WEB-ресурс научно-практических конференций

Мотенко А.М., к.э.н. Мазаева М.В.

Тюменский государственный университет, Российская Федерация

ДИСТАНЦИОННОЕ БАНКОВСКОЕ ОБСЛУЖИВАНИЕ: ПРОБЛЕМЫ ФУНКЦИОНИРОВАНИЯ В РОССИЙСКОЙ БАНКОВСКОЙ ПРАКТИКЕ

Развитые сервисы дистанционного банковского обслуживания (ДБО) стали неотъемлемым критерием для клиента при выборе банка, а их внедрение – серьёзным инструментом увеличения клиентской базы. И сегодня практически любой банк предоставляет своим клиентам – юридическим и физическим лицам – ряд сервисов по дистанционному управлению счетами. В условиях наращивания функциональности таких систем наблюдается активности преступных групп, целью которых является хищение денежных средств клиентов через дистанционные каналы обслуживания, в первую очередь через Интернет-банк.

Массовые инциденты в российских системах ДБО стали отмечаться с конца 2007 года. В течение 2008–2009 годов количество хищений росло лавинообразно. С каждым годом появляются все новые и новые виды вредоносных программ: с совершенствованием, развитием программ и мер защиты банковской информации и систем дистанционного банковского обслуживания совершенствуется и мошеннический инструментарий для совершения хищений денежных средств клиентов банков. В прошедшем 2011 году эксперты, занимающиеся исследованиями в области информационной безопасности, отметили «бум» вредоносного программного обеспечения, увеличение троянских программ и таргетированных атак [1]. Прогнозы на 2012 год различных компаний, специализирующихся на информационной безопасности малоутешительны – скорость разработки программ, нацеленных на извлечение персональной информации, растет, и онлайн-банкинг (интернет-банкинг) по-прежнему остается хорошей приманкой для злоумышленников. Причиной этому служит постоянное увеличение количества пользователей онлайн-банкинга как во всем мире, так и в России. По различным оценкам, потери от онлайн-преступлений в нашей стране составляют порядка полумиллиарда в год, а расследование таких инцидентов, как правило, заканчивается констатацией факта – «хищение средств неустановленными лицами».

Одной из причин, по которым происходят мошенничества через системы ДБО, специалисты по информационной безопасности компании «Алладин Р.Д.» выделяют проблемы в обеспечении доверенности среды исполнения банковских приложений. При этом собственно банки, имея необходимые средства и специалистов, оказываются достаточно защищенными, тогда как на стороне клиента очень часто возникают трудности.

Очевидно, что зачастую клиенты банка используют один компьютер для повседневной деятельности и для осуществления банковских операций через Интернет-банкинг, а также для доступа к различным ресурсам сети Интернет. Таким образом, создается высокий риск заражения компьютера вредоносными программами, осуществляющими атаку систем ДБО. Но даже зная это, клиенты пренебрегают защитой своего компьютера и либо совсем не используют антивирусные программы, либо устанавливают такое программное обеспечение от сомнительных производителей, бесплатные варианты с низкой функциональностью.

Также «тонким» местом любой системы ДБО является аутентификация: клиент должен быть уверен, что он работает в данный момент с банком, а банк, соответственно, должен быть уверен, что к нему обратился клиент. Простые средства аутентификации типа «логин-пароль» на данный момент уже не актуальны, так как успешная атака таких вариантов защиты осуществляется мошенниками очень легко и потеря средств практически гарантирована. Минимум, который банк должен предложить клиенту для использования систем ДБО, – двухфакторная аутентификация. Средством осуществления двухфакторной аутентификации может использоваться USB-токены (или смарт-карты), в которых хранение ключей и сертификатов, необходимых к доступу к системе Интернет-банка, реализовано на аппаратном уровне в неизвлекаемом виде. Однако уже весной 2010 года мошенниками в ответ на переход банков к использованию смарт-карт и USB-токенов внедрили вредоносные программы и, пользуясь тем, что некоторые клиенты оставляли свои USB-токены с секретными ключами электронной подписи, постоянно подключенными к компьютеру, создавали и подписывали ложные платежные поручения, дистанционно управляя компьютером клиента. Именно поэтому желательно иметь не просто двухфакторную, а многофакторную аутентификацию. На сегодняшний день некоторые банки предлагают клиентам варианты с дополнительным введением одноразовых паролей. Этот способ защиты реализуется с помощью ОТР-токенов ( устройств для генерации одноразовых паролей) и с использованием SMS-канала.

Также масштабной проблемой последнего времени для банков являются DDoS-атаки мошенников. DoS-атака (атака типа «отказ в обслуживании», от англ. Denial of Service) — атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён. Отказ системы может быть шагом к овладению системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»).

Сегодня типичная цель DDoS-атаки – скрыть попытку хищения средств с использованием ДБО. В результате атаки банковский сервер становится недоступен, что делает невозможным своевременное выявление клиентом факта хищения. По статистике Главного управления безопасности и защиты информации ЦБ РФ, только за первые пять месяцев 2011 года было зарегистрировано 35 таких инцидентов. Эти цифры, по мнению экспертов, отражают только часть случаев атак, о многих инцидентах банки не информируют Центробанк, реальное же количество DDoS-атак на порядок больше и несмотря на отсутствие централизованной статистики случаев мошенничества в ДБО по всем российским банкам, аналитики информационной безопасности с уверенностью утверждают, что масштабы угрозы хищений постоянно растут. Согласно статистике, находящейся в распоряжении компании «БИФИТ», в 2011 году потери клиентов банков от хищений по сравнению с 2010 годом выросли в 3 раза [3].

За счет увеличения числа людей, использующих онлайн-банкинг через мобильные телефоны, смартфоны, планшеты и IPad растет риск мошенничества на базе Android – лидирующей операционной системы на рынке мобильных устройств, так как новые вредоносные программы пишутся злоумышленниками в основном «под нее». 2011 год – рекордный с точки зрения активности вредоносных программ не только в целом, но и на мобильных устройствах.

По данным отчета компании McAfee (Отчет McAfee об угрозах за III квартал 2011г.), одной из самых популярных форм мошенничества за отчетный период стали так называемые «троянские кони» для рассылки SMS-сообщений, занимающихся сбором персональной информации. Еще одним способом кражи информации пользователя стало использование вредоносного программного обеспечения, которое записывает телефонные разговоры и пересылает их злоумышленникам. Примерами таких программ являются Android/Nicki-Spy.A и Android/GoldenEagle.A [2]. В текущем году аналитики прогнозируют ещё большее распространение вредоносного программного обеспечения для Android и мобильных вирусов. Незащищенные «рабочие» смартфоны и прочие мобильные устройства представителей компаний являются особенно привлекательными для мошенников, так как их оснащенность настолько велика, что они могут получить не только корпоративную информацию о функционировании конкретной компании, но и доступ в корпоративную сеть, если, к примеру, смартфон работника подключен к офисному Wi-Fi.

Кроме этого одним из приемов мошенников также являются таргетированные или фишинговые атаки клиентов банка. Фи?шинг — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей – логинам и паролям, а также другой информации клиентов банка. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков, сервисов. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того, как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определенному сайту, что позволяет мошенникам получить доступ к банковским счетам.

Для реализации защиты от финансового мошенничества в сфере использования систем ДБО требуются высокий уровень инвестиций и продуманный подход к информационной безопасности со стороны банков. Иначе трудно ожидать стабильного дохода от приобретающей массовый характер услуги – интернет-банкинга из-за репутационных и прямых финансовых потерь банка, колоссальных убытков клиентов и снижения доверия к самой системе ДБО.

Список использованных источников:

1. Алборова А. Угрозы 2012: тенденции и прогнозы / А. Алборова // Банковские технологии. – 2012. – № 2. – С. 31.

2. Рейтинг самых громких утечек данных 2011 г. от компании SearchInform // Банковские технологии. – 2012. – № 2. – С. 51.

3. Практика защиты серверов ДБО от Ddos-атак. Центр очистки трафика «ИБАНК2.РУ» // Банковские технологии. – 2011. – № 1. – С. 38.