Москва, 08.12.2016

Виртуальный грабеж

Спецвыпуск / Интернет-банкинг Объемы краж в системах интернет-банкинга за последний год снизились, однако проблема виртуального взлома банковских счетов преступниками остается весьма острой
Рисунок: Валерий Эдельштайн
  1. Не зарыть и не украсть
    Редакционная статья
  2. Кусочек благосостояния заверните
    К распечатанному Фонду национального благосостояния выстроилась длинная очередь активных претендентов. При этом обоснованность ряда проектов вызывает большие вопросы, а выверенная процедура экспертизы проектов отсутствует
  1. Не зарыть и не украсть
    Редакционная статья
  2. Кусочек благосостояния заверните
    К распечатанному Фонду национального благосостояния выстроилась длинная очередь активных претендентов. При этом обоснованность ряда проектов вызывает большие вопросы, а выверенная процедура экспертизы проектов отсутствует

Современному грабителю не нужно надевать черную маску и наводить на жертву пистолет. Он может тихо сидеть у компьютера и похищать миллионы. Развитие услуг интернет-банкинга повлекло за собой и распространение различного рода виртуального мошенничества.

Сами банки по понятным причинам не очень охотно говорят об этой проблеме и нередко занижают ее значение. Однако, согласно данным независимой компании Group-IB, ежедневно в московских банках происходит до нескольких десятков хищений со стороны интернет-мошенников. Общие объемы мошенничества в российских системах интернет-банкинга по итогам прошлого года оцениваются той же компанией в 446 млн долларов. Правда, обнадеживает то, что в последнее время, несмотря на рост числа пользователей интернет-банкинга, размер украденных таким путем средств несколько снизился: в 2011 году в России из электронных кошельков граждан было похищено 490 млн долларов.

Снижение объемов виртуальных банковских краж объясняется несколькими факторами. С одной стороны, за последний год сами банки сделали немало, чтобы внедрить системы защиты от атак мошенников. Например, многие из них перешли на использование систем двухфакторной аутентификации, когда клиент интернет-банка помимо своего пароля вводит в систему дополнительный пароль, поступающий ему на мобильный телефон в SMS. С другой стороны, стоит признать, что в последнее время правоохранительные органы заметно активизировали борьбу с киберпреступностью. Так, за последний год был проведен ряд успешных операций по ликвидации действующих в этой сфере крупных преступных групп.

Тем не менее все эти меры, к сожалению, далеки от того, чтобы сделать проблему безопасности интернет-банкинга в нашей стране менее острой. В ответ на хитроумные механизмы защиты злоумышленники придумывают все новые трюки, чтобы через сеть добраться до банковских счетов граждан и компаний.

Вирусная атака

Самая распространенная схема виртуального банковского ограбления — использование преступниками вредоносного программного обеспечения, или вирусов. Проникнув в компьютер жертвы, так называемая троянская вирусная программа способна похитить пароли, ключи электронной подписи и прочую секретную информацию, которая дает доступ к банковскому счету их владельца.

Ужас банковских систем последнего времени — подмена электронного документа для пользователя. Человек на зараженном компьютере может видеть на экране привычную веб-страницу своего банковского интернет-сервиса. Но на самом деле это может быть подложная веб-страница. Вводя в нее, например, логин и пароль от своего виртуального счета, пользователь отсылает эти данные не в свой банк, а злоумышленникам.

Крайним в подобной ситуации часто оказывается клиент. Банки в договоре об интернет-услугах прописывают столь строгие требования, что клиентам крайне сложно их выполнить. Взять хотя бы условие использовать на компьютере только лицензионное программное обеспечение. Российская реальность такова, что редкий пользователь сегодня имеет на своем компьютере полностью лиц

Как банки могут снизить угрозу интернет-банкинга

Дмитрий Бирюков, заместитель начальника отдела информационной безопасности банковских систем компании «Астерос»:

Дмитрий Бирюков 089_expert_47.jpg
Дмитрий Бирюков

— Прежде всего стоит отметить, что само понятие «интернет-банкинг» в России весьма расплывчато. В российском законодательстве до сих пор не существует нормативного документа с соответствующей четкой формулировкой. Эта деятельность регулируется различными федеральными законами, а также нормативными актами Банка России. Но до тех пор, пока нет официального определения, каждая кредитная организация в договоре с клиентом на дистанционное банковское обслуживание вынуждена сама описывать, что она понимает под интернет-банкингом. От того, насколько полно и грамотно составлен этот документ, зависят последствия споров между банком и клиентом. Для примера: типовой договор Bank of America с клиентом занимает около 60 страниц и описывает практически все возможные случаи и распределение ответственности между сторонами. Особое внимание в подобном документе уделяется как раз вопросам обеспечения информационной безопасности.

Ну а если говорить о том, какими средствами сегодня можно обеспечивать защиту интернет-банкинга, то первое, что нужно сделать, — в дополнение к имеющейся технической и эксплуатационной документации на системы, обеспечивающие предоставление услуг интернет-банкинга для клиентов, разработать пакет организационно-распорядительных документов по обеспечению информационной безопасности. Затем необходимо продумать регламенты и инструкции для сотрудников самого банка. И наконец, разработать инструктивные документы для клиентов, пользующихся данной услугой. Эта информация должна быть понятно и юридически грамотно отражена в заключаемых с клиентами договорах на дистанционное банковское обслуживание.

С точки зрения программно-технических мер защиты обязательной на сегодня является система двухфакторной аутентификации при осуществлении интернет-банкинга. Помимо этого в банках сейчас действует довольно много систем, прямо или косвенно помогающих защите данных, — от самых простейших до сложных аналитических решений для обнаружения вторжения, систем мониторинга и противодействия мошенничеству.

Важной частью работы по обеспечению безопасности является информирование и обучение клиентов банка в области дистанционного банковского обслуживания (ДБО). Они должны уметь использовать имеющиеся у банка технологии ДБО и быть проинформированы о возможных рисках.     


Статья доступна только подписчикам журнала

Купив подписку на ONLINE-версию журнала, вы получите доступ ко всем архивным материалам журнала «Эксперт»
240 месяц
Подпишитесь, чтобы иметь полный доступ к материалам журнала «Эксперт»
Expert.ru Доступ к закрытым материалам на сайте Expert.ru
Журнал + Expert.ru Доступ к закрытым материалам на сайте Expert.ru + доставка печатной версии
Журнал «Эксперт» Доставка печатной версии журнала
Уже оформили подписку? Авторизируйтесь
* Без регистрации вы сможете читать статью только на том устройстве, и в том браузере,
с которого была произведена оплата. Чтобы иметь доступ с любого устройства создайте аккаунт