Посторонним ввод воспрещен
Как финансовые организации обеспечивают безопасность дистанционного обслуживания
По последним данным аналитиков и разработчиков материалов в области угроз для организаций и пользователей, число вредоносных программ, способных похищать личные данные клиентов банков, неуклонно растет. Правда, есть и хорошие новости: финансовые организации внедряют качественные многоуровневые системы защиты, которые сводят риск утраты данных и средств практически к нулю. Мы попробовали разобраться, что делает дистанционное банковское обслуживание не только удобным, но и безопасным.
Важнейшее условие в дистанционном банковском обслуживании (ДБО) — система защиты клиентских данных. Угрозы их безопасности могут быть направлены как на банк, так и на клиента, и с ними мы сталкиваемся ежедневно.
Угрозы
DDos-атаки. Внешние хакерские нападения на информационные банковские системы. Простых пользователей услуг ДБО они не затрагивают. Обычно приводят к перезагрузке системы банка, однако все серьезные игроки имеют хорошую защиту от них.
Фишинг. Социальная инженерия, угроза непосредственно пользователям банковской услуги.
Несанкционированный доступ к картам мошенники пытаются получить, например, посредством рассылки SMS, замаскированных под сообщения банка. Темой обычно является блокировка карты, клиенту предлагается позвонить по указанному телефону якобы в банк за разъяснением. Некоторые граждане в беседе называют все данные карты, и мошенники используют их чаще всего при покупках в интернет-магазинах. С той же целью мошенники используют email-рассылку. Владелец карты получает письмо якобы из банка с описанием мнимой проблемы и предложением перейти на страницу банка для ее решения. Сайт с интерфейсом, идентичным банковскому, имеет специальную форму для ввода конфиденциальной информации.
В таких случаях банк может только просвещать пользователей о правилах безопасности, но повлиять на них не в силах, несмотря на то что перечисленные угрозы — одни из самых распространенных. Претензии обманутых пользователей банки не принимают, так как они нарушили условия договора предоставления услуги. Дело в том, что банки письменно предупреждают всех клиентов: никакие средства авторизации, переданные посредством вышеназванных каналов доставки, не могут быть в явном виде переданы никому постороннему.
SIM-карты. Самый распространенный способ защиты операций в ДБО — SMS-пароли: они очень эффективны, так как их практически невозможно перехватить. Однако мошенники могут похитить SIM-карту, к которой привязан интернет-банк, а чаще незаконно ее перевыпустить через подкупленных сотрудников салонов сотовой связи. Если мошенникам удастся без документов перевыпустить вашу SIM-карту, они могут попытаться нелегально войти в интернет-банк. Правда, благодаря современным средствам безопасности это сделать практически невозможно. Банки выстроили коммуникацию с мобильными операторами и синхронизировали базу утерянных SIM-карт. То есть, если уникальный идентификатор SIM-карты изменен (что происходит в случае перевыпуска), а клиент не заявлял о такой необходимости, банковская карта будет заблокирована, и провести по ней операции мошенникам не удастся.
Пароли. Специалисты по защите данных в крупных российских банках уверяют, что получать пароль для действий в онлайн-банке по электронной почте безопаснее, чем по обычной. Только и пользователь услуги должен соблюдать меры предосторожности в системе ДБО. Пароли "qwerty" и "12345" не защитят пользовательские данные. Хорошо бы придумать длинное сочетание букв и цифр. Материалы под названием "100 самых популярных паролей" подскажут, что не нужно писать в графе "Кодовое слово". И еще: менять пароли следует регулярно, не реже чем раз в полгода, можно даже не дожидаясь напоминания банка. "Многие говорят: я не хочу менять пароли, мне неудобно, я их забываю. Некоторые даже готовы уйти из банка, который раз в полгода заставляет менять пароли,— говорит руководитель департамента маркетинга и электронных сервисов банка "Уралсиб" Михаил Воронько.— Но пользователь должен это делать, должен к этому привыкнуть. Если не соблюдать правила безопасности в системе, вы можете стать жертвой киберпреступников. Стоит ли того отказ от регулярной смены пароля? Думаю, нет".
Отсутствие антивирусной защиты на ПК и в смартфоне. Чистота устройства, с которого происходит соединение с интернет-банком,— один из важнейших принципов в ДБО. По данным "Лаборатории Касперского", каждый день обнаруживается примерно 230 вредоносных программ, которые перехватывают символы при нажатии клавиш. Кроме того, номер и пароль пластиковой карты нельзя хранить на компьютере, поскольку вирусов, похищающих их, в избытке. Специалисты утверждают, что в день появляется 1400 вредоносных программ для кражи банковской информации. Правда, и способы защиты клиентских данных совершенствуются. Для доступа в мобильные банки теперь используются и биометрические технологии.
Согласно отчету об угрозах безопасности в интернете за 2015 год, представленному международной службой Symantec Security Response, в прошлом году атакам хакеров подвергались каждые пять из шести крупных компаний, на 40% больше, чем годом ранее. Под приложения для мобильных телефонов замаскировано множество вредоносных программ. В прошлом году "было взято в заложники" в 45 раз больше устройств, чем в 2013-м, а рост числа программ-вымогателей составил 113%. Поэтому антивирусная защита должна быть и на ПК, и в смартфоне.
Незащищенное соединение при покупках в интернет-магазинах. Скомпрометировать банковскую карту можно, оплачивая покупку в незнакомом магазине. По статистике "Лаборатории Касперского", ежедневно взламывают и заражают более 5 тыс. легитимных сайтов, поэтому при оплате товаров и услуг в интернете надо тщательно следить за соединением. Нельзя совершать покупки, используя публичный Wi-Fi.
Безопасность
Чтобы проверить безопасность ДБО, банки регулярно, раз в год, должны делать тест на проникновение — penetration-тест. Ведущие компании по информационной безопасности проверяют систему на защищенность извне и изнутри.
Что касается пользователей, финансовые организации не ограничиваются устными увещеваниями и предлагают конкретные механизмы защиты данных клиентов. "Одна из технологий, которую мы используем для борьбы с подбором пароля,— применение тайм-аутов,— рассказывает Михаил Воронько.— Ее принцип прост: фиксируется неудачная авторизация, устанавливается все увеличивающийся тайм-аут для следующей попытки. То есть после, например, трех подряд неудачных попыток ввести пароль тайм-аут — 20 секунд. Следующий — 5 минут, потом — час, потом — сутки. Каждый следующий неверно введенный пароль увеличивает время, когда авторизация в системе невозможна даже с правильным паролем. Таким простым способом существенно увеличивается безопасность системы".
Крупные финансовые организации устанавливают ограничение на одновременное использование учетной записи с разных браузеров и мобильных устройств в системе "Интернет-банк" и приложении "Мобильный банк". Это тоже забота о безопасности клиента. Принцип работы таков: если предыдущий выход из системы "Интернет-банк" или приложения "Мобильный банк" осуществлен без нажатия кнопки "Выход" — путем закрытия браузера, вкладки браузера, закрытия приложения на смартфоне, вход в систему или приложение будет доступен через минуту. Если вы осуществили вход в интернет-банк и попытаетесь войти в мобильный банк и наоборот, вход в систему или приложение будет доступен после выхода из действующей сессии.
Эксперты рекомендуют покидать любую систему, нажимая кнопку "Выход": так снижается угроза доступа хакеров к вашей личной странице.
Используются и технологии CAPTCHA — компьютерный тест, который определяет, является пользователь системы человеком или компьютером. Основная идея — предложить пользователю задачу, которую человеку решить легко, а компьютеру несоизмеримо труднее. Это могут быть изображения предметов разных цветов, сочетания цифр, слов. Правильный ответ дает доступ к услуге. Обычно CAPTCHA используется для входа в качестве дополнительного средства проверки при трехкратном вводе неверных данных или подтверждения операций при повторном вводе неверных данных, а также для подтверждения изменения данных в разделе "Настройка профиля" системы "Интернет-банк".
Для дополнительной защиты клиентов банки предлагают ГОК (генератор одноразовых ключей). Устройство в виде брелока с ЖК-дисплеем на лицевой стороне предназначено для создания одноразовых ключей. Ключ генерируется при нажатии на кнопку на устройстве. Устройство дает возможность совершать операции на большую сумму в неделю, чем позволяет SMS-пароль.
В отличие от ПК и мобильных телефонов ГОК не подвержен атакам вредоносных программ. Ключ, сгенерированный ГОК, доступен только владельцу. Кроме того, он доступен в любое время, а SMS-пароль может запоздать из-за оператора мобильной связи, например в роуминге или при отсутствии сигнала сети.
Не стоит забывать и о личной ответственности за сохранность средств. Тиражирование паролей, фото банковских карт в соцсетях, отсутствие антивируса на компьютере сводят на нет усилия банка по сохранению средств и личных данных клиента. Всеволод Иванов, исполнительный директор компании InfoWatch, предлагает разделять угрозы, возникающие на стороне банка и на стороне клиента. "Что касается банков, они применяют достаточно серьезные меры по обеспечению безопасности — это и 3D Security, и использование безопасных протоколов передачи данных. Есть, впрочем, направление, которому пока уделяется недостаточно внимания,— это защита от целенаправленных атак. Другое направление, требующее внимания,— защита от уязвимостей в веб-приложениях",— констатирует эксперт.
По словам Всеволода Иванова, клиенты могут обезопасить себя, проявляя элементарную внимательность и не пренебрегая простыми мерами предосторожности. "Если приходит письмо якобы от банка, будьте осторожны со ссылками и вложениями, проверяйте все дважды. Всегда обращайте внимание на то, что написано в адресной строке браузера, и это касается не только самого адреса интернет-банка, но и протокола (это должен быть защищенный протокол https). Еще одно правило: не использовать одну и ту же карту для всех операций и, конечно, не проводить никакие трансакции, если вы используете публичный Wi-Fi".
Сейчас российские банки обеспечивают клиентам достаточную защиту. Пользователям остается придерживаться элементарных рекомендаций при работе в системах ДБО.