или пейджеру. Операции, осуществляемые банком в сети, те же самые, которые он оказывает в своих стандартных отделениях.
Вот основные преимущества интернет-банкинга:
Системы интернет-банкинга позволяют не только автоматизировать прохождение платежей в режиме реального времени, но и повысить долю безналичных расчетов в денежном обороте, таким образом, уменьшить долю наличных платежей и всевозможных денежных суррогатов (бартер, взаимозачеты, налоговые освобождения).
А это в свою очередь будет способствовать увеличению налогооблагаемой базы.
Однако в отличие от живого общения здесь возникает целый ряд вопросов, связанных с обеспечением информационной безопасности.
Давайте узнаем, какова же типовая защита услуги интернет-банкинга?
Защищенный банк
Обычно банк обеспечивает гарантированный уровень безопасности, который содержит механизм ЭЦП (электронная цифровая подпись) под финансовыми документами.
Все данные шифруются с использованием национальных криптографических алгоритмов, осуществляется контроль целостности передаваемых данных.
В решении используется сертифицированная ФСБ криптобиблиотека, обеспечивается юридическая значимость электронного документооборота.
Предусмотрено гибкое управление правами организаций и их сотрудников. Для каждого корпоративного клиента по каждому типу документа настраивается необходимое количество ЭЦП.
Для проверки компьютеров, которые работают с интернет-банкингом, на наличие вирусного ПО предлагается использовать антивирусное программное обеспечение.
Для работы с интернет-банкингом необходимо иметь веб-браузер с установленной виртуальной машиной Java.
В общем, набор средств защиты типовой: электронная подпись, шифрование, целостность, рекомендации по использованию антивирусов.
Однако даже самые надежные средства защиты могут оказаться бессильными, если пользователи не выполняют требования по обеспечению информационной безопасности.
Поэтому, помимо чисто технических средств защиты, должны использоваться также и организационно-юридические средства, о которых и поговорим.
Закон есть закон
Федеральный закон №161 «О национальной платежной системе» определяет порядок деятельности «национальной платежной системы». В частности, определяются права и обязанности сторон, участвующих в деятельности системы.
Согласно этому Федеральному закону, субъектами национальной платежной системы являются банки, кредитные организации, выполняющие роль операторов при организации перевода денежных средств, а также юридические и иные лица, привлекаемые банками и кредитными организациями.
Кроме того, к субъектам относятся платежные агенты, которые имеют право принимать платежи от физических лиц, операционные организации и почтовые организации.
Закон определяет требования к этим субъектам, а также устанавливает регламентацию осуществления процедуры денежного перевода.
Законом устанавливаются и определенные ограничения, к примеру, ограничение на суммы, которые могут быть переведены с использованием электронных платежных систем.
Наибольший интерес сейчас вызывает статья №9, ее подпункты 11-16, которые вступают в силу с 1 января 2013 года. Кратко суть их сводится к тому, что в случае хищения денежных средств со счета клиента банк обязан возместить полную сумму похищенных средств. Поэтому банк заинтересован в успешном обнаружении мошенников и возмещении понесенных убытков.
Юридические тонкости
При этом не учтен ряд юридических моментов. Например, на законодательном уровне не определено место совершения преступлений с использованием ДБО.
Учитывая правоприменительную практику, местом совершения преступления часто считается место физического получения мошенником денежных средств (например, банкомат, находящийся в другой стране). При этом дело расследуется местными правоохранительными органами.
Если похищенные деньги выводят в нескольких регионах или даже государствах, то эффективно расследовать данное преступление практически невозможно.
В качестве решения эксперты предлагают законодательно закрепить, что местом совершения преступления должен быть определен оператор по переводу денежных средств или счет клиента, с которого деньги были похищены.
Другая проблема в том, что не существует принятого всеми порядка действий в случае выявления хищений денежных средств в системах ДБО.
В них расписан порядок для каждого субъекта, однако в существующей нормативной базе рекомендации малоприменимы, в частности, нет оснований требовать от клиента выполнения указанного порядка действий.
Необходимо доработать данные документы, приблизив их к реальности и снабдив юридическими инструментами влияния на клиентов.
Наконец, законодательством не определены основания для приостановления потенциально мошеннических платежей. Прежде всего для корпоративного сектора это может означать следующее: при осуществлении крупной сделки была произведена попытка оплаты, однако платеж был приостановлен по подозрению в мошенничестве. Сделка сорвалась. Клиент в судебном порядке потребовал от банка возместить убытки. Сейчас банк может сослаться только на ФЗ № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». Но других оснований для приостановления платежа нет.
Если не будет поправок
Если до конца 2012 года не выйдет новых поправок к закону, то банки должны быть готовы к следующему.
Если банк не отправляет уведомления о платежах (например, через sms), то он будет обязан возместить мошеннический платеж в любом случае.
Если банк отправляет уведомление, то есть всего два основания для отказа.
Как видно, с юридической стороны вопросами в обеспечении безопасности интернет-банкинга дела обстоят не так хорошо, как хотелось бы.
Таким образом, по крайней мере в ближайший год-полтора, пока не будет внесена ясность в закон, финансовым организациям придется рассчитывать прежде всего на технические и организационные меры по обеспечению безопасности интернет-банкинга.
Как происходит хищение
Основной задачей мошенников в банковской сфере является хищение и вывод средств. Для осуществления этого используют различные мошеннические схемы.
Для проведения нелегитимной транзакции обычно используют цепочку банков, расположенных в различных регионах. Операционист в банке может отслеживать счета, на которых имеются значительные средства, но по которым давно не было операций, и переводит, как правило, небольшие суммы в другие банки.
Применительно к интернет-банкингу такая схема, казалось бы, мало пригодна, ведь такой платеж осуществляется автоматически, без участия человека. Случаи с переводами значительных сумм, требующих дополнительных подтверждений со стороны плательщика, мы пока не будем рассматривать.
В крупных компаниях с интернет-банкингом работают сотрудники бухгалтерии. Как уже упоминалось, программное обеспечение, используемое для осуществления транзакций, хорошо защищено в соответствии с требованиями регуляторов, в отличие от компьютера бухгалтера. Очень часто это ноутбук, который сотрудник забирает домой, например, чтобы работать в выходные.
Как правило, у пользователя на домашнем компьютере есть административные права. Кроме того, немаловажным моментом является и тот факт, что клиентское рабочее место и программное обеспечение не подконтрольны банку, они находятся на территории клиента, физическая безопасность, техническое обслуживание и контроль также осуществляются у клиента. Банк может лишь давать рекомендации и предоставлять преднастроенное программное обеспечение.
В таких условиях вероятность заражения вредоносным кодом значительно возрастает. Если злоумышленники намерены осуществить адресную атаку, то есть похитить деньги со счетов данной компании, то они могут заранее выяснить, какое антивирусное программное обеспечение, персональный межсетевой экран и другие средства защиты используются на машинах сотрудников, и доработать свой вирус так, чтобы для этих приложений он был незаметен.
В результате троян спокойно живет на компьютере бухгалтера, злоумышленники беспрепятственно просматривают информацию о транзакциях, изучают, когда, какие суммы, в какие регионы проводятся платежи, и в определенный момент осуществляют несанкционированный перевод на нужный счет.
Затем украденные деньги быстро проводятся по цепочке левых банков и обналичиваются в другой стране.
Защита типовая и не очень
Типовая атака на интернет-банкинг – достаточно распространенная угроза. Например, в одной крупной российской компании сейчас расследуются три уголовных дела, связанных с хищением средств с корпоративных счетов через систему дистанционного банковского обслуживания посредством вирусов. Посмотрим, как банки защищаются от этих угроз.
При попытке осуществления транзакции операция проверяется по нескольким критериям:
Проверка на доверенность или недоверенность контрагента заключается в следующем: крупный платеж юрлицу, зарегистрированному менее месяца назад, будет подозрительным по определению. Однако небольшой платеж, например, меньше 100 000 рублей, проведенный злоумышленником, вполне может пройти.
Черные списки – это аналог рекомендаций ФЗ №115, здесь тоже блокируются все платежи юрлицами, замеченными в незаконной деятельности. Злоумышленникам достаточно зарегистрировать фирму-однодневку и использовать методы, описанные в предыдущем абзаце.
Платежи со счетов юрлица на счет физлица традиционно являются приемом ухода от налогов и незаконного обналичивания денежных средств. Поэтому такие операции по определению находятся под особым вниманием службы безопасности, и злоумышленники все реже используют этот метод.
Перейдем к более интеллектуальным средствам защиты и контроля операций интернет-банкинга.
В описании мошеннической схемы я упомянул, что злоумышленники могут некоторое время вести мониторинг операций, выполняемых юрлицом. Зачем это нужно?
Ведь чем дольше вредоносный код находится на машине, тем больше вероятность, что его обнаружат. Это действительно так, потому троян должен быть написан так, чтобы не определяться средствами защиты.
Но, с другой стороны, если сразу же после заражения произвести транзакцию, есть большая вероятность, что эта операция будет отклонена.
Поэтому, если хотя бы две недели последить за тем, кто из сотрудников осуществляет платежные операции, в какое время, по каким дням недели, в какие банки и на счета каких юрлиц, будет легче замаскировать нелегитимные транзации среди настоящих, а системам мониторинга банка сложнее их определить.
Профессиональные взломщики всегда знают меру. Поэтому после осуществления нескольких нелегитимных транзакций вредоносное программное обеспечение удаляется с компьютера. Таким образом, уничтожается, как правило, единственная улика, доказывающая факт нелегитимной транзакции.
Если впоследствии экспертиза не обнаружит на машине клиента никакого вредоносного кода, то в соответствии с вступающими в силу пунктами ФЗ банку придется возмещать клиенту украденные средства.
Если антивирус и другие средства защиты неэффективны в борьбе с такими угрозами, то необходимо больше внимания уделять средствам мониторинга.
Всевидящее око
При осуществлении мониторинга банковских транзакций, помимо описанных выше простых защитных мер, ключевым является анализ.
Здесь имеется в виду не только описанный ранее анализ надежности, черных списков и прочего, речь идет об интеллектуальном мониторинге процесса удаленных транзакций.
Принятие решения об отклонении проведения платежа складывается из множества факторов. Каждому такому платежу назначается некоторая цена. При наличии нескольких факторов цены суммируются. Если превышается некоторый порог, платеж отклоняется. Цена каждого фактора определяется опытным путем в соответствии с моделью рисков, используемой банком.
Приведу небольшой пример. Первый вариант. Пусть транзакция проводится в понедельник в 12 часов на счет юрлица, которому до этого никаких платежей не осуществлялось.
Второй вариант. Если транзакция производится в пятницу в 17 часов тоже юрлицу, с которым до этого не работали. Сумма в обоих случаях одинаковая и не слишком большая.
Казалось бы, действия одинаковые, но при анализе транзакций цены факторов должны быть разными.
В первом случае платеж проводится в понедельник в середине рабочего дня, вероятность того, что для проверки подтверждения платежа банк предпримет какие-либо дополнительные действия (например, перезвонит в бухгалтерию плательщика) довольно велика.
А вот вечером в пятницу это вряд ли будут делать, поэтому здесь цена соответствующих факторов – день недели и время – будет выше.
Доверенная среда
Давайте рассмотрим еще одно не совсем стандартное средство защиты, которое может использоваться на стороне клиента.
Итак, мы уже договорились, что у клиента все плохо: на компьютере бухгалтера административные права, есть доступ в Интернет, антивирус обновляется не регулярно. И самое главное, администраторы и специалисты ИБ клиента не хотят/не могут ничего с этим сделать. Казалось бы, единственный вариант действий в такой ситуации – банку отказать данному юрлицу в предоставлении услуг интернет-банкинга: слишком велика вероятность хищения средств с его счетов.
Однако с развитием ИТ появились новые варианты решения данной проблемы. Например, существуют специальные USB-накопители, произведя загрузку с которых, пользователь оказывается в безопасной среде.
Выглядит это следующим образом. После инициации загрузки с USB на рабочее место будет произведена загрузка эталона операционной системы, в которой пользователю предоставляется доступ только к целевому приложению. Доступа к операционной системе пользователь в ходе сеанса не получает. Среда выгружается сразу после выхода пользователя из целевого приложения, причем никаких следов работы пользователя в системе (cash-, swap-, временные файлы) не остается. При этом сам образ ОС на USB-накопителе хранится в блоке памяти, доступном только для чтения.
Таким образом, гарантируется целостность данных и программного обеспечения. Даже если на машине есть какой-либо вредоносный код, после загрузки с данного носителя он не сможет перехватывать информацию о действиях пользователя.
Практическим примером реализации такого решения является среда построения доверенного сеанса МАРШ! . Это средство ориентировано не только на интернет-банкинг, но и на другие области, где требуется доверенная среда.
Другое, аналогичное, решение с говорящим названием ТЕЛЕБАНК ориентировано именно на банковскую среду. Оно также базируется на использовании USB-носителя и эталонной ОС, но после загрузки в ней доступен лишь браузер Microsoft Internet Explorer с заранее записанным URL Web Server системы интернет-банкинга. Решение не позволяет ввести пользователю URL, отличный от заданного, при конфигурировании доверенной среды.
Контроль доступа
Еще одним способом не допустить к работе с сервером интернет-банкинга являются решения по обеспечению контроля доступа на сетевом уровне Network Admission Control.
Общий принцип таких систем в контексте интернет-банкинга заключается в следующем. На рабочее место клиента устанавливается агент, который при соединении с сервером банка сообщает ему, какие средства защиты установлены на компьютере: есть ли антивирус, когда его база последний раз обновлялась, какие обновления ОС установлены. На основании этой информации принимается решение, подключать ли данного пользователя к серверу или потребовать устранения выявленных недостатков в защите.
Вконтакте
При использовании банковской карты в реальном мире нужно быть настороже. Не стоит расслабляться и в интернете. Правда, здесь и угрозы специфические. Какие есть меры безопасности при работе с интернет банком? По традиции – несколько советов, как не лишиться кровных, оплачивая услуги в интернете.
Эта рекомендация для тех, кто заходит в свой личный кабинет в интернет-банке. В большинстве случаев требуется логин и пароль. Ряд банков используют генерацию пароля, который высылается на телефон, ряд банков предлагают постоянные идентификаторы. Именно в этом случае возникает соблазн записать пароль на бумажку и… положить рядом с картой, то есть в кошелек.
Ни в коем случае не храните пароль вместе с картой. Лучше вообще его не записывать. А если забыли, воспользоваться сервисом по восстановлению пароля. Практика показывает: написанное на бумаге, как правило, теряется. Если в этом случае деньги снимут мошенники, у вас не будет никаких шансов доказать, что эту операцию совершали не вы: логин и пароль ведены правильно. И мы не говорим уже о том, что пароль должен быть посложнее «12345» или «пароль».
Любовь россиян ко всякого рода «левому» софту приводит к парадоксальным последствиям: даже при наличии официальных мобильных приложений интернет-банка наши соотечественники умудряются скачивать его с пиратских сайтов. Как итог - потеря персональных данных и денег.
Скачивайте мобильные приложения только с официальных каналов - App Store, Google Play, Windows Store. Не можете найти на этом сайте программу? Зайдите на сайт банка и пройдите по ссылке скачать мобильное приложение.
Подставные сайты, или сайты-обманка - еще одна «акула», пожирающая деньги неопытных интернет-покупателей. Внешне почти неотличим, название сайта - практически аналогичное, мало кто будет разбирать по буквам. В итоге - перехват персональных данных и списание средств.
Самый простой совет - вводите название сайта вручную. В таком случае загрузить «подставу» будет практически невозможно. Наконец, следите за безопасностью своего устройства. Многие забывают, но смартфон с выходом в интернет - тоже компьютер, которому требуется защита.
Когда вы вводите персональные данные на сайте (интернет-банк, простая оплата товаров или услуг), убедитесь, что используется соединение типа SSL или TLS, то есть защищенное соединение с шифрованием. Доказательство - замочек перед названием сайта и буква «s». Кстати. Если нажать на замочек, можно узнать много интересного о типе шифрования - вид соединения, данные сертификата и т.д.
Если вы планируете ввести персональные данные, а шифрования нет, то соединение считается незащищенным и вероятность того, что ваши данные могут быть похищены, велика. Остерегайтесь таких сайтов! Также срочно уходите с тех сайтов, где при вводе номера карты цифры не заменяются на «звездочки». Запомните: никакой сайт банка или интернет-магазина не предлагает вам ввести пин-код карты. Если система запросила эту информацию - 100% сайт поддельный и ваши средства будут похищены.
Многие считают: раз я выхожу в свой личный кабинет ежедневно. То смс-информирование мне не нужно. Как раз наоборот. Ваша активность выросла. Соответственно, выросли и риски. Особенно, если речь идет о сайтах типа aliexpress.com, где подтверждение операции по смс не требуется, достаточно лишь ввести номер карты.
Обязательно подключите смс-информирование, даже если банк берет за это плату. Поверьте, эти 50-100 рублей в месяц в сотни раз дешевле, чем полностью обчищенный «интернет-кошелек».
В большинстве интернет-магазинов внедрена технология 3-D Secure, которая повышает безопасность при расчетах по карте. Суть этой технологии для обычного пользователя как раз и заключается в приходе смс с одноразовым паролем, необходимым для оплаты покупки. Доказательство использования технологии - один из двух логотипов перед полем для ввода одноразового пароля:
Дополнительно вы повысите свою безопасность, если в личном кабинете интернет-банка установите лимит на проведение операций. К примеру, средний размер вашей операции - 3000 рублей. Установите лимит в 4000 рублей, и злоумышленники никак не смогут перевести сумму, больше этой.
Если вы часто оплачиваете покупки в интернете, то было бы неразумно использовать для этих целей карту, которой вы расплачиваетесь в магазинах и снимаете деньги через банкомат.
Для операций в интернете разумно завести отдельную карту. Значительная часть банков предлагают так называемые «виртуальные» карты. В реальности «пластика» нет, но у карты есть и счет, и номер и код CVV2. Соответственно, вы значительно повышаете свою безопасность.
Сегодня банки и интернет-магазины проводят огромную работу по повышению безопасности операций со счетами в сети. Но никакие даже самые совершенные технологии не спасут держателя карты, если он не будет сам заботиться о безопасности. Как говорится, спасение утопающих - дело рук самих утопающих.
Система «Home Banking» является Интернет системой, и обеспечивает максимальную гибкость и простоту взаимодействия Клиента и Банка. При реализации системы мы опирались на общепринятые мировые стандарты и методы информационной безопасности:
Система использует алгоритмы шифрования в соответствии с ГОСТами и сертифицированные ФАПСИ системы криптозащиты. Это позволяет обеспечивать высокий уровень безопасности при использовании Интернета в течение всего процесса обработки и хранения информации.
На практике безопасность работы системы «Home Banking» реализуется следующим образом:
Клиент, используя обычный браузер, выполняет соединение с ответной банковской частью. Осуществляется авторизация по заданным реквизитам сертификатов и SSL-шифрация трафика между браузерами. SSL соединение, обеспечивает безопасную передачу данных между клиентом и сервером Банка.
Протокол SSL хорошо зарекомендовал себя как метод для защиты от несанкционированного доступа в телекоммуникационных каналах и является de-facto промышленным стандартом. Технология SSL поддерживается всеми основными браузерами и операционными системами.
Протокол SSL защищает документ только в процессе передачи документа по коммуникационным каналам. После передачи документа в Банк, при хранении документа в базе данных банка, в качестве защиты и средства идентификации документа используется технология Электронной Цифровой Подписи.
В том случае если Клиенту необходим облегченный вариант взаимодействия с банком, например, только просмотр состояния счетов, то можно отрегулировать процедуры обеспечения безопасности на работу в ограниченном режиме, например, использование только парольной идентификации. Пароль в таком случае хранится в виде хеш-слепка на сервере Банка, что гарантирует клиенту невозможность использования пароля Клиента сотрудниками Банка, и в то же время как минимум формально гарантирует Банку, что лицо, использующее пароль, уполномочено на дальнейшие действия самим Клиентом. При необходимости, парольная авторизация может быть усилена другими технологиями, например биометрической, карточной контактной, или карточной бесконтактной.
Сертификат X.509 является электронным аналогом удостоверения личности (паспорта) и позволяет идентифицировать пользователей Интернета. В то же время, пользователи, подключившиеся к сертифицированному серверу, могут быть уверены, что попали именно в искомую организацию. У каждого пользователя существует открытый ключ с некоторой дополнительной информацией о его владельце. Открытый ключ подписан еще одним ключом, принадлежащим центру сертификации системы «Home Banking» (как правило, соответствующая служба в Банке или официальные Удостоверяющие Центры). Отправитель с помощью открытого ключа шифрует данные, устанавливает сертификат подписи клиента и отправляет этот пакет в центр сертификации. Получив данные, система «Home Banking» с помощью своего закрытого ключа расшифровывает их и проверяет информацию владельца сертификата (срок действия, имя владельца, и т.п.). Математически ключи подобраны так, что, имея один, почти невозможно восстановить другой. Это позволяет относить методы сертификации X.509 к надежным криптографическим средствам, что подтверждено ФАПСИ.
Существующая регистрация событий в системе «Home Banking» фиксирует все случаи подключений, смены пароля и других действий. Система позволяет просматривать эту историю, что дает возможность определить попытку несанкционированного подключения. В случае многократного ввода неверных данных (идентификатор и пароль) доступ к системе блокируется.
Настраиваемый механизм резервного копирования гарантирует сохранность данных. Резервные копии хранятся на отчуждаемых носителях. Тем самым исключается возможность несанкционированного доступа к резервным копиям.
Используемые криптографические технологии на основе идентификатора и пароля, защищенного соединения SSL, а также сертификата X.509, в комплексе позволяют свести риски использования соединения через Интернет к минимуму. Условия поставки, внедрения и сопровождения системы «Home Banking» предусматривают возможность настройки и расширения существующего функционала под индивидуальные требования заказчика.
По утверждениям экспертов, основная и самая главная угроза, подстерегающая любого пользователя Интернет-банкинга - это риск мошеннического взлома и несанкционированного доступа к средствам на счете. «Единственной существенной опасностью, которая может подстерегать пользователей этих систем, является риск противоправного завладения их денежными средствами злоумышленниками, с использованием возможностей систем «Интернет-банкинга», впрочем, как и любых иных типов систем дистанционного обслуживания», - рассказывает Егор Изотов, начальник отдела информационно-технической защиты Пивденкомбанка.
А потому банки стараются использовать различные системы и механизмы, призванные если не гарантировать, то, по крайней мере, повысить безопасность использования онлайн банкинга.
Шифрование данных
На сегодня уже всеми или почти всеми банками, предоставляющими услугу Интернет-банкинга, применяется SSL-шифрование данных, передаваемых от компьютера пользователя в систему банка и обратно. Эта мера безопасности позволяет исключить распространенный ранее вид мошенничества. «Раньше часто использовалась схема «man in the middle»: данные о платеже перехватываются на этапе, когда они отправлены от клиента, но еще не дошли в банк. Мошенник меняет данные и только после этого отправляет их в банк», - рассказывает Борис Косяков, начальник управления информационной безопасности Астра Банка.
Чтобы воспользоваться всеми преимуществами защищенной передачи данных, следует соблюдать элементарные меры безопасности в Интернете - не реагировать на подозрительные сообщения (полученные якобы от вашего банка) и не переходить по неизвестным ссылкам.
Одноразовые пароли, получаемые в банкомате
При такой системе защиты, кроме обычного логина и пароля, для входа в систему и подтверждения операций пользователь должен ввести одноразовый пароль, список которых он может получить в банкомате своего банка.
С точки зрения безопасности такая система имеет преимущество - чтобы совершать операции по карточному счету через интернет-банкинг, лицо должно как минимум иметь в наличии непосредственно саму карту, а также знать ПИН-код, чтобы получить список паролей в банкомате.
Вместе с тем нельзя не отметить ряд недостатков такой системы защиты. Во-первых, список паролей, распечатанный в виде чека из банкомата, вам придется хранить для подтверждения будущих операций. А это значит, что если вы случайно потеряете или выбросите чек (или просто используете все пароли), вам придется идти за новым. Зачастую список паролей можно получить далеко не в каждом банкомате банка, и вполне вероятно, что вам придется ехать за ним на другой конец города. К тому же, списком могут завладеть злоумышленники.
Если ваша система интернет-банкинга предусматривает использование списка одноразовых паролей, постарайтесь придерживаться простых правил. Во-первых, не выбрасывайте список паролей и по возможности старайтесь его не терять. Во-вторых, не храните список одноразовых паролей вместе с логином и паролем от вашей учетной записи. Последний вовсе не рекомендуется записывать, лучше запомнить.
Одноразовые СМС-пароли
Этот способ аутентификации пользователя в системе интернет-банкинга является едва ли не самым распространенным в предложениях украинских банков. При такой системе каждая операция, которую вы совершаете с помощью онлайн банкинга, должна быть подтверждена одноразовым паролем, который вы получите в СМС-сообщении на ваш мобильный телефон. При этом ваш мобильный номер должен быть «привязан» к номеру счета.
Такая система имеет ряд преимуществ. Во-первых, она достаточно проста в использовании - вам не нужно специальное оборудование, а процедура подтверждения операции занимает всего пару минут. Во-вторых, она позволяет обезопасить вашу учетную запись от использования злоумышленниками - даже если мошенникам станет известен ваш логин и пароль для входа в систему, они не получат доступ к вашим деньгам, а вы узнаете о попытке провести несанкционированную операцию из СМС-сообщения. Кроме этого, вам не нужно хранить список одноразовых паролей, а значит, вы не сможете его потерять, и у вас его не украдут.
На этом преимущества системы заканчиваются. Действительно, злоумышленникам довольно сложно завладеть одноразовым паролем, действующим в течение короткого времени. Если только они не завладели вашим мобильным телефоном. И совсем бесполезной система будет в том случае, если вы пользуетесь интернет-банкингом с мобильного телефона и сохраняете пароли в браузере. Тогда, украв у вас телефон, мошенник получит ваш счет в полное распоряжение.
Если ваш банк использует аутентификацию пользователя по СМС, постарайтесь придерживаться таких правил:
Электронная цифровая подпись (ЭЦП)
Этот механизм чаще используется при обслуживании банками компаний, но иногда его предлагают и индивидуальным клиентам. Плюс ЭЦП в том, что она позволяет однозначно идентифицировать пользователя. Недостаток же заключается в том, что ЭЦП также может быть уязвима для мошенников. Злоумышленники могут добраться до ключа от вашей цифровой подписи, заразив ваш компьютер вредоносным программным обеспечением. «Существуют «трояны», умеющие находить и красть на зараженном компьютере аутентификационные данные (идентификаторы, пароли и даже ключи ЭЦП) пользователей для доступа к различным сервисам (в том числе и серверам удаленного обслуживания клиентов банков)», - рассказывает Борис Косяков.
Если для подтверждения ваших финансовых операций через интернет вы используете ЭЦП, не забывайте пользоваться антивирусными программами и регулярно проверять ваш компьютер на предмет заражения компьютерными вирусами. Также эксперты не советуют оставлять ключ ЭЦП подключенным к компьютеру, если вы его не используете.
Внешние электронные устройства
Некоторые банки предлагают пользователям онлайн банкинга приобрести (или взять в аренду) специальное устройство - генератор одноразовых паролей. Генератор подключается к компьютеру через usb-порт и не требует специального программного обеспечения.
Другие учреждения предлагают использовать внешний электронный ключ, который генерируется при первом подключении к системе Интернет-банкинга, записывается на внешний носитель и затем используется при проведении операций в системе.
Такие системы, по сути, являются упрощенной версией ЭЦП. Среди недостатков их можно выделить то, что вы не сможете получить доступ к своему счету, не имея под рукой «ключа», а всегда носить его с собой может быть не очень удобно и безопасно.
Помимо перечисленного выше, банки зачастую применяют дополнительные меры для обеспечения безопасного пользования интернет-банкингом:
Многое зависит от пользователя
Эксперты отмечают, что чаще всего причиной мошеннического доступа к счету пользователя Интернет-банкинга является невнимательность и неосторожность самого пользователя. А потому, чтобы избежать возможных проблем, владельцу учетной записи следует беречь данные доступа к ней. Во-первых, эксперты советуют периодически изменять пароли для доступа в систему, желательно делать это раз в месяц и не использовать Интернет-банкинг на непроверенных компьютерах (например, в Интернет-кафе).
Помимо этого, следует соблюдать осторожность при работе в Интернете. «Мошенники широко используют приемы «социальной инженерии» для того, чтобы выманить аутентификационные данные (логин, пароль и т.д.) клиентов. Наиболее старый метод - «фишинговые» письма электронной почты, которые провоцируют получателей отправить свои аутентификационные данные злоумышленникам или предлагают пройти по ссылке на мошеннический сайт. С ростом популярности социальных сетей («Одноклассники», Twitter, Facebook) мошенники тут же начали использовать для «фишинга» сообщения социальных сетей. Также злоумышленники создают подложные копии сайтов для Интернет-банкинга с именами, очень похожими на настоящие», - поясняет Борис Косяков. И если вы введете на таком сайте данные своей учетной записи, то они тут же попадут в руки к мошенникам.
Если у вас возникли опасения, что мошенники получили доступ к вашему счету через Интернет-банкинг, эксперты советуют предпринять следующие действия:
Если ваши подозрения оправдались, и со счета были списаны несанкционированные вами платежи, следует составить заявление о произошедшем в банк и в правоохранительные органы. В этом случае не рекомендуется совершать никаких действий на вашем компьютере (устанавливать или удалять программное обеспечение и т.п.) до прибытия сотрудников правоохранительных органов или специалистов банка, поскольку любые изменения могут помешать расследованию инцидента.
