24.04.2012 Банки и МВД ожидают волну мошенничеств с финансовыми услугами в сети Представители банковского сообщества и МВД РФ считают, что число фактов мошенничества в сфере электронных банковских услуг в интернете в ближайшее время будет только расти. По мнению опрошенных экспертов, росту кибер-преступлений способствует несколько факторов: несовершенство российского законодательства, невысокий уровень знаний самих клиентов, а также общий низкий уровень эффективности в борьбе с электронным мошенничеством. Правоохранители регулярно выявляют махинаторов, похищающих средства из системы интернет-банкинга. Например, о пресечении деятельности двух таких групп МВД сообщило в конце марта. Первая группа, действовавшая в Санкт-Петербурге, обвиняется в хищение 13 миллионов рублей. Как предполагает следствие, два брата совместно с учащимся одного из калининградских вузов разработали копию оригинальной веб-страницы дистанционного банковского обслуживания. Затем они приобрели вирусные программы, которые меняли на зараженном компьютере некоторые параметры, задействованные в функционале "банк-клиент". В результате любые обращения клиентов банка к официальному банковскому сайту перенаправлялись на серверы, принадлежащие злоумышленникам. Так предполагаемые мошенники узнавали персональные данные клиентов. Чтобы получить новые коды от карт, они звонили клиентам, представлялись сотрудниками службы поддержки и говорили о необходимости повторно ввести код, ссылаясь на программный сбой. Вторая группа "работала" в Москве. Участники, по данным следствия, занимались массовым распространением специализированных "банковских" троянских программ, с помощью которых получали полный доступ к компьютерам большого количества организаций, пользовавшихся системой "банк-клиент". Подключаясь к компьютерам потерпевших с помощью скрытного удаленного доступа, злоумышленники снимали средства с их счетов и переводили на свои. Похищенные деньги выводились на банковские карты, оформленные на подставных лиц, а затем обналичивались в различных банкоматах в Москве. По данным следствия, жертвами злоумышленников стали клиенты десятков российских банков, а причиненный ущерб оценивается в 60 миллионов рублей. Кроме того, в настоящее время ведется проверка в связи с созданием копии сайта Россельхозбанка на домене rosselbank.ru, с которого, вероятно, планировалось осуществлять хищение средств клиентов. По заявлению банка необходимый комплекс проверочных мероприятий по данному факту проводит Бюро специальных технических мероприятий МВД России. Как рассказал сотрудник одного из подразделений МВД, занимающегося кибер-преступностью, есть прямая зависимость между ростом пользователей сети и числом мошенничеств. "Все больше жителей страны подключают себе интернет. Соответственно, число преступлений в сети будет только расти", - говорит собеседник агентства. По его словам, у виртуальных преступлений есть ряд особенностей. "Во-первых, интернет-мошенничество в основном занимаются подростки и молодежь, и подчас на преступление их толкает любопытство: смогут ли они или нет взломать сайт? Во-вторых, не редкость, когда участники преступной группы даже не знакомы лично друг с другом и не знают реальных имен", - рассказали в МВД. Банковское сообщество также прогнозирует рост числа мошенничеств в системе интернет-банкинга. Как рассказал заместитель руководителя службы информационной безопасности Промсвязьбанка Иван Янсон, такой прогноз основан на ряде факторов. "В первую очередь, мошенники на данный момент не ощущают неотвратимости наказания, так как случаи их привлечения к серьезной ответственности сейчас единичны", - считает эксперт. По его мнению, это связано с тем, что территориальность совершения преступления зачастую размыта: например, клиент, у которого были несанкционированно переведены деньги со счета, может находиться в одном регионе, сервер банка, через который проходил платеж, - в другом, а снимать деньги, полученные преступным путем, мошенник может в третьем регионе. "Поэтому зачастую такие дела затягиваются, в том числе из-за трудности определения, в каком регионе возбуждать дело", - сказал Янсон. Начальник управление методологии комплаенс банка "Уралсиб" Алексей Тимошкин убежден, что уровень мошенничества в России пока на низком уровне и с дальнейшим развитием электронных банковских услуг будет рост и преступлений в этой сфере. "Основные потребители электронных услуг - продвинутые граждане, а также мошенники. Конечно, у нас пока что в недостаточной степени все это развито и основная волна мошенничества еще впереди. Поэтому разрабатывая такие продукты нужно думать об антимошеннических процедурах", - считает Тимошкин. Иван Янсон из Промсвязьбанка отмечает, что традиционно банками рассматривались угрозы нарушения конфиденциальности и целостности электронных платежей, а также угроза отказа от авторства совершения платежа, но эти вопросы были разрешены давно. "В последнее же время чаще всего рассматривается проблема защиты от несанкционированных платежей. Совершение несанкционированного платежа возможно либо в результате атаки на использующиеся секретные ключи электронной почты, либо в результате удаленного управления ключами, либо в результате подмены платежного поручения. Средства защиты от перечисленных угроз разные", - говорит Янсон. В частности, по его словам, защита от удаленного управления ключами обеспечивается различными способами получения подтверждения от владельца ключей на совершение операции, например, могут использоваться таблицы разовых ключей, генераторы разовых паролей, либо подтверждение физическим действием, например, прикосновением к сенсору на аппаратном устройстве для хранения ключей. "Самым сложным является случай угрозы подмены электронных платежных документов. Здесь в качестве средства защиты может использоваться устройство, которое отображает владельцу действительные значения ключевых полей подписываемого платежного документа и которое позволяет осуществить явный акцепт подписания такого документа. Устройства такого типа уже появились на рынке, но масштабного распространения они еще не получили из-за сравнительно высокой цены", - объясняет Иван Янсон. Кроме того, добавляет эксперт, к средствам защиты безусловно можно отнести и мониторинг платежей на предмет потенциально подозрительных, информирование клиентов о безопасных методах работы в интернет-банкинге и о совершаемых платежах, а также об IP-адресах, с совершались платежи. В свою очередь, в пресс-службе ВТБ24 сообщили, что в настоящее время в качестве средств аутентификации и подтверждения операций клиентов через удалённые каналы обслуживания банк использует скрэтч-карты, содержащие одноразовые коды, а в качестве альтернативы предлагает пользователям многоуровневые системы безопасности на основе современных криптографических протоколов и алгоритмов, реализующих шифрование и работу с электронными цифровыми подписями. Впрочем, президент Российского микрофинансового центра Михаил Мамут уверен, что "сама по себе борьба с мошенничеством - это как борьба снаряда и брони". "Несмотря на то, что основная статья расходов на платежные системы сегодня - расходы на защиту от несанкционированного взлома, гарантировать стопроцентную защиту невозможно физически. Этот процесс не имеет конца: мошенники все время придумывается что-то новое", - сказал Мамут. Вице-президента Ассоциации региональных банков России Олег Иванов полагает, что для того, чтобы начать бороться с электронными мошенниками, сначала надо усовершенствовать Уголовный Кодекс. "В УК РФ есть статья 187 ("Изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов незаконный оборот банковских карт и платежных документов"), но по ней практически никто привлечен к ответственности не был", - рассказывает Олег Иванов. Как замечают опрошенные эксперты, успеху мошенников, работающих в интернете, чаще всего способствует невнимательность клиентов интернет-банкинга. ВТБ24 рекомендует регулярно проверять персональный компьютер на наличие вирусов, никогда не вводить никакие данные за исключением уникального номера клиента, псевдонима и пароля. "Тем более что система "Телебанк" больше никаких данных не запрашивает", - отметили в банке. Иван Янсон из Промсвязьбанка сообщил, что пока не определены требования по безопасности, которые должны соблюдаться банками при предоставлении клиентам услуг через интернет. "Однако закон о Национальной платежной системе (НПС) предусматривает в скором времени введение таких требований. Регулятором в сфере безопасности электронных платежей будет выступать ЦБ. Тем не менее, эти требования будут обязаны соблюдать только банки, разработчики систем дистанционного банковского обслуживания не являются субъектами закона об НПС", - сообщает Иван Янсон. По его словам, если рассматривать уровень ответственности за обеспечение безопасности при работе в интернете в рамках взаимодействия "клиент - банк", то, конечно, больше ответственности на стороне банка. "Тем не менее, банки должны информировать клиентов о правилах работы в сети интернет и необходимости соблюдения элементарных мер безопасности", - отметил эксперт. ИА "Альянс Медиа" по материалам РИА "Новости" |