Интернет-банкинг

Без шума и пыли

Практически все современные банки стараются фокусироваться на дистанционном обслуживании. Это очень удобно не только для банков и добросовестных пользователей, но и для мошенников. Портал Банки.ру выяснил, как происходят дистанционные ограбления и как от них защититься.
385 1

Практически все современные банки стараются фокусироваться на дистанционном обслуживании. Это очень удобно не только для банков и добросовестных пользователей, но и для мошенников. Портал Банки.ру выяснил, как происходят дистанционные ограбления и как от них защититься.

Для клиента банка дистанционное банковское обслуживание (ДБО) изрядно экономит время. Нет необходимости ездить в филиал банка, все или почти все нужные операции можно сделать с домашнего или рабочего компьютера, а то и с планшета или смартфона. Для мошенников же ДБО прежде всего обеспечивает безопасность деятельности — не нужно приходить в банк, предъявлять поддельные документы и «светить» лицом перед камерами. Кроме того, дистанционные ограбления можно выполнять массово, собирая миллионы рублей с чужих счетов за очень ограниченный срок и без особого риска.

Бизнес дистанционного фрода хорошо организован. Как и в случае скимминга, каждым этапом мошеннической операции занимаются люди, ничем, кроме финансовых потоков, друг с другом не связанные. Такое разделение труда обеспечивает злоумышленникам безопасность и эффективность их деятельности. Одни люди разрабатывают вредоносное ПО и продают его всем желающим, другие занимаются распространением вирусов, их товар — зараженные компьютеры, доступные через Интернет, а третьи, закупающие сведения о таких компьютерах, уже выполняют атаку на чужие банковские счета.

Директор по продажам компании BIFIT (разработчика систем ДБО) Станислав Шилов рассказал о масштабе проблемы: «Управление «К» делилось статистикой происшествий такого рода по юридическим лицам: по Москве каждый месяц фиксируется около десятка инцидентов крупных краж с использованием ДБО. Мы собирали статистику с 2009 по 2013 год по завершенным делам Московского арбитражного суда о несанкционированном списании средств с помощью ДБО, по нашим подсчетам средний объем превышает 4 миллиона рублей, и это с учетом множества относительно мелких инцидентов от 200 тысяч рублей». И это только данные по юридическим лицам, кражи, совершенные у физических лиц, чаще всего решаются на уровне банков и гражданских исков».

Как нас грабят

Практикующиеся атаки условно можно разделить на три способа — фишинг, «человек посередине» и захват управления компьютером. Первый, наиболее простой, заключается в подмене сайта банка или интернет-магазина на очень похожий сайт злоумышленников. Если ваш компьютер заражен специальной троянской программой, она может подменить IP-адрес вашего интернет-банкинга. В адресной строке вы будете видеть привычный адрес, а в браузер загрузится мошеннический сайт. Есть и другой вариант, не требующий заражения компьютера: пользователю присылается письмо якобы от банка с просьбой зайти в интернет-банкпо указанной ссылке и проделать якобы необходимые действия.

Пользователь, ничего не подозревая, вводит свои логин и пароль, и они попадают к злоумышленникам. Для совершения каких-либо операций этого недостаточно, ведь банк потребует TAN — одноразовый пароль. И тут вступают в дело методы социальной инженерии.

Чаще всего это делается так: поддельный сайт интернет-банкинга после ввода логина и пароля сообщает о технических проблемах при входе и просит ввести TAN, присланный вам по СМС, указанный на специальной пластиковой карточке, или созданный выданным вам в банке генератором паролей. В это же время злоумышленник заходит в интернет-банк, воспользовавшись украденными логином и паролем, и создает нужную ему операцию (к примеру, перевод всех средств на стороннюю карту Visa. Пользователь послушно вводит TAN в окно поддельного сайта, а мошенник сообщает его банку и мошенническая трансакция выполняется.

Второй метод, называемый специалистами «человек посередине», чуть сложнее. В этом сценарии пользователь заходит с зараженного компьютера в свой интернет-банкинг и совершает какую-либо операцию. Для него все выглядит как обычно, но троянская программа перехватывает и изменяет данные, которыми обмениваются пользователь и банк. Реквизиты подменяются на нужные мошенникам, сумма изменяется так, чтобы перевести со счета все доступные средства, но пользователь этого не видит, ему троянец показывает только те данные, которые он вводит сам.

И, наконец, третий метод позволяет злоумышленнику получить управление компьютером, с которого выполняется работа с системой ДБО. Чаще всего так обкрадывают компании — системы ДБО для юридических лиц, выполняющих десятки и сотни операций со счетами в день, обычно используют не одноразовые пароли, а разного рода аппаратные ключи: USB-токены, смарткарты и т. д. Это облегчает жизнь не только бухгалтерам, но и мошенникам.

Определив по косвенным признакам, что в данный момент компьютер не используется, мошенник подключается к нему и пользуется им точно так же, как если бы физически сидел за этим компьютером. Если сотрудник бухгалтерии, отойдя от компьютера, не извлек свой ключ, деньги компании уйдут в неизвестном направлении за очень короткий срок.

Защита со стороны клиента

Есть несколько способов защиты против дистанционного фрода: технические средства защиты, дополнительные факторы аутентификации, выполнение рекомендаций по информационной безопасности и знание клиентом внешних признаков мошенничества.

Технические средства защиты — это прежде всего антивирусные программы, защищающие компьютер от заражения троянскими программами. Хорошие антивирусы стоят денег, причем ежегодно, но только они позволят своевременно выявить факт заражения и вылечить компьютер. Некоторые банки предлагают оформление подписки на антивирус всем пользователям интернет-банкинга с ежемесячным списанием оплаты. Важно помнить, что просто купить и установить антивирус недостаточно — нужно следить за его своевременным обновлением, особенно если вы пользуетесь интернет-банкингом с ноутбука, не постоянно подключенного к Интернету.

Внешние признаки дистанционного фрода сводятся к нетипичному поведению интернет-банка. К примеру, подключение к интернет-банку про протоколу HTTP свидетельствует о фишинге, все системы ДБО используют защищенные протоколы (адрес в адресной строке браузера должен начинаться с https://). Сообщение браузера о некорректном сертификате интернет-банка — еще один верный признак фишинга, таких ошибокIT-службы банков не совершают.

Дополнительные факторы аутентификации бывают разные: одноразовые пароли, аппаратные ключи или же звонок клиенту из банка. Если говорить о физических лицах, то в данный момент для них наиболее актуальны одноразовые пароли. Увы, мошенники отлично научились обходить этот способ защиты.

СМС-дыра в защите

Самый часто используемый способ доставки TAN клиенту — СМС-сообщения. Более того, некоторые банки и альтернатив не предлагают: СМС — и только они! К сожалению, в настоящее время это уже не столько средство защиты, сколько источник рисков. Злоумышленники освоили множество методов перехватаСМС-сообщений.

Заражение смартфона мобильным вирусом. Широкое распространение смартфонов сделало возможным получение TAN с помощью мобильного вредоносного приложения. Делается это очень просто: получив доступ к интернет-банку с помощью фишинга, мошенник узнает телефонный номер пользователя и отправляет на него СМС с фишинговой ссылкой. Если беспечный пользователь кликнет по этой ссылке — дело сделано, смартфон заражен, и все TAN незамедлительно будет получать преступник.

Замена сим-карты в салоне связи. Во многих случаях сотрудники салона связи выпустят вам новую сим-картуна указанный вами номер даже без предъявления документов. Чаще всего достаточно просто знать имя владельца. Автору и самому как-то удалось поменять так карту в фирменном салоне МТС. Да, по правилам это делается строго с предъявлением паспорта, но за такое нарушение сотрудники салона зачастую не несут никакой ответственности. Им проще сделать перевыпуск карты, чем спорить с возмущенным клиентом, «забывшим» принести с собой паспорт. Многие банки, но не все, защищаются от этого привязкой к идентификатору сим-карты. В этих случаях замена сим-карты вызовет блокировку интернет-банкадо получения подтверждения от клиента по телефону или личным визитом в филиал.

Включение переадресации СМС. Многие легкомысленно относятся к безопасности своего личного кабинета в системе оператора связи, устанавливая пароли, которые легко подбираются. Практически все операторы предлагают услугу переадресации СМС-сообщений, что позволяет злоумышленникам перехватывать одноразовые пароли.

На данный момент именно фишинг с перехватом СМС — самый популярный способ дистанционного ограбления физических лиц. «Народный рейтинг» показывает поистине ужасающую картину: большинство банков не могут защитить своих клиентов от мошенничеств такого рода, более того, стремятся переложить ответственность на клиента.

Клиент Сбербанка лишился 90 тыс. рублей, причем факт перевыпуска сим-карты не был им даже замечен — пострадавший посчитал, что карта вышла из строя.

Случай, произошедший в сентябре этого года с клиентом «Русского Стандарта», стоил клиенту 300 тыс. рублей. Доступ к СМС-сообщениям мошенники получили, перевыпустив сим-карту в одном из офисов «МегаФона» по фальшивой доверенности. По той же доверенности, судя по всему, злоумышленники выпустили и получили в банке новую пластиковую карту, перевели на нее все средства пострадавшего и сняли через банкоматы.

Похожий инцидент произошел годом ранее с клиентом Сбербанка. Сим-карта MTC была перевыпущена безкаких-либо документов, пострадавший лишился 100 тыс. рублей. Несмотря на наличие в ДБО Сбербанка привязки к сим-карте, в этом случае, как и во многих других, она не сработала.

Защита со стороны банка

К счастью, многие банки стремятся помочь пользователю защититься от дистанционного фрода. Что может сделать банк, помимо снабжения пользователя техническими средствами защиты и дополнительными факторами аутентификации? Последней линией обороны являются экспертные антифрод-системы.

Задача такой системы проста — определить нетипичное поведение пользователя. Для этого используется комплекс из нескольких десятков критериев, в соответствии с которым оценивается подозрительность операции. К примеру, если пользователь внезапно решил перевести все имеющиеся средства на реквизиты, на которые раньше никаких оплат не совершал, система приостановит выполнение операции и даст сигнал оператору. Оператор проконтролирует операцию и при необходимости позвонит клиенту с запросом подтверждения.

К сожалению, это тоже не панацея, так как приходится очень точно соблюдать баланс между безопасностью и удобством. Если установить слишком жесткие критерии — будет много ложных срабатываний, из-за чего многие легитимные операции будут выполняться со значительной задержкой, а клиента замучают звонками из банка. Обычный клиент, не слишком озабоченный безопасностью, от таких трудностей вскоре просто сбежит в другой банк.

Слишком мягкие критерии понизят эффективность системы — клиент не получит полагающейся защиты от фрода. Кроме того, для эффективной работы такая фрод-система требует от банка содержания соответствующего штата операторов. Излишне говорить, что эти расходы в конечном итоге ложатся на плечи клиентов банка.

Шилов рассказал о последней новинке в этой области: «Будущее, без сомнения, за системами адаптивной аутентификации. Наши банки такого пока не практикуют, но многие крупные мировые банки уже внедрили новый подход». В отличие от классических систем аутентификации, адаптивные могут варьировать количество факторов в зависимости от подозрительности операции. В большинстве случаев от клиента будет требоваться однократный элементарный ввод логина и пароля, что позволит легко и просто совершать простые типовые операции (оплата квартплаты и т. д.). При получении сигнала от антифрод-системы адаптивная система тут же запросит аутентификации по дополнительным факторам — одноразовый пароль, звонок в банк и т. д. За счет этого соблюдается оптимальный баланс между безопасностью и удобством.

Так или иначе, а панацеи от мошенничества не существует. Где тонко, там и рвется, — для уверенности в безопасности ваших средств необходима оборона на всех уровнях — от вашего банка до вашего компьютера. И, главное, никогда не теряйте бдительности.

Начать дискуссию

ПСН

ИП на ПСН должен сам оказывать услуги, а не перезаказывать их у других ИП

Заключение предпринимателем договоров субподряда с другими ИП не вписывается в рамки патента.

Курсы повышения
квалификации

18
Официальное удостоверение с занесением в госреестр Рособрнадзора

Верховный Суд поддержал рекомендации Роспотребнадзора обеспечивать водой и спецодеждой работающих в жару

ВС РФ признал законными Рекомендации по работе в условиях сильной жары и повышенных температур, изданные Роспотребнадзором.

Бесплатно с Кадры

Кадровое законодательство 2024: изменения и дополнения. Мини-курс с видео, конспектом и тестами

Обо всех изменениях кадрового законодательства, нововведениях в ТК, нюансах заполнения ЕФС-1 и новых формах налоговой отчетности рассказываем в мини-курсе.

Кадровое законодательство 2024: изменения и дополнения. Мини-курс с видео, конспектом и тестами
Лучшие спикеры, новый каждый день

Прокуратора может изъять акции «Макфы» в пользу государства

Прокуроры доказывают в суде, что производство макаронных изделий под брендом «Макфа» имеет коррупционное происхождение. Их бенефициары вели бизнес, работая в органах госвласти.

51
ЭДО

Минтранс хочет провести эксперимент с переходом на ЭДО грузоперевозок на всех видах транспорта

Проведение эксперимента по переходу на электронный документооборот затронет грузоперевозки автомобильным, морским, речным, железнодорожным и воздушным видами транспорта.

Что ест бухгалтер. Давно не ели десертов

Лекарство от негатива. Тирамису — самый популярный в мире десерт.

Что ест бухгалтер. Давно не ели десертов
8
47
Опытом делятся эксперты-практики, без воды
Банки

Приложение Райффайзенбанка снова работает

Специалисты устранили внутреннюю техническую ошибку, которая не позволяла клиентам отправить деньги.

Как нанять толкового бухгалтера в компанию: рекомендации экспертов

Ошибки бухгалтера приводят организацию к лишним затратам и огромным штрафам, а в особенно тяжелых случаях могут довести до ликвидации компании. Как же не допустить этого и нанять хорошего специалиста? Составили инструкцию для руководителей с комментариями наших экспертов.

Как нанять толкового бухгалтера в компанию: рекомендации экспертов

Меняются правила работы с госзакупками: что такое цифровой контракт, кто и в какой форме должен его составлять

С 1 апреля у заказчиков на госзакупках появляются новые обязательства. Теперь после проведения тендера они должны заключать цифровой контракт в единой информационной системе.

Иллюстрация: Вера Ревина, Клерк.ру

Верховный Суд защитил недвижимость предпринимателя от притязаний церкви

Коммерсант много лет добросовестного использовал для сельского хозяйства арендованный земельный участок, на который вдруг стала претендовать РПЦ.

1
79

ФРМР: обязательная регистрация (до 01.04.2024) медицинских и фармацевтических работников

Медицинские и фармацевтические работники, а также лица, которые обучаются медицинским и фармацевтическим специальностям, должны зарегистрироваться в ФРМР. Разбираемся в этой подсистеме ЕГИСЗ.

ФРМР: обязательная регистрация (до 01.04.2024) медицинских и фармацевтических работников

Управление персоналом. Принципы управления человеческим ресурсом

Даже при условии стремительного развития автоматизации в бизнесе еще невозможно отказаться от человека. От персонала требуется обслуживание оборудования, предоставление консультационных услуг, ведь машины пока не обладают теми способностями для разъяснения сложных вопросов, как это способен сделать человек.

Управление персоналом. Принципы управления человеческим ресурсом
Миникурсы, текстовые и видеоинструкции для бухгалтеров

🔥 Четыре новые онлайн-курса этой весны уже в подписке Клерк.Премиум!

Оформите годовую подписку Клерк.Премиум со скидкой 50% за 9900 рублей и получите доступ к самым свежим материалам и курсам!

Российский экологический оператор: нужно отказаться от пластиковых бонусных карт и бумажных чеков

В РЭО создали концепцию по сокращению отходов. Экологи, Минприроды и ФНС поддерживают идею перейти на электронные чеки и не печатать бумажные.

6
88

С какими страхами сталкиваются предприниматели. Чего боятся успешные люди

По данным ВЦИОМ, те или иные фобии есть у каждого восьмого жителя России. Предприниматели, в том числе достигшие определенных высот – не исключение. Почему страх нельзя отрицать, и какие чаще всего преследуют людей в бизнесе.

С какими страхами сталкиваются предприниматели. Чего боятся успешные люди

Какие проблемы может решить управленческий баланс в финансовом анализе

Собственник бизнеса, который хочет уйти из операционной деятельности компании, должен научиться читать управленческий баланс. Из него можно понять, что происходит с предприятием, развивается оно или угасает.

1
54

О том, как налоговая со своим уставом в чужой монастырь залезла. Судебная практика

Все более увеличивающееся желание налоговых органов пополнить бюджет (а иногда, просто показать принципиальность налогоплательщику) заставляет инспекторов открывать для себя новые грани неизведанного и пытаться разбираться в тех отраслях права и знаний, которые для них всегда были чуждыми.

Иллюстрация: Вера Ревина / Клерк

Для замены лет при оплате больничных будет специальная форма бланка

В общем случае при расчете больничных берут зарплату за 2 предыдущих года. Но если там был отпуск по беременности и родам или уходу за ребенком, эти годы можно заменить. Для такой замены сотрудница должна написать заявление.

Кассовая дисциплина 2024: основные нарушения, последствия и риск–ориентированный подход ФНС

Как работает риск-ориентированный подход регулятора (об этом говорил Президент в своем Послании к Федеральному собранию) при контроле пользователей касс и ОФД ? Каковы правила и как устроена система кассовой дисциплины. Что ждет нарушителей, рассказываем в обзоре.

Кассовая дисциплина 2024: основные нарушения, последствия и риск–ориентированный подход ФНС

Интересные материалы

Оставленная в рабочем компьютере флешка с электронной подписью «стоила» коммерсанту 2+ млн рублей

Благодаря оперативно принятым мерам полицейскими Красноярского края свыше 2 млн рублей не попали в руки мошенников.