ИЛИ ИНТЕРНЕТ-БАНК: ПРОВЕРКА НА ПРОЧНОСТЬ
Анна УСТАВЩИКОВА
Изучаем и сравниваем виртуальные запоры, с помощью которых банки Екатеринбурга защищают счета своих клиентов от несанкционированного доступа.
Интернет-банкинг пришел в Россию более 12 лет назад, но до сих пор многие мои знакомые относятся к этой технологии крайне настороженно.
Оно и понятно: тяжело поверить в сохранность своих счетов и конфиденциальность транзакций, когда единственная связующая нить между вами и банком ? виртуальный канал передачи данных.
На самом деле сегодня кредитные организации вступили в настоящее соревнование, пытаясь обогнать друг друга по уровню защищенности Интернет-банкинга и оказаться ?на шаг впереди? очередного талантливого хакера.
Алекс ? Юстасу
Базовый принцип обеспечения безопасности Интернет-банкинга ? шифрование данных.
Вся информация, которая поступает от клиента к банку и обратно всегда кодируется при помощи технологии SSL-шифрования. Этот метод обеспечивает конфиденциальность обмена данными между клиентом и банковским сервером и делает невозможным их перехват. Теперь, отдавая распоряжение о транзакции, можно не опасаться, что хитрая троянская программа, затаившаяся в неприметном исполняемом файле на задворках винчестера, передаст ваши пароли коварному ?man in the middle? ? взломщику, сможет вмешаться в протоколы передачи данных и перенаправит или исказит информационные потоки.
Скажи ?друг? и войди
Еще одна общепринятая мера безопасности ? одноразовые пароли, используемые при каждом сеансе связи с банком. Собираясь совершить какую-нибудь финансовую операцию, клиент вводит не только свой логин и пароль, но и одноразовый код доступа, дополнительно удостоверяющий его личность. Обычно одноразовые пароли ? ?ключи? ? передаются клиенту банка одним из двух способов. Либо это карточка с отпечатанным на ней списком ключей, либо одноразовый ключ, пересылаемый в СМС-сообщении. Разберемся с обоими вариантами.
• Список ключей.
Готовый (сгенерированный случайным образом) список паролей, напечатанный на специальной пластиковой карте, выдается в отделении банка или через банкомат. Обычно на карточке/чеке помещается несколько десятков ключей. Так, Банк24.ру выдает сразу 100 паролей, на ВТБ 24 ? 112, а на СКБ-банк ? 60.
Будьте внимательны при заключении договора с банком: формальное отсутствие абонентской платы еще не означает, что вам не придется регулярно платить за пользование услугой Интернет-банкинга. Например, получение новой карты с одноразовыми ключами от СКБ-банка сейчас стоит 500 руб. Следовательно, через каждые 60 транзакций придется выплачивать банку данную сумму. Во многих других банках новая карта с паролями предоставляется бесплатно.
Недостаток этого средства защиты очевиден. Вам придется постоянно держать список одноразовых паролей при себе. И если чек или карточка со списком будут случайно потеряны ? придется понервничать: а ну как не успел заблокировать счета? Да и регулярные походы в банк за новой порцией паролей мало кому придутся по вкусу.
В значительной мере безопасность ваших счетов зависит от вашей же предусмотрительности. Согласитесь, что здравомыслящий человек не станет хранить карточку с паролями поблизости от листочка бумаги, на котором записаны его основной логин и пароль. Впрочем, один мой приятель нашел остроумный способ обмана воров по принципу ?от противного?. В футляре своего смартфона он хранит карточку с неиспользованными кодами от давно аннулированного Интернет-банкинга. Дело в том, что многие банки (так, например, поступает ВТБ-24) после трех неудачных попыток ввести ?одноразовый ключ? блокируют доступ к аккаунту. Так что если кто-то, украв сотовый телефон моего знакомого, попытается воспользоваться счетами владельца? Если честно, я бы не отказалась посмотреть на выражение лица бедняги, вводящего один за другим ?вроде бы верные? пароли?
• СМС-ключи.
Поскольку любителей носить с собой лишние листочки и карточки не так уж много, ряд банков (в их числе ? Альфа-Банк, Абсолют Банк) применяют систему выдачи одноразовых ключей. Аутентификация пользователя осуществляется с помощью паролей, приходящих через SMS. Заключая договор об оказании услуг Интернет-банкинга, вы привязываете к своим счетам номер телефона и всякий раз перед совершением транзакции ? получаете SMS-сообщение с одноразовым паролем. Если злоумышленники попытаются войти в вашу учетную запись, вы мгновенно будете оповещены об этом и сможете вовремя пресечь взлом. Не нужно и хранить список одноразовых паролей, значит, нет риска его утери.
Данная система дает сбой только в том случае, если мошенники получат доступ к вашему мобильному телефону, в браузере которого сохранены логин и пароль доступа интернет-банкинга. Такой телефон ? просто ?находка для шпиона?. Перед лицом такой беспечности любой банк, как говорится, вынужден умыть руки.
Можно взять у вас автограф?
При обслуживании как физических, так и юридических лиц средством дополнительной аутентификации может служить электронная цифровая подпись. Она записывается на usb-носитель, и для того, чтобы связаться с сервером, необходимо подключить ее к компьютеру или гаджету, с которого вы планируете связываться с банком. В Банке24.ру ЭЦП могут записать на любую вашу флешку или на специальный внешний электронный ключ (e-token). Преимущества электронного ключа в том, что с него невозможно скопировать информацию. Далеко не один недальновидный бизнесмен сбрасывал ЭЦП на жесткий диск, откуда это средство безопасности (а в данном случае средство опасности) было украдено хакером.
Если ЭЦП записана на обычную флешку ? единственная дыра в безопасности связана с троянскими программами. Поэтому при использовании такого метода защиты особенно важным становится регулярность проверок компьютера на наличии вредоносных программ, обновление вирусных баз. А еще специалисты в сфере безопасности любят рассказать леденящие душу истории о том, как некоторые успешные бизнесмены по рассеянности забывают e-token в usb-порте своего компьютера, уходят из офиса после напряженного рабочего дня, а потом удивляются пропаже средств со счетов.
Как за каменной стеной
Помимо базовых средств обеспечения безопасности, банки используют и дополнительные предосторожности. В их числе ? ограничение длительности сессии: при отсутствии активности пользователя, связь с банком автоматически разрывается через 10-15 минут. Это предохраняет вас от ситуации, когда вы, работая не на своем компьютере, забыли разлогиниться самостоятельно. А ведь считанные единицы не смогут вспомнить за собой случаев подобной рассеянности!
Также существует функция запоминания истории подключений ? с ее помощью пользователь может узнать, подключался ли кто-нибудь посторонний к его системе. Но эти функции предлагают далеко не все банки. Из лидеров рейтинга, составленного сайтом banki.ru, такая милая мелочь доступна только клиентам Банка 24.ru.
Часто предлагается использование виртуальной клавиатуры, чтобы троянская программа не смогла зарегистрировать пароль и передать его взломщикам.
Еще одним любопытным и современным средством защиты можно назвать AGSES-карту. Это небольшое мобильное устройство, в котором сохранены отпечатки пальцев владельца, применяемые в дальнейшем для точной его аутентификации в системе Интернет-банка.
Другой лидер в сфере Интернет-банкинга по версии сайта banki.ru ? банк ?Авангард? требует разное число подтверждений личности клиента в зависимости от того, сколько денег тот намерен потратить через Интернет. Если речь идет о небольшом переводе ? с вас не потребуют ничего, кроме смс-ключа. А если со счета планируется перечислить существенный объем средств ? будьте любезны предоставить и SMS-ключ, и код с карты доступа, и ЭЦП.
Доверяй, но проверяй.
Мы представили короткий анализ эффективности средств безопасности, применяемых банками Екатеринбурга. Но на 90% защищенность счетов при использовании Интернет-банкинга зависит от самого клиента.
Так, например, категорически не рекомендуется сохранять пароль от своей учетной записи в браузере. Они могут быть украдены через интернет. И банк тут будет совсем ни при чем.
Следует также помнить об обилии копий сайта вашего банка: адрес такой странички может отличаться от настоящего всего одной буквой, а дизайн ? полностью повторять подлинный. Вводя на таком псевдо-сайте свои логин и пароль, вы автоматически передаете их мошенникам.
Есть и великое множество фишинговых сайтов. Их создатели ?рыбачат?, забрасывая в качестве наживки невинные вопросы по электронной почте или всплывающие оконца, имитирующие сообщения социальных сетей. Помните: никогда не следует передавать свои данные (логин, пароль) по интернету, даже если вы на 100% уверены в том, что знаете адресата. Вы никогда не предугадаете, есть ли в системе вирусная программа, которая может в любой момент перехватить информацию.
В случае любого подозрения на взлом следует немедленно отключить компьютер или гаджет от интернета, уведомить сотрудников вашего банка о случившемся и заблокировать свою учетную запись до уточнения обстоятельств.
Если же вам не удалось опередить злоумышленников и со счета были списаны средства, то необходимо действовать как и при не-виртуальном ограблении: известить правоохранительные органы и не совершать никаких действий на компьютере, поскольку на нем могла сохраниться информация, ведущая на след преступников.
Вот и все. В сущности, на сегодняшний день количество преступлений, связанных с интернет-банкингом существенно уступает количеству ?оффлайн? ограблений ? мошенничеств с кредитными картами, банкоматами и т.п.