Информационная безопасность в системах интернет-банкинга — Реферат

Интернет-банкинг — это общее название технологий дистанционного банковского обслуживания (ДБО), при котором доступ к счетам и операциям (по ним) предоставляется в любое время и с любого компьютера, имеющего доступ в Интернет. Для выполнения операций используется браузер, то есть отсутствует необходимость установки клиентской части программного обеспечения системы. Интернет-банкинг организован по системе Клиент-Банк, с использованием технологии тонкого клиента.

Как правило, услуги Интернет-банкинга включают:

  1. Выписки по счетам
  2. Предоставление информация по банковским продуктам (депозиты, кредиты, ПИФ и т. д.)
  3. Заявки на открытие депозитов, получение кредитов, банковских карт
  4. Внутренние переводы на счета банка
  5. Переводы на счета в других банках
  6. Конвертация средств
  7. Оплата услуг

Важным свойством безопасности интернет-банкинга является подтверждение транзакций с помощью одноразовых паролей (чтобы перехват трафика не давал бы злоумышленнику возможности получить доступ над нашими финансами). Хотя теоретическая возможность подмены сервера всё же остаётся, однако осуществление подобного мошенничества довольно проблематично (особенно если использовать SSL соединение с сертификатом, подписанным третьей стороной).

Дистанционное банковское обслуживание (ДБО) — общий термин для технологий предоставления банковских услуг на основании распоряжений, передаваемых клиентом удаленным образом (то есть без его визита в банк), чаще всего с использованием компьютерных и телефонных сетей. Для описания технологий ДБО используются различные в ряде случаев пересекающиеся по значению термины: Клиент-Банк, Банк-Клиент, Интернет-Банк, Система ДБО, Электронный банк, Интернет-Банкинг, on-line banking, remote banking, direct banking, home banking, internet banking, PC banking, phone banking, mobile-banking, WAP-banking, SMS-banking, GSM-banking, TV-banking.

Технологии ДБО можно классифицировать по типам информационных систем (программно-аппаратных средств), используемых для осуществления банковских операций:

1. Системы «Клиент-Банк» (PC-banking, remote banking, direct banking, home banking)

Системы, доступ к которым осуществляется через персональный компьютер. Банк при этом предоставляет клиенту техническую и методическую поддержку при установке системы, начальное обучение персонала клиента, обновление программного обеспечения и сопровождение клиента в процессе дальнейшей работы. Системы «Клиент-Банк» обеспечивают полноценное расчётное и депозитарное обслуживание и ведение рублёвых и валютных счетов с удалённого рабочего места. Системы «Клиент-Банк» позволяют создавать и отправлять в банк платёжные документы любых типов, а также получать из банка выписки по счетам (информацию о движениях на счёте). В целях безопасности в системах «Клиент-Банк» используются различные системы шифрования. Использование систем «Клиент-Банк» для обслуживания юридических лиц до сих пор является одной из наиболее популярных технологий ДБО в России. Системы «Клиент-Банк» принципиально подразделяются на 2 типа (толстый клиент и тонкий клиент):

1.1. Банк-Клиент (толстый клиент)

Классический тип системы Банк-Клиент. На рабочей станции пользователя устанавливается отдельная программа-клиент. Программа-клиент хранит на компьютере все свои данные, как правило, это платёжные документы и выписки по счетам. Программа-клиент может соединяться с банком по различным каналам связи. Наиболее часто для соединения с банком используется Dial-Up соединение через модем или прямое соединение с Интернетом.

1.2. Интернет-Клиент (тонкий клиент) (On-line banking, Интернет-банкинг (Internet banking), WEB-banking)

Пользователь входит в систему через Интернет браузер. Система Интернет-Клиент размещается на сайте банка. Все данные пользователя (платёжные документы и выписки по счетам) хранятся на сайте банка. По технологии Интернет-Клиент строятся также системы для мобильных устройств — PDA, смартфоны (Мобильный банкинг (mobile-banking). На основе Интернет-Клиент могут предоставляться информационные сервисы с ограниченным набором функций (Выписка On-Line).

2. Системы «Телефон-Банк» (Телефонный банкинг (phone-banking), телебанкинг, Телефон-Клиент, SMS-banking)

Как правило, системы Телефон-Банк имеют ограниченный набор функций по сравнению с системами «Клиент-Банк»:

  1. информация об остатках на счетах;
  2. информация о суммах поступлений в пользу клиента;
  3. ввод заявок на предоставление факсимильной копии выписки по счёту;
  4. ввод заявок о проведении платежей, заказ наличности;
  5. ввод заявок на передачу факсимильной копии платежного поручения;
  6. ввод заявки на исполнение подготовленного по шаблону поручения на перевод средств;
  7. Передача информации от клиента в банк может производиться различными способами в зависимости от реализации системы:
  8. Общение клиента с оператором телефонного обслуживания (Call Center).
  9. С использованием кнопочного телефона (Touch Tone Telephone) и голосового меню (средств компьютеризованной телефонной связи (технологии IVR (Interactive Voice Response)), Speech to Text, Text to Speech).
  10. Посредством передачи SMS сообщений (SMS-banking)

3. Обслуживание с использованием банкоматов (ATM-banking) и устройств банковского самообслуживания

Технологии ДБО с использованием устройств банковского самообслуживания являются одними из наиболее популярных в мире и в России. Можно выделить несколько видов ДБО по типу используемых устройств:

  • ДБО с использованием банкоматов (ATM-banking) — основаны на программном обеспечении, установленном на банкоматах банка.
  • ДБО с использованием платежных терминалов;
  • ДБО с использованием информационных киосков.

Управление банковскими счетами через Интернет, или по-другому интернет-банкинг, является наиболее динамичным и представительным направлением финансовых интернет-решений, в силу наиболее широкого спектра финансовых (в данном случае банковских) услуг, представленных в системах интернет-банкинга. Подобные системы могут быть основой систем дистанционной работы на рынке ценных бумаг и удаленного страхования, т.к. они обеспечивают проведение расчетов и контроль над ними со стороны всех участников финансовых отношений.

Классический вариант системы интернет-банкинга включает в себя полный набор банковских услуг, предоставляемых клиентам – физическим лицам в офисах банка, естественно, за исключением операций с наличными деньгами.

На Западе использование банками Интернета для обслуживания клиентов явилось логическим развитием технологии home banking. Удаленный банковский сервис на дому начинался в 80-х гг. с телефонного банковского обслуживания. Затем появились услуги удаленного обслуживания с использованием персонального компьютера и прямого подключения к банковским серверам (PC-banking). А в 1995 году появились первые банки, которые предложили клиентам PC-banking на качественно новом уровне, в полной мере использующем коммуникационные и сервисные возможности Интернета, – internet banking.

При этом и телефонный и PC-банкинг получили достаточно широкое распространение благодаря высокой востребованности банковских услуг со стороны как корпоративных, так и частных клиентов. Таким образом, интернет-банкинг попал на благодатную, подготовленную почву. И, хотя на Западе среди услуг home banking для частных лиц самой массовой формой остается по-прежнему телефонное обслуживание, системы интернет-банкинга считаются наиболее перспективными. Это обусловлено тем, что сегодня именно интернет-технологии позволяют максимально эффективно использовать наиболее удобные для человека способы работы с информацией (текст, графика, звук, видео), обеспечивая при этом приемлемую мобильность и доступность услуг.

В России интернет-банкинг продвигается значительно сложнее. К сожалению, у нас нет богатых традиций массового использования банковских услуг, но есть печальный опыт банковских кризисов, от которых страдал в основном средний класс – те самые физические лица, которые во всем мире являются основными потребителями розничных банковских услуг. Конечно, корпоративные клиенты не могут не пользоваться услугами банков, но и они, наученные горьким опытом, стараются не держать остатки на счетах, а использовать бартер, и наличные расчеты и т.д. Именно этими внешними факторами во многом обусловлены проблемы развития интернет-банкинга в России. Однако и у нас в мае 1998 года появился первый банк – Автобанк, предложивший своим клиентам банковский интернет-сервис. Позже и другие российские банки, глядя на Автобанк, начали развивать это новое направление.

Сегодня с помощью систем интернет-банкинга, можно покупать и продавать безналичную валюту, оплачивать коммунальные услуги, платить за доступ в Интернет, оплачивать счета операторов сотовой и пейджинговой связей, проводить безналичные внутри- и межбанковские платежи, переводить средства по своим счетам, и, конечно, отслеживать все банковские операции по своим счетам за любой промежуток времени.

Использование систем интернет-банкинга дает ряд преимуществ: во-первых, существенно экономится время за счет исключения необходимости посещать банк лично, во-вторых клиент имеет возможность 24 часа в сутки контролировать собственные счета и, в соответствии с изменившейся ситуацией на финансовых рынках, мгновенно отреагировать на эти изменения (например, закрыв вклады в банке, купив или продав валюту, и т.п.). Системы интернет-банкинга незаменимы и для отслеживания операций с пластиковыми картами — любое списание средств с карточного счета оперативно отражается в выписках по счетам, подготавливаемых системами, что так же способствует повышению контроля со стороны клиента за своими операциями.

Возможность работать со счетами пластиковых карт позволяет пользоваться услугами интернет-магазинов как в России, так и за рубежом на абсолютно безопасном уровне – достаточно перевести с помощью системы интернет-банкинга требуемую сумму средств на карту, а затем с помощью этой карты оплатить какую-либо услугу или товар в интернет-магазине на веб-сайте последнего. При этом в системе будут доступны выписки по карт-счету, из которых можно определить какая сумма средств списана с карты, за что и т.п. Таким образом, больше, чем стоимость товара и ли услуги с карты клиента просто не спишется и клиент всегда в состоянии отследить подобные операции.

Затронув вопрос безопасности финансовых транзакций, и в частности безопасности транзакций в системах интернет-банкинга, можно с уверенностью сказать, что современные технологии программно-аппаратной защиты находятся на уровне, обеспечивающим 100% гарантию конфиденциальности операций и сохранности средств. Но самое главное, в сохранности средств заинтересованы прежде всего банки – поставщики услуг интернет-банкинга, отвечающие не только за сохранность финансов своих клиентов, но и за свои средства и репутацию.

Растущая популярность интернет-банкинга, не только на Западе, но и в России, лишний раз подтверждает, что на этот нетрадиционный вид банковских услуг появился устойчивый и платежеспособный спрос. [14]

На Западе банковский интернет-сервис, являясь одним из наиболее динамичных сегментов электронной коммерции, продолжает развиваться стремительными темпами вместе с ростом числа пользователей Интернета, доля которых в населении развитых западных стран уже составляет в среднем более 40%. При этом некоторые западноевропейские страны опережают по темпам освоения Интернета признанных лидеров из северной Америки: Норвегия – 48% населения, США – 45%, Швеция – 42%, Канада – 41%, Финляндия – 38%, Дания – 35%, Великобритания – 25% (по данным на конец 1999 года).

Одновременно с увеличением интернет-популяции растет и количество клиентов, осуществляющих банковские операции через Интернет, и их доля в общей массе индивидуальных клиентов банков. Так, согласно отчету известной рейтинговой и аналитической компании Fitch IBCA доля клиентов ряда крупнейших европейских банков, пользующихся интернет-банкингом, превышает 10%, или 500 тыс. человек (по данным на конец 1999 года): SE Banken (Швеция) – 380,000 клиентов (25% от общего числа клиентов – максимальная доля), MeritaNorbanken (Финляндия/Швеция) – 1,030,000 (15%), Deutsche Bank (Германия) – 650,000 (8%), Barclays (Великобритания) – 540,000 (4%), BSCH (Испания) – 500,000 (2%).

Даже на Западе интернет-банкинг не превратился в самостоятельный бизнес, хотя идея появления виртуальных банков в свое время считалась очень перспективной. В России же набор услуг, которые банки предлагают физическим лицам меньше, соответственно меньше и количество операций, которые можно осуществить через Интернет. К тому же в отличие от западных систем, где общение с клиентом через Интернет носит доверительный характер, российские системы интернет-банкинга строятся на позиции недоверия к клиенту и жесткого контроля за его действиями. Это, без сомнения, усложняет предоставление услуг и отражается на их стоимости. Поэтому в настоящее время интернет-банкинг не может рассматриваться как бизнес, приносящий прибыль, а является скорее элементом маркетинга.

Если говорить о физических лицах, то рынок интернет-банкинга в России пока трудно назвать большим. Не считая «просвещенной части населения» — банковских служащих, для которых эта услуга не только удобна, но и понятна, — этот рынок оценивается в несколько десятков тысяч человек. Что же касается юридических лиц, то, как правило, они получают услуги интернет-банкинга в пакете с другими банковскими услугами, и здесь цифры уже на порядок выше. Несмотря на то, что многочисленные проекты развития электронных услуг в России пока так и не увенчались ощутимым успехом, я оцениваю перспективы интернет-банкинга достаточно оптимистично. Все больше и больше людей получают необходимые финансово-технические знания, позволяющие пользоваться современными «продвинутыми» банковскими услугами. Растет и число пользователей пластиковых карт, для которых операции с безналичными деньгами повседневны и привычны. Наконец, осуществление целого ряда операций через интернет-банкинг становится более выгодным для клиента с точки зрения денежных затрат. Эти и другие факторы не могут не привести к возрастанию количества пользователей интернет-банкинга, тем более что, по официальным данным на конец 2007 года, число российских пользователей Интернета уже превысило 6 млн. человек.

Пройден важный рубеж: термин «интернет-банкинг» перестал быть экзотикой. Как новый способ доставки банковских услуг, интернет-банкинг обладает огромным потенциалом. Активное развитие этого направления сдерживается вопросами технической реализации, в частности остается проблема безопасности платежей через Интернет.

Несмотря на то, что многие банки в России уже предлагают своим клиентам различные системы доступа к счету и управления счетом через Интернет, пока еще рано говорить о существовании действительно удобной услуги. К сожалению, на рынке есть много «квазисистем», которые позволяют клиентам этих банков совершать различные операции со своими счетами через Интернет, но при очередном посещении клиентом банка ему предлагают подписать огромное количество документов — по аналогии с выполнением операций в отделении банка. Или клиенту предлагается использовать настолько сложный интерфейс, что перед совершением даже простейших операций человек вынужден обращаться к инструкции. Существующие на рынке системы предлагают сильно различающийся перечень услуг — от простой проверки состояния счета до управления портфелем ценных бумаг. Можно предположить, что в ближайшем будущем все большее количество банков осознает важность наличия удобного, то есть интуитивно-понятного интерфейса, совершенствование которого сделает соответствующие системы еще более доступными для широкого круга пользователей. Также можно предположить, что со временем значительно расширится список операций, которые клиент может выполнять через Интернет.

Можно отметить, что в последнее время в России наблюдается устойчивый рост объема предоставленных банками услуг через Интернет, даже несмотря на то, что в основной массе эти услуги носят информационный характер. Существующая на сегодняшний день нормативная база, к сожалению, не способствует более динамичному развитию интернет-банкинга. Качество предоставляемых российскими банками услуг в Интернете улучшается, хотя уровень его развития пока еще несравним с аналогичными сервисами, предоставляемыми зарубежными финансовыми институтами. В числе прочих причин это связано и с относительно слабым пока еще развитием Интернет-технологий. Принятый же Закон об электронной цифровой подписи сам по себе достаточно противоречив и также не способствует активному развитию интернет-технологий. Вместе с тем есть и положительные тенденции: принята федеральная целевая программа «Электронная Россия (2002-2010)», основным направлением которой является совершенствование законодательства и системы государственного регулирования в сфере информационных и коммуникационных технологий. Безусловно, это окажет положительное влияние на перспективы развития интернет-банкинга в России.

Недавно на сайте www.internetfinance.ru был проведен опрос, в ходе которого задавался один единственный вопрос: «По каким причинам Вы (или ваша компания) не пользуетесь интернет-банкингом? (укажите наиболее важную причину)». Результаты опроса представлены здесь. Необходимо оговориться, уточнив, что данный опрос не претендует на репрезентативность в отношении всех клиентов банков или пользователей Интернета. Скорее, он характеризует отношение тех, кто уже интересуется услугами интернет-банкинга. Именно такова аудитория веб-сайта, на котором проводился опрос.

Каково же было изумление авторов опроса, увидевших его итоги. Оказалось, что главные причины, мешающие клиентам воспользоваться банковским интернет-сервисом, и их первоочередность, отмеченные отечественными пользователями, точно совпадают с причинами, на которые ссылались западные потребители еще в 1997 году (WWW User Survey by GVU). Самое важное основание – услуги интернет-банкинга не предлагаются банками, обслуживающие данных клиентов: западный опрос – 44,7%, наш – 34%. Вторая по важности причина – обеспокоенность безопасностью финансовых операций через Интернет: соответственно 39% и 21%.
Наряду с другими проблемами развития рынка интернет-банкинга эти две причины – недостаточное предложение услуг и реальные или излишне раздутые проблемы безопасности – безусловно являются ключевыми для сегодняшнего этапа развития интернет-банкинга в России. Нам остается только надеяться на то, что, как и три года назад на Западе, сегодня отечественные банки поймут, что перспективы развития рынка онлайновых услуг находятся целиком в их руках и зависят от их инициативы (или от инициативы их конкурентов).

Если говорить о перспективах, то нельзя не отметить прогнозы западных аналитиков. Так в упоминавшемся исследовании Cap Gemini/Ernst & Young говорится, что к 2003 году доля банковских операций, совершающихся через Интернет, в Европе может возрасти до 25%. Аналогичный прогноз для США гораздо скромнее – всего лишь 12%. В России же этот показатель к тому времени, скорее всего, приблизится к сегодняшнему уровню развития западных рынков – 3-4% от финансовых транзакций будут приходиться на операции, совершаемые через Интернет (по оценке «Интернет Маркетинг»). Однако это только среднестатистический показатель. Наряду с этим будет достаточно много банков, как общенациональных, так и региональных, уровень «интернетизации» операций которых будет составлять 30% и более.
В заключении хотелось бы отметить современные тенденции развития интернет-банкинга в России. Во-первых, возросла активность и усилилась роль разработчиков специализированного оборудования и программного обеспечения для нужд интернет-банкинга, как отечественных компаний, специализирующихся на банковской автоматизации, так и западных разработчиков, выходящих на наш рынок. Например, российская компания «БИФИТ» разработала систему «iBank», которая сегодня поставлена и эксплуатируется в 23 российских банках. При этом количество пользователей новой услуги в каждом из этих банков составляет от 30 до 250 клиентов – юридических лиц.

Во-вторых, развитие интернет-банкинга происходит либо в комплексе, либо параллельно с развитием теми же банками средств организации электронной коммерции – платежных и торговых интернет-систем. Примеры такой деятельности: совместный проект Автобанка и компании «АйТи» — платежная интернет-система «ЭлИТ-Карт»; платежная система CyberPlat; проект банка «БИН» и компании «АйТи» – система «КОРТИС», проект банка «МЕНАТЕП СПб». К этому следует добавить и то, что параллельно с услугами интернет-банкинга в банках и близких к ним компаниях, которые часто входят в одну финансовую группу, активно развиваются и другие интернет-услуги: интернет-трейдинг и интерет-страхование.

В-третьих, развитие в банках одновременно с интернет-банкингом и других направлений удаленного банковского сервиса: телефонного банкинга, PC-банкинга и новинки этого года – WAP-банкинга (совместный проект Гута-банка и МТС). При этом различные формы удаленного обслуживания никоим образом не конкурируют между собой, а во многом дополняют друг друга, предоставляя клиентам широкий выбор каналов доступа к собственным банковским счетам.

Таким образом, сегодня можно констатировать, что российский рынок интернет-банкинга постепенно увеличивает темпы своего развития, в том числе используя возможности интеграции и развития других дополняющих услуг. В целом российские потребители уже сейчас имеют возможность сравнивать, выбирать и пользоваться услугами интернет-банкинга, а также реальные перспективы получить в ближайшем будущем рост как количества банковских интернет-услуг, так и их качества.

Интернет-банкинг — система получения банковских услуг через выход в Интернет. Клиент может наблюдать за ходом торгов и участвовать в них, следить за оформлением совершенных сделок и своей позицией, ведением архивов биржевой информации. Такая система, в отличие от программы «Клиент-банк», не привязана к конкретному компьютеру с установленным ПО. Клиент может выходить в Интернет с любого компьютера, для этого ему необходимо только наличие электронного ключа Обычно это дискета, которая путешествует вместе с клиентом. Таким образом, он может получать банковские услуги в любом месте земного шара и на любом компьютере.

Частные лица должны хорошо знать современные технологии и доверять им, уметь считать собственную выгоду, быть динамичными, иметь свободные средства и хотеть эффективно их использовать. WАР-банкинг АР-банкинг, мобильный банкинг (mobilebanking, m-bankmg) — получение банковских услуг непосредственно с помощью мобильного телефона или ноутбука при использовании технологии беспроводного доступа (WirelessApplicationProtocol). Такая технология позволяет передавать сокращенную информацию некоторых сайтов, поддерживающих WAP (например, Yahoo и др.), на мобильные телефоны и совершать некоторые действия. Она позволяет владельцам определенных модификаций мобильных телефонов выходить в Интернет непосредственно с телефона без дополнительного оборудования, обращаться к приложениям благодаря встроенному в телефон. WAP использует двоичный формат, что позволяет эффективно сжимать пакеты данных, протокол оптимизирован под длительный период ожидания и низкую пропускную способность каналов. Преимуществами такой системы является еще большая свобода в доступе, недостатком является неудобство получения информации нанебольшом дисплее. Таким образом, на рынке России представлены все, наиболее востребованные услуги в области ДБО. Услуги есть, есть банки, есть потребители этих услуг.От куда же риски?

Интернет -мошенничество Основные причины резкого возрастания числа интернет-мошенничеств можно разделить на две группы: . субъективные, связанные с недостаточной осведомленностью участников информационных отношений в области защиты своих интересов, . объективные причины, связанные с применяемыми программно-техническими средствами. Несмотря на многочисленные предупреждения и в договорах, и на сайтах банков, а также в СМИ, клиенты недостаточно глубоко и точно понимают, где и как у них могут украсть деньги и что делать, чтобы этого не произошло. Пользователи уделяют слишком мало внимания обеспечению собственной безопасности в Интернете. Например, для многих из них до сих пор не является аксиомой, что нужно применять и своевременно обновлять антивирусные средства. Кроме того, среди клиентов бытует мнение, что использование нелицензионного программного обеспечения напрямую не вредит безопасности, а нарушает лишь авторские права. Однако «пиратские» операционные системы не загружают регулярные обновления безопасности, в то время как антивирусные средства рассчитаны на то, что средства безопасности Microsoft будут обновлены и выполнят свою задачу. В итоге из-за неправильного их взаимодействия в системах защиты остаются бреши. Следующая причина — использование неадекватных уровней безопасности в системах ДБО(дистанционного банковского обслуживания). Уровень безопасности должен зависеть от сумм и типов операций: операции между своими счетами, предопределенные операции с ограниченными суммами требуют совершенно иного уровня безопасности, чем операции в пользу третьих лиц без ограничения суммы. При упрощенной системе безопасности можно разрешать только все операции по собственным счетам. Если в системе нет запрета на платежи в пользу третьих лиц, необходима криптография на компьютере пользователя и разовые пароли. Это позволяет хорошо защитить и банк, и клиента. Встречаются и чисто технологические ошибки в разработке систем ДБО. Их должны создавать профессионалы в области безопасности, иначе в системах могут возникать алгоритмические «дыры». Например, в своем компьютере клиент вставляет USB-токен и начинает работу. В момент подписания платежного документа троян подкладывает фальшивое платежное поручение, которое подписывается правильными подписями и отправляется в банк. Это технологическая уязвимость: в некоторых системах существует незащищенный канал между микропроцессором шифрования и процессором компьютера, который недостаточно контролируется. Такая уязвимость закрывается профессиональными криптографами, так как простое применение сертифицированных криптографических библиотек эту проблему не поможет решить, потому что проблема в неверных алгоритмах применения библиотек. Еще одна причина — использование в системах ДБО несертифицированных средств криптографической защиты информации, что создает условия правовой незащищенности участников информационных отношений. Случаи взлома криптографии очень редки: зачем взламывать шифр, если можно украсть ключи? Деньги пропадают с использованием собственных ключей пользователя. Если клиент будет пытаться доказать свои права в суде, то во внимание будут приниматься только сертифицированные средства. Так же одной из важных угроз систем ДБО сегодня является недостаточно проработанная нормативно-правовая база отношений клиента с банком. Юридически грамотный злоумышленник,знающий технологию применения электронной цифровой подписи,может найти уязвимости в договорах и регламента, а затем используя систему ДБО провести поддельную транзакцию, отказаться от нее и подать исковое заявление в суд. Задача банка — доказать в суде обратное,т.е. доказать, что банк действовал правильно. В большинстве случаев кредитная организация не несет юридической ответственности перед своими клиентами в рамках заключенного между ними договора. Компрометация данных, которые необходимы злоумышленникам, зачастую происходит именно по вине клиентов. Тем не менее даже в таких случаях большинство кредитных организаций, в случае обращения клиента стараются помочь ему вернуть утраченные средства, и это часто удается сделать. С другой стороны, возможны ситуации, когда кредитная организация может понести юридическую ответственность за убытки своих клиентов. Речь идет о случаях, когда клиент не виноват в произошедшем, в том числе на основании решения суда, включая случаи, когда к списанию средств клиента причастны сотрудники кредитной организации. Несмотря на то что большинство банков в рамках договора с клиентами формально не несет ответственности за утрату клиентами средств при использовании пин-кода пластиковой карты, суды в большинстве случаев встают на сторону клиентов. Такие риски могут быть застрахованы в рамках полиса страхования рисков эмитентов банковских карт. Любой банк обязан выполнять требования по обеспечению защиты информации следующих внешних по отношению к финансовой организации нормативно-правовых актов: Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; Федеральный закон РФ от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации доходов, полученных преступным путем»; Стандарт международнойплатежной системы VISA PA DSS (в контексте требований стандарта PCI DSS для программного обеспечения процессингового центра); Рекомендации ЦБ РФ, направленные циркулярным письмом Московского ГТУ Банка России № 33-00-18/3183 от 25.01.2010 г. «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга». Виды и методики осуществления мошенничества в сфере интернет-банкинга Мошенничество с картами и мошенничество с ДБО, соединенные в один технологический «узел», дают синергетический эффект для мошенничеств. Потери от таких действий в десятки раз превосходят отдельно взятые воровство из интернет-банкинга и кражи денег из банкоматов. Интернет-банкинг позволяет воровать деньги с банковских счетов, а банкоматные сети дают возможность украденные деньги обналичивать. Как пластиковые карты вовлекаются в интернет-мошенничество? В первую очередь через расчеты за услуги через Интернет. Далеко не все онлайн-магазины предлагают защищенные сервисы для использования платежных карт. Используются порой совершенно незащищенные технологии. Как только клиент ввел на небезопасный сайт данные своей карты, он может быть уверен, что вскоре получит уведомление о совершенной с его карты покупке в каком-нибудь «левом» интернет-магазине. С другой стороны, пластиковые карты служат для аутентификации клиента в системах дистанционного банковского обслуживания, в том числе даже без наличия электронно-цифровой подписи. Так для мошенников открывается путь в системы ДБО. И еще: карты стали соединять с электронными деньгами и счетами в сотовой связи.

Самый распространенный вид мошенничеств через ДБО — это хищение денежных средств со счетов клиентов с использованием краденых «ключевых» данных клиентов Следующий вид правонарушения — кража персональных данных для изготовления персональной карты через специальные программы, скимминговые устройства, данные процессинговых центров. Далеко не все онлайн-магазины предлагают защищенные сервисы для использования платежных карт Теперь мошенники стремятся украсть персональные данные или данные пластиковых карт не только для непосредственного их использования, но и для управления банковскими счетами. Самое простое — когда секретные ключи лежат на носителе, который можно потерять. Либо воры могут украсть ключи с использованием троянов или просто могут получить мошеннический удаленный доступ к компьютеру клиента и использовать честно защищенные данные. Прошли времена хакеров-одиночек. Сейчас чаще всего действует организованная группа или даже несколько различных функциональных групп или группировок. Нынешнее мошенничество — это высокотехнологичная операция с очень специфическими функциями, где на каждом этапе нужна очень профессиональная подготовка. Универсалы-одиночки здесь не справятся. Работа таких групп сильно распределена по четко выраженным этапам, а также территориально. Большинство мошеннических действий, связанных с интернет-банкингом, происходят в два этапа. Сначала преступник должен получить в свои руки информацию об учетной записи клиента, имя пользователя и пароль. После этого он, используя украденные данные, переводит деньги своей жертвы на другой счет или обналичивает их. Для первого этапа — получение информации — злоумышленники чаще всего используют две популярных схемы мошенничества: «Фишинг» схема: происходит от двух английских слов «пароль» и «рыбалка». Мошенники рассылают письма наэлектронные почтовые ящики, якобы, отлица банка, спросьбой предоставить личную информацию, такую, как номер социального страхования, имя пользователя в системе «Онлайн- банкинг» и пароль банковской карты.

«Троянский конь» схема: в рассылаемых мошенниками электронных письмах содержатся вредоносные программы, которые запускаются в компьютере потребителя без его ведома. Трояны часто входят в ссылки или вложения от неизвестных отправителей электронной почты. После установки такой программы автоматически определяется, когда человек-жертва мошенничества- пользуется сайтами банковских сервисов, при этом копируется имя пользователя и пароль, после чего троян передает эту информацию правонарушителю. Люди, использующие общедоступные компьютеры, в таких местах, как интернет-кафе, часто подвержены атаке подобных вирусов и других вредоносных или шпионских программ. Такие пользователи в большей степени рискуют стать жертвами кражи идентификационной информации. Когда проведен подготовительный этап, определены цели, сроки, задачи, пути вывода наличных, средства прикрытия и блокировки сервисов ДБО, можно начинать собственно операцию: преступники получают доступ непосредственно к счету или карте клиента и осуществляют несанкционированный перевод на заранее подготовленный промежуточный счет. Затем нужна хорошая DDoS-атака, которая обрушит сервис, чтобы клиент не смог своевременно получить информацию о движении средств на его счете. DDoS-атака должна закончиться в тот момент, когда деньги будут обналичены. Значит, атаку на систему ДБО можно представить как выполнение следующих этапов: создание специального «инструментария» — программ-троянов для сбора данных; создание специального «инструментария» — программ-троянов для организации DDoS-атак; распространение троянов и создание БОТ-сетей; создание центра управления (координации) «операцией»; проведение «операции»; «зачистка» следов проведения «операции» — проведение DDoS-атак на системы ДБО. Технические приемы получения данных пластиковых карт: использование программ-«шпионов» в автоматизированных системах потенциальных жертв; использование программ-«шпионов» в банкоматах; использование накладок — «скиммеров» на банкоматы; воровство пластиковых карт и данных с пластиковых карт; изготовление пластиковых карт по подложным документам; изготовление пластиковых карт, принадлежащих «третьим» лицам; воровство персональных данных реальных граждан для использования в фиктивных «зарплатных» проектах. Этапы операции по обналичиванию денежных средств: создание специального «инструментария» — программ-троянов или технических средств (скиммеров) для банкоматов; подготовка «пула» настоящих дебетовых карт, выпущенных на «третьих» лиц, либо подготовка «белого пластика» на основе краденых данных; получение этих пластиковых карт заинтересованными лицами; проведение «операции»; «зачистка» следов «операции» — DDoS-атака на системы ДБО. Непосредственно обналичивание реализуется переводом со счета юридического лица на множество счетов пластиковых карт физических лиц с последующим снятием наличных в банкоматах. Как правило, происходит снятие небольших сумм в разных банкоматах. Это самое слабое звено: непосредственных исполнителей обналички можно найти В «помощь» мошенникам появились «зарплатные карточные проекты» фиктивных компаний, основной смысл существования которых — массовое легальное «распыление» крупных сумм и обналичивание. Мошенники собирают персональные данные, пишут заявление в банк и получают определенное количество дебетовых карт, на которые можно регулярно и на законных основаниях переводить деньги, а затем их обналичивать. Случай мошенничества и кражи денег в интернет-банкинге: Попытки фишинга были замечены в интернет-банке Сбербанка. Один из таких случаев очень подробно описала пострадавшая клиентка крупнейшего банка России в одной из соц. Сетей. Так, 20 октября 2012 года девушка попыталась воспользоваться услугой «Сбербанк Онлайн». Но во время выполнения данной операции с ее карты Visa была снята крупная сумма в размере 30 тысяч рублей, их за четыре приема перевели на незнакомый ей QIWI-кошелек. Когда девушке удалось подключиться к системе и зайти на сайт Сбербанка, то она увидела предупреждение о проведении технических работ. При этом там было отмечено, что владельцев счета или карты может получать смс-коды, однако их следует проигнорировать или отменить, так как они неверные и вызваны сбоями в работе интернет-банка. Практически сразу же ей перезвонил якобы сотрудник Сбербанка и подтвердил только что прочитанную информацию на официальном сайте. Девушка в точности следовала полученным рекомендациям, а затем ей на мобильный телефон поступило смс-сообщение о переводе 4-мя операциями денег с карты на кошелек виртуальной платежной системы. Представители Сбербанка не подтвердили кражу средств таким путем со счета ни одного клиента. По словам независимых экспертов, в случае с клиенткой «Сбербанк Онлайн» мошенники использовали метод так называемой социальной инженерии. Он стал очень популярным еще летом 2010-го года и по сей день не теряет своей актуальности среди наиболее эффективных способов мошенничества в интернет-банкинге.

Источники:

  1. https://www.bibliofond.ru/view.aspx?id=697438
  2. https://works.doklad.ru/view/_EYHeIGuaEs/all.html
  3. Висящев А. Вытеснит ли Интернет – банкинг филиальные сети?//Банковское дело в Москве. №8. 2006
  4. Волчик А. Интернет- банкинг: тотальность и мгновенность//Банковское дело в Москве. №8. 2006
  5. Гуманков К. Виртуальный банк – у кого лучше?//Финанс. №2. 2007
  6. Дъяченко О. Электронные платежные системы в авангарде рынка//Банковское обозрение. №8. август 2006
  7. Китник Ю. Россия уже вступила в эпоху электронного банкинга //Банковское дело в Москве. №8. 2006
  8. Вахитов Я. Что мешает развитию Интернет-банкинга. //Финансовые известия. 23.06.2004.
  9. Национальное агентство финансовых исследований. Пластиковые карты в России. ru