Безопасный интернет банкинг. Безопасность при использовании банковских карт

Сегодня около 80% крупных и средних банков предлагают своим клиентам сервис онлайн-банкинга, и те охотно им пользуются. Однако крупные сбережения становятся желанной и, оказывается, не самой трудной добычей для хакеров и других мошенников.

К примеру, недавно в Европе была поймана группа преступников: с помощью фальшивых кредитных карт они обналичивали отправленные на офшорные счета деньги. Из того же разряда история о русских хакерах в США, за несколько лет похитивших со счетов состоятельных американцев более 1,5 млн долларов. Преступление раскрыли, только когда злоумышленники задумали покуситься на 2,7 млн долларов, принадлежащих одному известному отельеру.

Проблема не обошла стороной даже банковскую «столицу» мира Швейцарию. Многие помнят историю о том, как сын богатого швейцарца добрался до счета своего отца. Банк, сохраняя бдительность, запросил у владельца подтверждение транзакции, но слишком поздно: деньги уже были переведены. И самое печальное в том, что долгие расследования и разбирательства привели к возврату только 70% снятой суммы, рассказывает управляющий директор Optima Infosecurity Неманья Никитович.

В конце октября 2012 года появились новые угрозы от хакера под говорящим псевдонимом vorVzakone. Он заявил о своем плане «Блицкриг», суть которого сводилась к атаке банковской системы США. Примечательно, что его усердная работа уже обогатила героя на 5 млн долларов за счет клиентов тех же американских банков. В целом, по данным ФБР, к концу октября бюро расследовало около 230 случаев электронного мошенничества против американских банков: речь идет о попытке хищения свыше 255 млн долларов и фактическом убытке примерно на 85 млн долларов. А как раз сейчас в США идет суд над русскими мошенниками, обвиняемыми в махинациях с поддельными счетами и кредитками. Предполагается, что их целью были исключительно богатые люди.

Догоняя Запад

Практика показывает, что европейские и американские банки пока не способны обеспечить полноценную защиту счета клиента. Возможно, вопреки сво­ему желанию, но они вынуждены регулярно заявлять о фактах мошенничества и о борьбе с ними – такие правила диктуют закон и регуляторы. «Заметьте, мы никогда не слышим о последствиях, – рассказывает Ашот Оганесян, chief technology officer компании DeviceLock. – И это потому, что на деле совершенно неважно, украли деньги или нет. Клиент не чувствует проблемы: все его средства застрахованы и, значит, будут ему возвращены». Поэтому они могут сохранять спокойствие: сомнений в компенсации не возникает.

Судя по всему, даже такие условия не служат гарантией полного возврата денег, и банки обязаны информировать клиента обо всех рисках онлайн-банкинга заранее. «Конечная ответственность лежит на организации, внедрившей сервис, – рассказывает Ричард ван Оеффел, владелец нидерландской компании VOC Consultancy. – Попытка обвинить клиента в том, что он неверно пользовался Интернетом или компьютером, глубоко порочна: клиенту может быть 80 лет, или у него плохое зрение, или что-нибудь еще». По­этому банк должен направить свои действия не только на усиление мер защиты онлайн-банкинга, но и на повышение степени информированности клиентов.

России в этой сфере гордиться нечем: хищение денег с карты остается проблемой ее владельца. И если вдруг такое происходит, жертвам мошенников приходится доказывать свою правоту в суде. Ричард ван Оеффел отмечает, что случаи невозврата украденных средств у нас до сих пор не редкость, однако российские банки уже перенимают прогрессивный европейский опыт. С нового года в силу вступает закон о национальной платежной системе, который полностью перекладывает ответственность за сохранность сбережений на банк. Эксперты полагают: нововведение изменит соотношение рисков в системе добровольного банковского обслуживания. «Для пользователей закон гарантирует большую сохранность их средств, – поясняет Неманья Никитович. – Для банков, напротив, возникают новые риски и увеличиваются расходы на информационную безопасность». К таким перспективам банки уже готовятся. Но чего ждать состоятельным клиентам?

По ту сторону безопасности

Актуальную для себя проблему информационной безо­пасности банки не любят афишировать, хотя больше остальных знают, чего стоит бояться клиентам. «Наиболее массовый вид мошенничества в банковской сфере – с кредитными картами, – утверждает Неманья Никитович. – Ни для кого не секрет, что данные кредиток можно получить не только из системы онлайн-банкинга, но и, например, на черном рынке». Вторые по популярности – инциденты, связанные с кражей конфиденциальной информации.

Магнитные хакеры, трояны и подобные программы регулярно атакуют инвестиционно-банковскую систему. Ашот Оганесян утверждает, что в последнее время такие взломы наиболее характерны для российского рынка. С этим не спорит Ричард ван Оеффел и добавляет, что если раньше был распространен банальный фишинг, то сейчас в моду вошли узконаправленные атаки типа Man in the Middle, Man in the Browser и Man in the Mobile. У них один принцип: мошенник внедряется в канал связи между банком и клиентом и выдает себя за пользователя, копируя его личные данные. Именно поэтому сейчас в мире все большее распространение получают технологии противодействия этим атакам, основанные на аутентификации пользователя.

Своевременная забота о системах информационной безопасности входит в компетенцию банка. «Наиболее распространены сегодня системы скретч-карт, генерации пароля при помощи SMS и хранения кода на бумажных носителях, – объясняет Неманья Никитович. – Однако ни одна из них не совершенна: скретч-карта снабжена заранее неизменяемым списком паролей и неудобна, потому что ее легко потерять. Такие же проблемы у бумажных носителей. Генерация пароля при помощи SMS , в свою очередь, создает риск его перехвата и заражения телефона вредоносным ПО». Получается, что современные технологии защиты не создают злоумышленникам серьезных проблем.

Эксперты советуют внедрять инновации, которые если и не обеспечат полной сохранности денег, то заставят мошенников помучиться. В России такие решения пока только формируются. «На Западе рынок осваивает новую технологию – карты с дисплеем, – рассказывает Никитович. – Обычная пластиковая карта, генерирующая уникальный одноразовый пароль (one time password, ОТР) для работы в системе интернет-банкинга». Ашот Оганесян также поддерживает идею строгой мультифакторной аутентификации, а Ричард ван Оеффел напоминает о технологии, подтверждающей (или не подтверждающей) географическое присутствие клиента в месте совершения транзакции. «Они работают против списания денег в Майами, в то время как клиент мирно спит в Га­аге», – поясняет он.

Сбереги себя сам

Действительно, владельцу крупного капитала в России в вопросах сохранности личных финансовых активов рискованно полностью доверяться банкам. Нехорошо забывать об элементарном хеджировании рисков и распределении средств на несколько счетов, советует Никитович. Не будет лишним хотя бы немного разбираться в системах информационной безопасности и выбирать банки, не экономящие на развитии и использовании самых передовых разработок. Чем совершеннее будет система онлайн-банкинга, тем удобнее она окажется для конечного пользователя.

Даже с приходом новых правил на российский рынок проявить бдительность все-таки придется. Спокойный сон и избавление от лишних проблем – это, конечно, хорошо. И банк сделает все возможное, чтобы не нарушить гармонии вашей жизни. Но будет не лишним и подстраховаться. Ведь никому нельзя доверять как себе, верно?

Основные угрозы для онлайн-операций

Несмотря на защищенность систем интернет-банкингов и онлайн-магазинов - используются такие методы защиты, как двойная аутентификация, системы одноразовых динамических SMS-паролей, дополнительные список одноразовых паролей или аппаратные ключи, защищенное протоколом SSL-соединение и так далее - современные методы атак позволяют обходить даже самые надежные защитные механизмы.

На сегодня у злоумышленников можно выделить три наиболее распространенных подхода для атаки на финансовые данные интернет-пользователей:

Заражение компьютера жертвы троянским программами (кейлоггеры, скринлоггеры и т.д.), использующими для перехвата вводимых данных;
- использование методов социальной инженерии - фишинговые атаки через электронную почту, веб-сайты, социальные сети и т.д;
- технологические атаки (сниффинг, подмена DNS/Proxy-серверов, подмена сертификатов и т.д.).

Как защитить интернет-банкинг?

Пользователь не должен надеяться только на банк, а использовать защитные программы для усиления безопасности электронных платежей в Интернете.

Современные решения Internet Security помимо функций антивируса предлагают инструменты безопасных платежей (изолированные виртуальные среды для онлайн-операций), а также сканер уязвимостей, веб-защиту с проверкой ссылок, блокировку вредоносных скриптов и всплывающих окон, защиту данных от перехвата (антикейлоггеры), виртуальную клавиатуру.

Среди комплексных решений с отдельной функцией защиты онлайн-платежей можно выделить Kaspersky Internet Security и компонент "Безопасные платежи", avast! Internet Security с avast! SafeZone и Bitdefender Internet Security с Bitdefender Safepay. Данные продукты позволяют не беспокоиться о дополнительной защите.

Если у вас другой антивирус, можно присмотреться к средствам дополнительной защиты. Среди них: Bitdefender Safepay (изолированный веб-браузер), Trusteer Rapport и HitmanPro.Alert для защиты браузера от атак, плагины и приложения Netcraft Extension , McAfee SiteAdvisor , Adguard для защиты от фишинга.

Не стоит забывать о фаерволе и VPN-клиенте, если приходится выполнять финансовые операции при подключении к открытым беспроводным Wi-Fi сетям в общественных местах. Например, CyberGhost VPN использует шифрование трафика AES 256-bit, что исключает использование данных злоумышленником, даже в случае перехвата.

А какие методы защиты онлайн-платежей используете вы? Поделитесь своим опытом в комментариях.

Нашли опечатку? Выделите и нажмите Ctrl + Enter

С развитием инновационных технологий возможности всемирной сети становятся шире и сегодня затрагивают практически все сферы жизни человека. Так, в последнее время довольно активно многими используется интернет-банкинг, представляющий собой программу определенного банка, посредством которой пользователь может осуществлять финансовые операции с любого компьютера, подключенного к интернету. Однако такие услуги доступны только клиентам банков. Пользуясь подобными программами, многие обеспокоены , ведь встречаются ситуации, когда деньги пропадают с карты либо не поступают на нужный счет. Чтобы избежать действий мошенников и не бояться несанкционированного доступа к своим счетам, необходимо ознакомиться с основными правилами пользования интернет-банкингом.

Какие существуют средства защиты счетов от мошенников?

Главное правило безопасности интернет-банкинга предусматривает использование программ только известных и проверенных банков, которые постоянно совершенствуют средства защиты счетов своих клиентов. Сегодня практически каждый банк применяет SSL-шифрование информации, которой обменивается компьютер пользователя и банковская система. Этот современный метод позволяет избежать перехвата и изменения данных на пути от ПК клиента к банку. Однако следует помнить, что при совершении финансовых операций в онлайн-системе ни в коем случае нельзя реагировать на подозрительные сообщения, якобы пришедшие из банка, и переходить по незнакомым ссылкам на другие страницы.

С целью повышения уровня безопасности, клиентам предлагается получить одноразовые пароли, выдаваемые банкоматом.

В таком случае при входе в систему интернет-банкинга, помимо постоянных логина и пароля, понадобится ввести еще и одноразовый шифр, который подобрать злоумышленникам практически невозможно. Преимуществом такого варианта защиты является то, что получить чек с одноразовыми паролями может только человек, имеющий платежную карту и знающий пин-код. Пользуясь паролями чека для входа в систему, рекомендуется придерживаться следующих простых правил:

  • Не выбрасывать список шифров и стараться не терять его;
  • Не хранить чек вместе паролем и логином от учетной записи.

Еще одним распространенным методом для подтверждения личности при входе в онлайн-банк считается запрос одноразовых СМС-паролей. То есть при каждой операции, выполняемой пользователем, на его телефон приходит СМС-сообщение с кодом, который необходимо ввести. Известно, что обязательным условием подобных операций является привязка определенного номера телефона к банковскому счету. Среди достоинств такой системы безопасности можно выделить простоту процедуры и минимальное количество времени на осуществление операции. К тому же, даже если злоумышленник знает логин и пароль учетной записи, выяснить код ему не представляется возможным. Применяя одноразовые СМС-пароли, следует учитывать такие нюансы:

  • Нельзя пользоваться интернет-банкингом с мобильных устройств;
  • Не нужно сохранять пароль в браузере;
  • При потере телефона следует незамедлительно обратиться в банк для блокировки учетной записи, чтобы ею никто не мог воспользоваться.

Что представляет собой электронная цифровая подпись?

Вышеперечисленные способы обеспечения защиты счетов пользователей являются самыми распространенными, однако существуют и другие методы идентификации клиентов. Особое внимание стоит обратить на электронную цифровую подпись, которая применяется чаще всего для компаний, но иногда предлагается и индивидуальным пользователям. ЭЦП предоставляет возможность однозначно идентифицировать личность, но не стоит исключать опасности завладения ключом от цифровой подписи мошенниками, которые могут заразить ПК вирусными файлами специального предназначения.

На видео – о безопасных платежах в интернете:

Известно, что существует целый ряд троянских программ, направленных на обнаружение индивидуальных паролей, ключей ЭЦП и других аутентификационных данных. Поэтому необходимо устанавливать антивирусные программы и регулярно проверять ПК на наличие вирусов. Также стоит выключать программу ЭЦП, если она не используется.

Дополнительные способы обеспечения безопасности пользования интернет-банкингом

Клиентам банка предлагается приобрести (купить или взять в аренду) генератор паролей для одноразового пользования. Прибор подсоединяется посредством USB-порта к компьютеру, и для него не нужно устанавливать специальное ПО. Также возможна вероятность использования электронного ключа, генерирующегося при первом подключении механизма. Среди дополнительных способов защиты электронных счетов следует выделить:

  • Ограничение применения индивидуального сертификата, то есть воспользоваться электронным ключом для входа в учетную запись можно только с одного компьютера;
  • Виртуальную клавиатуру. Она предназначена для защиты от вирусов, которые могут считывать информацию при наборе данных на обычной клавиатуре;
  • Ограничение продолжительности сессии. Если пользователь в течение 10 – 15 минут не производит никаких операций, то система автоматически блокируется, и для входа в нее нужно заново ввести данные;
  • Историю защиты. С помощью данной функции пользователь может проверить, подключался ли кто-нибудь к его учетной записи, а также проведение несанкционированных операций.

На видео – об электронных деньгах:

Что делать в случае взлома учетной записи интернет-банкинга?

Если все-таки мошенники смогли добраться до учетной записи онлайн-банкинга, то рекомендуется предпринять следующие меры:

  • В первую очередь следует отключить ПК от интернета;
  • Заблокировать личную учетную запись, обратившись в банк либо контактный центр;
  • Сменить пароль и логин для входа в интернет-банкинг;
  • Работу возобновлять следует, убедившись, что угроза устранена.

По мнению экспертов, жертвой мошенников становятся клиенты, не соблюдающие осторожность при пользовании интернет-банкингом. Клиентам банка рекомендуется с периодичностью раз в месяц менять постоянный пароль доступа в систему, а также не входить в онлайн-банкинг с чужих компьютеров, особенно из интернет-кафе. Известно, что мошенники могут воспользоваться доверчивостью пользователей и заразить вирусами компьютер посредством электронной почты и через различные социальные сети. В случае кражи денег со счета, нужно отправить заявку в банк и правоохранительные органы для разбирательства.

При использовании банковской карты в реальном мире нужно быть настороже. Не стоит расслабляться и в интернете. Правда, здесь и угрозы специфические. Какие есть меры безопасности при работе с интернет банком? По традиции – несколько советов, как не лишиться кровных, оплачивая услуги в интернете.

Эта рекомендация для тех, кто заходит в свой личный кабинет в интернет-банке. В большинстве случаев требуется логин и пароль. Ряд банков используют генерацию пароля, который высылается на телефон, ряд банков предлагают постоянные идентификаторы. Именно в этом случае возникает соблазн записать пароль на бумажку и… положить рядом с картой, то есть в кошелек.

Ни в коем случае не храните пароль вместе с картой. Лучше вообще его не записывать. А если забыли, воспользоваться сервисом по восстановлению пароля. Практика показывает: написанное на бумаге, как правило, теряется. Если в этом случае деньги снимут мошенники, у вас не будет никаких шансов доказать, что эту операцию совершали не вы: логин и пароль ведены правильно. И мы не говорим уже о том, что пароль должен быть посложнее «12345» или «пароль».

Любовь россиян ко всякого рода «левому» софту приводит к парадоксальным последствиям: даже при наличии официальных мобильных приложений интернет-банка наши соотечественники умудряются скачивать его с пиратских сайтов. Как итог - потеря персональных данных и денег.

Скачивайте мобильные приложения только с официальных каналов - App Store, Google Play, Windows Store. Не можете найти на этом сайте программу? Зайдите на сайт банка и пройдите по ссылке скачать мобильное приложение.

Подставные сайты, или сайты-обманка - еще одна «акула», пожирающая деньги неопытных интернет-покупателей. Внешне почти неотличим, название сайта - практически аналогичное, мало кто будет разбирать по буквам. В итоге - перехват персональных данных и списание средств.

Самый простой совет - вводите название сайта вручную. В таком случае загрузить «подставу» будет практически невозможно. Наконец, следите за безопасностью своего устройства. Многие забывают, но смартфон с выходом в интернет - тоже компьютер, которому требуется защита.

Когда вы вводите персональные данные на сайте (интернет-банк, простая оплата товаров или услуг), убедитесь, что используется соединение типа SSL или TLS, то есть защищенное соединение с шифрованием. Доказательство - замочек перед названием сайта и буква «s». Кстати. Если нажать на замочек, можно узнать много интересного о типе шифрования - вид соединения, данные сертификата и т.д.

Если вы планируете ввести персональные данные, а шифрования нет, то соединение считается незащищенным и вероятность того, что ваши данные могут быть похищены, велика. Остерегайтесь таких сайтов! Также срочно уходите с тех сайтов, где при вводе номера карты цифры не заменяются на «звездочки». Запомните: никакой сайт банка или интернет-магазина не предлагает вам ввести пин-код карты. Если система запросила эту информацию - 100% сайт поддельный и ваши средства будут похищены.

Многие считают: раз я выхожу в свой личный кабинет ежедневно. То смс-информирование мне не нужно. Как раз наоборот. Ваша активность выросла. Соответственно, выросли и риски. Особенно, если речь идет о сайтах типа aliexpress.com, где подтверждение операции по смс не требуется, достаточно лишь ввести номер карты.

Обязательно подключите смс-информирование, даже если банк берет за это плату. Поверьте, эти 50-100 рублей в месяц в сотни раз дешевле, чем полностью обчищенный «интернет-кошелек».

В большинстве интернет-магазинов внедрена технология 3-D Secure, которая повышает безопасность при расчетах по карте. Суть этой технологии для обычного пользователя как раз и заключается в приходе смс с одноразовым паролем, необходимым для оплаты покупки. Доказательство использования технологии - один из двух логотипов перед полем для ввода одноразового пароля:

Дополнительно вы повысите свою безопасность, если в личном кабинете интернет-банка установите лимит на проведение операций. К примеру, средний размер вашей операции - 3000 рублей. Установите лимит в 4000 рублей, и злоумышленники никак не смогут перевести сумму, больше этой.

Если вы часто оплачиваете покупки в интернете, то было бы неразумно использовать для этих целей карту, которой вы расплачиваетесь в магазинах и снимаете деньги через банкомат.

Для операций в интернете разумно завести отдельную карту. Значительная часть банков предлагают так называемые «виртуальные» карты. В реальности «пластика» нет, но у карты есть и счет, и номер и код CVV2. Соответственно, вы значительно повышаете свою безопасность.

Сегодня банки и интернет-магазины проводят огромную работу по повышению безопасности операций со счетами в сети. Но никакие даже самые совершенные технологии не спасут держателя карты, если он не будет сам заботиться о безопасности. Как говорится, спасение утопающих - дело рук самих утопающих.


Система «Home Banking» является Интернет системой, и обеспечивает максимальную гибкость и простоту взаимодействия Клиента и Банка. При реализации системы мы опирались на общепринятые мировые стандарты и методы информационной безопасности:

  • 1. Аутентификация (подтверждение подлинности) взаимодействующих сторон: Интернет-клиента и Банка. Аутентификация основана на проверке подлинности цифровых сертификатов (X509).
  • 2. Конфиденциальность передаваемой информации. Обеспечивается шифрацией данных (SSL).
  • 3. Целостность передаваемой информации. Целостность данных обеспечивается хешированием каждого SSL пакета, а также электронной подписью документов. Электронная цифровая подпись (ЭЦП) Клиентом и Банком каждого документа и ее проверка другой стороной позволяет сделать заключение о происхождении документа и его не искаженности при передаче.
  • 4. Доступ к данным для разбора и анализа конфликтных ситуаций. Обеспечивается возможностью ведения архива всех отосланных и принятых клиентом и банком документов с электронными подписями и использованными при их подписи ключами.
  • 5. Журналирование действий пользователей в системе.

Система использует алгоритмы шифрования в соответствии с ГОСТами и сертифицированные ФАПСИ системы криптозащиты. Это позволяет обеспечивать высокий уровень безопасности при использовании Интернета в течение всего процесса обработки и хранения информации.

На практике безопасность работы системы «Home Banking» реализуется следующим образом:

Клиент, используя обычный браузер, выполняет соединение с ответной банковской частью. Осуществляется авторизация по заданным реквизитам сертификатов и SSL-шифрация трафика между браузерами. SSL соединение, обеспечивает безопасную передачу данных между клиентом и сервером Банка.

Протокол SSL хорошо зарекомендовал себя как метод для защиты от несанкционированного доступа в телекоммуникационных каналах и является de-facto промышленным стандартом. Технология SSL поддерживается всеми основными браузерами и операционными системами.

Протокол SSL защищает документ только в процессе передачи документа по коммуникационным каналам. После передачи документа в Банк, при хранении документа в базе данных банка, в качестве защиты и средства идентификации документа используется технология Электронной Цифровой Подписи.

В том случае если Клиенту необходим облегченный вариант взаимодействия с банком, например, только просмотр состояния счетов, то можно отрегулировать процедуры обеспечения безопасности на работу в ограниченном режиме, например, использование только парольной идентификации. Пароль в таком случае хранится в виде хеш-слепка на сервере Банка, что гарантирует клиенту невозможность использования пароля Клиента сотрудниками Банка, и в то же время как минимум формально гарантирует Банку, что лицо, использующее пароль, уполномочено на дальнейшие действия самим Клиентом. При необходимости, парольная авторизация может быть усилена другими технологиями, например биометрической, карточной контактной, или карточной бесконтактной.

Сертификат X.509 является электронным аналогом удостоверения личности (паспорта) и позволяет идентифицировать пользователей Интернета. В то же время, пользователи, подключившиеся к сертифицированному серверу, могут быть уверены, что попали именно в искомую организацию. У каждого пользователя существует открытый ключ с некоторой дополнительной информацией о его владельце. Открытый ключ подписан еще одним ключом, принадлежащим центру сертификации системы «Home Banking» (как правило, соответствующая служба в Банке или официальные Удостоверяющие Центры). Отправитель с помощью открытого ключа шифрует данные, устанавливает сертификат подписи клиента и отправляет этот пакет в центр сертификации. Получив данные, система «Home Banking» с помощью своего закрытого ключа расшифровывает их и проверяет информацию владельца сертификата (срок действия, имя владельца, и т.п.). Математически ключи подобраны так, что, имея один, почти невозможно восстановить другой. Это позволяет относить методы сертификации X.509 к надежным криптографическим средствам, что подтверждено ФАПСИ.

Существующая регистрация событий в системе «Home Banking» фиксирует все случаи подключений, смены пароля и других действий. Система позволяет просматривать эту историю, что дает возможность определить попытку несанкционированного подключения. В случае многократного ввода неверных данных (идентификатор и пароль) доступ к системе блокируется.

Настраиваемый механизм резервного копирования гарантирует сохранность данных. Резервные копии хранятся на отчуждаемых носителях. Тем самым исключается возможность несанкционированного доступа к резервным копиям.

Используемые криптографические технологии на основе идентификатора и пароля, защищенного соединения SSL, а также сертификата X.509, в комплексе позволяют свести риски использования соединения через Интернет к минимуму. Условия поставки, внедрения и сопровождения системы «Home Banking» предусматривают возможность настройки и расширения существующего функционала под индивидуальные требования заказчика.

По утверждениям экспертов, основная и самая главная угроза, подстерегающая любого пользователя Интернет-банкинга - это риск мошеннического взлома и несанкционированного доступа к средствам на счете. «Единственной существенной опасностью, которая может подстерегать пользователей этих систем, является риск противоправного завладения их денежными средствами злоумышленниками, с использованием возможностей систем «Интернет-банкинга», впрочем, как и любых иных типов систем дистанционного обслуживания», - рассказывает Егор Изотов, начальник отдела информационно-технической защиты Пивденкомбанка.

А потому банки стараются использовать различные системы и механизмы, призванные если не гарантировать, то, по крайней мере, повысить безопасность использования онлайн банкинга.

Шифрование данных

На сегодня уже всеми или почти всеми банками, предоставляющими услугу Интернет-банкинга, применяется SSL-шифрование данных, передаваемых от компьютера пользователя в систему банка и обратно. Эта мера безопасности позволяет исключить распространенный ранее вид мошенничества. «Раньше часто использовалась схема «man in the middle»: данные о платеже перехватываются на этапе, когда они отправлены от клиента, но еще не дошли в банк. Мошенник меняет данные и только после этого отправляет их в банк», - рассказывает Борис Косяков, начальник управления информационной безопасности Астра Банка.

Чтобы воспользоваться всеми преимуществами защищенной передачи данных, следует соблюдать элементарные меры безопасности в Интернете - не реагировать на подозрительные сообщения (полученные якобы от вашего банка) и не переходить по неизвестным ссылкам.

Одноразовые пароли, получаемые в банкомате

При такой системе защиты, кроме обычного логина и пароля, для входа в систему и подтверждения операций пользователь должен ввести одноразовый пароль, список которых он может получить в банкомате своего банка.

С точки зрения безопасности такая система имеет преимущество - чтобы совершать операции по карточному счету через интернет-банкинг, лицо должно как минимум иметь в наличии непосредственно саму карту, а также знать ПИН-код, чтобы получить список паролей в банкомате.

Вместе с тем нельзя не отметить ряд недостатков такой системы защиты. Во-первых, список паролей, распечатанный в виде чека из банкомата, вам придется хранить для подтверждения будущих операций. А это значит, что если вы случайно потеряете или выбросите чек (или просто используете все пароли), вам придется идти за новым. Зачастую список паролей можно получить далеко не в каждом банкомате банка, и вполне вероятно, что вам придется ехать за ним на другой конец города. К тому же, списком могут завладеть злоумышленники.

Если ваша система интернет-банкинга предусматривает использование списка одноразовых паролей, постарайтесь придерживаться простых правил. Во-первых, не выбрасывайте список паролей и по возможности старайтесь его не терять. Во-вторых, не храните список одноразовых паролей вместе с логином и паролем от вашей учетной записи. Последний вовсе не рекомендуется записывать, лучше запомнить.

Одноразовые СМС-пароли

Этот способ аутентификации пользователя в системе интернет-банкинга является едва ли не самым распространенным в предложениях украинских банков. При такой системе каждая операция, которую вы совершаете с помощью онлайн банкинга, должна быть подтверждена одноразовым паролем, который вы получите в СМС-сообщении на ваш мобильный телефон. При этом ваш мобильный номер должен быть «привязан» к номеру счета.

Такая система имеет ряд преимуществ. Во-первых, она достаточно проста в использовании - вам не нужно специальное оборудование, а процедура подтверждения операции занимает всего пару минут. Во-вторых, она позволяет обезопасить вашу учетную запись от использования злоумышленниками - даже если мошенникам станет известен ваш логин и пароль для входа в систему, они не получат доступ к вашим деньгам, а вы узнаете о попытке провести несанкционированную операцию из СМС-сообщения. Кроме этого, вам не нужно хранить список одноразовых паролей, а значит, вы не сможете его потерять, и у вас его не украдут.

На этом преимущества системы заканчиваются. Действительно, злоумышленникам довольно сложно завладеть одноразовым паролем, действующим в течение короткого времени. Если только они не завладели вашим мобильным телефоном. И совсем бесполезной система будет в том случае, если вы пользуетесь интернет-банкингом с мобильного телефона и сохраняете пароли в браузере. Тогда, украв у вас телефон, мошенник получит ваш счет в полное распоряжение.

Если ваш банк использует аутентификацию пользователя по СМС, постарайтесь придерживаться таких правил:

  • · не пользуйтесь Интернет-банкингом с мобильного телефона;
  • · не сохраняйте пароль от учетной записи в браузере;
  • · в случае потери или кражи мобильного телефона - немедленно обратитесь в банк с просьбой заблокировать вашу учетную запись Интернет-банкинга.

Электронная цифровая подпись (ЭЦП)

Этот механизм чаще используется при обслуживании банками компаний, но иногда его предлагают и индивидуальным клиентам. Плюс ЭЦП в том, что она позволяет однозначно идентифицировать пользователя. Недостаток же заключается в том, что ЭЦП также может быть уязвима для мошенников. Злоумышленники могут добраться до ключа от вашей цифровой подписи, заразив ваш компьютер вредоносным программным обеспечением. «Существуют «трояны», умеющие находить и красть на зараженном компьютере аутентификационные данные (идентификаторы, пароли и даже ключи ЭЦП) пользователей для доступа к различным сервисам (в том числе и серверам удаленного обслуживания клиентов банков)», - рассказывает Борис Косяков.

Если для подтверждения ваших финансовых операций через интернет вы используете ЭЦП, не забывайте пользоваться антивирусными программами и регулярно проверять ваш компьютер на предмет заражения компьютерными вирусами. Также эксперты не советуют оставлять ключ ЭЦП подключенным к компьютеру, если вы его не используете.

Внешние электронные устройства

Некоторые банки предлагают пользователям онлайн банкинга приобрести (или взять в аренду) специальное устройство - генератор одноразовых паролей. Генератор подключается к компьютеру через usb-порт и не требует специального программного обеспечения.

Другие учреждения предлагают использовать внешний электронный ключ, который генерируется при первом подключении к системе Интернет-банкинга, записывается на внешний носитель и затем используется при проведении операций в системе.

Такие системы, по сути, являются упрощенной версией ЭЦП. Среди недостатков их можно выделить то, что вы не сможете получить доступ к своему счету, не имея под рукой «ключа», а всегда носить его с собой может быть не очень удобно и безопасно.

Помимо перечисленного выше, банки зачастую применяют дополнительные меры для обеспечения безопасного пользования интернет-банкингом:

  • · ограничение использования личного сертификата - система некоторых банков позволяет использовать электронный ключ (электронный сертификат) только на том компьютере, на котором он был сгенерирован. Таким образом, осуществлять платежи через Интернет-банкинг вы сможете только со своего личного компьютера (хотя просматривать выписки по счету можно и на других устройствах);
  • · виртуальная клавиатура - предназначена для того, чтобы мошенники не могли «считать» ваши регистрационные данные при вводе их с обычной клавиатуры с помощью компьютерных вирусов («троянов»);
  • · ограничение длительности сессии - в случае неактивности пользователя, сессия в системе Интернет-банкинга через определенное время (обычно 10-15 минут) будет закрыта. После этого для возобновления работы потребуется заново пройти аутентификацию;
  • · история подключений - с помощью этой функции пользователь Интернет-банкинга узнает, если кто-то кроме него подключался к системе, а также сможет отследить все несанкционированные операции, если они были произведены.

Многое зависит от пользователя

Эксперты отмечают, что чаще всего причиной мошеннического доступа к счету пользователя Интернет-банкинга является невнимательность и неосторожность самого пользователя. А потому, чтобы избежать возможных проблем, владельцу учетной записи следует беречь данные доступа к ней. Во-первых, эксперты советуют периодически изменять пароли для доступа в систему, желательно делать это раз в месяц и не использовать Интернет-банкинг на непроверенных компьютерах (например, в Интернет-кафе).

Помимо этого, следует соблюдать осторожность при работе в Интернете. «Мошенники широко используют приемы «социальной инженерии» для того, чтобы выманить аутентификационные данные (логин, пароль и т.д.) клиентов. Наиболее старый метод - «фишинговые» письма электронной почты, которые провоцируют получателей отправить свои аутентификационные данные злоумышленникам или предлагают пройти по ссылке на мошеннический сайт. С ростом популярности социальных сетей («Одноклассники», Twitter, Facebook) мошенники тут же начали использовать для «фишинга» сообщения социальных сетей. Также злоумышленники создают подложные копии сайтов для Интернет-банкинга с именами, очень похожими на настоящие», - поясняет Борис Косяков. И если вы введете на таком сайте данные своей учетной записи, то они тут же попадут в руки к мошенникам.

Если у вас возникли опасения, что мошенники получили доступ к вашему счету через Интернет-банкинг, эксперты советуют предпринять следующие действия:

  • · отключить компьютер от Интернета;
  • · обратиться в контакт-центр (а при необходимости - в отделение) вашего банка, изложить проблему и попросить заблокировать вашу учетную запись;
  • · проверить компьютер на предмет заражения вредоносным программным обеспечением;
  • · возобновить работу с системой онлайн банкинга только тогда, когда вы убедились, что угроза отсутствует;
  • · сменить пароль от учетной записи.

Если ваши подозрения оправдались, и со счета были списаны несанкционированные вами платежи, следует составить заявление о произошедшем в банк и в правоохранительные органы. В этом случае не рекомендуется совершать никаких действий на вашем компьютере (устанавливать или удалять программное обеспечение и т.п.) до прибытия сотрудников правоохранительных органов или специалистов банка, поскольку любые изменения могут помешать расследованию инцидента.