Мы с вами в прошлом посте разобрались как выбрать удобную банковскую карту для заграничных путешествий , настало время позаботиться про безопасное её использование.
Для написания этого поста я проконсультировался со своим приятелем, который является специалистом по информационной безопасности в одном из российских банков. Далее, его ответы на мои вопросы.
Безопасно ли хранить деньги на банковской карте?
Хранить деньги на счёте в банке - это в разы безопаснее, чем хранить их дома, на это есть ряд причин. Во-первых, все вклады страхуются государством (АСВ). Во-вторых, любой банк имеет средства и возможности мониторить и контролировать свою безопасность, это как бы его одна из задач. В-третьих, банк кроме обязательной страховки через АСВ, имеет дополнительную страховку на тот случай если происходит кража средств с клиентских счетов и прочие форс-мажор обстоятельства.
Любое мелкое хулиганство (у каждого банка суммы разные, но примерно 3 000 000 рублей на один счет), проходит совершенно незаметно для пользователей, так как все покроет страховая. Информация про такую мелочовку никогда не выходит за пределы банка, ведь проще возместить ущерб клиенту, чем иметь репутационные риски.
Стоит ли бояться хакеров в Интернете, не взломают ли они мой счет?
На заре Интернета хакеры были совершенно иными, они скорее всего были идейными и занимались всякой ерундой. Сегодня, серьезные хакеры либо работают на правительства разных стран (это уже бывшие хакеры), либо занимаются крупным IT криминалом. И первым и вторым ваши копейки на карточном счете попросту не интересны, у них цели более масштабные. В то время как банковская система имеет от вторых регулярные атаки.
У безопасников есть такое понятие, «профиль атакующего», т.е. следует чётко понимать кто охотиться за вашими деньгами/информацией. Соответственно, когда вы подробно опишете как может выглядеть ваш оппонент, тогда и будет понятно какая защита вам потребуется.
Я бы не стал сгущать краски, так как для рядового пользователя банка, основную угрозу представляют обычные «школьники» и мелкое жульё с сайтов объявлений. Боятся их не стоит, но с этой публикой следует быть внимательным и осторожным.
Как обезопасить свою банковскую карту?
Ваша банковская карта и так имеет очень хорошую систему защиты, тут беспокоится не стоит. Самое слабое звено в цепочке: клиент -> банковская карта -> банкомат/терминал в магазине -> банк. Конечно же сам клиент. Как я уже говорил ранее, всё банковское железо и софт регулярно проходят стресс тесты по безопасности и регулярно модернизируются, а вот клиенты такие тесты не проходит и каждый раз наступают на одни и те же грабли.
Вот самые регулярные провалы клиентов (мировая статистика):
- утеря карты на которой написан ПИН код - регулярная ситуация, все знают что писать ПИН код на карте не надо, но все равно пишут;
- владелец карты сообщает третьим лицам данные с карты (включая код CVV) - обычно эти данные из доверчивых пользователей вытягивают всякие проходимцы с сайтов бесплатных объявлений и им подобным;
- владелец карты сам сообщает ПИН код карты - случаев когда вместо секретного слова (вы его придумываете при оформлении карты), люди при общении с сотрудником колл-центра называют свой ПИН очень много. Стоит помнить, что никогда работники банка не спросят ваш ПИН код;
- добровольное перечисление средств - стандартному обману по технологии «Нигерийские письма» миллион лет, но народ всё равно на них попадается, а как вам SMSки в которых номер вашей карты вдруг выиграл миллион (мне они тоже часто приходят).
Как видите, самые актуальные способы воровства ваших денег с банковских карт имеют понятную природу, и я бы сказал, что тут работает «Социальная инженерия», а не технические способы и навыки.
Как безопасно платить с помощью банковской карты?
Как вы уже убедились, самое слабое звено это сам владелец карты. Тем не менее, следует учитывать факт новых технологий (как пример, бесконтактная система оплаты) к которым не все пользователи ещё привыкли, но всё же при соблюдении базовой грамотности пользоваться банковскими картами безопасно.
Вот несколько простых советов, которые сведут к минимуму вероятность воровства с вашей карты:
Прикрывайте ладонью клавиатуру - при вводе ПИН кода старайтесь прикрыть клавиатуру терминала/банкомата ладонью. Скиммеры постепенно уходят в прошлое, но еще встречаются, так что не облегчайте жуликам их работу.
Не «светите» своей картой в интернете - старайтесь как можно меньше указывать данные вашей карты в сети, не стоит «светить» даже номер карты. Помните, чем больше данных с вашей карты вы указали, тем более вы уязвимы.
Используйте виртуальную карту - если вы покупаете в непроверенном интернет магазине, то лучшим решением будет расплатиться с помощью виртуальной карты. Все чем вы рискуете - это средствами на ней, так как сразу после оплаты карта становится недействительной. Такую карту можно выпустить онлайн, прямо их админки Интернет банка (не у всех банков это возможно).
Используйте несколько карт - одна карта для интернет покупок, вторая карта для зарплаты, третья для путешествий и т.д.
Не храните большие суммы на карточном счете - это самое действенный метод, который редко кто использует, но он на 100% обезопасит ваши финансы. Сегодня, онлайн банк есть у всех, пользоваться им можно с любого смартфона, так что не ленитесь и храните основные деньги на отдельном счёте, который не привязан к карте. В момент похода за дорогостоящими подарками, переводите нужную сумму с основного счёта на карточный счет.
Устанавливайте лимиты - установите дневной лимит, это действенный способ помешать жуликам слить с вашего пластика всё под ноль.
Подключите услугу 3D Secure - услуга отлично помогает верифицировать держателя карты при покупках в интернет магазинах. 3D Secure - это ещё один заслон от мелких интернет хулиганов и всякой школоты. Суть проста, при оплате картой, вам приходит SMSка с кодом подтверждения.
Контролируйте состояние всех операций в режиме онлайн - включите SMS информирование и при любой непонятной транзакции звоните в банк и блокируйте карту (то же самое можно сделать через интернет банк).
Что делать если с банковской карты списали средства без моего ведома?
Первое что следует сделать - успокоится. :) Но сильно расслабляться всё же не стоит, а следует как можно быстрее обратиться в свой банк и описать суть проблемы.
Тут следует понимать как работает вся система в целом, большинство клиентов про это не знает и сразу же начинают паниковать.
К примеру, вы находитесь в своём московском офисе и тут вам прилетает SMSка, что в далеком Бангкоке с помощью вашей карты была осуществлена дорогая покупка. Вроде бы самое время паниковать и рвать на всех частях тела волосы, а вот и нет.
Дело в том, что как только происходит какая-либо операция, то ваши средства никуда не деваются, они просто «морозятся». Вы естественно к ним уже доступа не имеете, но банк имеет. Деньги могут «морозится» на очень длительный срок (10 дней для банкомата, 45 дней для всех остальных терминалов).
Но это происходит не просто так, а в ожидании от мерчанта (интернет магазина, гостиницы и т.д.) документов, которые подтверждают на каких основаниях для него была заморожена ваша сумма. Как правило, мерчант предоставляет в МПС (Международная Платежная Система) документы в течение нескольких дней и платеж проходит, если документы от него не получены, то средства «размораживаются» и возвращаются.
Так вот знаю эту схему работы, вы приходите в офис своего банка (в некоторых случаях всё можно решить по телефону) и как правило вопрос решается в вашу пользу (тут могут быть разные ситуации). Часто подобные заявления и расследования - это платная услуга, про это стоит помнить. После возврата средств вам на счет, могут прийти документы от МПС, но это уже банк с ним сам разрулит (ситуация откатанная и не является чем то новым). В итоге, все довольны и счастливы.
Безопасного вам интернет банкинга.
3d-secure — технология защиты банковских платежей нового поколения, с использованием безопасного алгоритма шифрования. По сути является XML-протоколом для дополнительного уровня безопасности проведения онлайн платежей по кредитным и дебетовым картам на сайте. Была впервые внедрена такой крупной платежной системой как Visa. Часто на крупных интернет площадках можно встретить логотип «Verified by Visa «. В последствии к данной технологии присоединились такие крупные игроки как: American Express, MasterCard, Union Pay и др. Давайте разберем, для чего нужна технология 3d Secure, сколько она стоит, и как ее подключить для платежей в Сбербанке.
3-d secure двух-факторная аутентификация — общее представление
Как было описано выше, это протокол безопасности при покупках в сети по картам онлайн. Реализуется данный механизм путем обмена данными между 4 узлами связи. С одной стороны клиент, держатель карты, со второй, продавец товара или услуги, с третьей, эмитент (Visa или MasterCard), с четвертой, эквайер — обслуживающий продавца банк. Раньше при покупке в сети по карте, было не обязательно физически ей обладать, т.е. владелец мог забыть ее дома. Для успешной покупки, достаточно было ввести данные (номер и срок действия карты, CVC или CVV2 код, Ф.И.О, пароль. По сути злоумышленник, зная эти данные, мог осуществить кражу средств. Сейчас же, для доступа к вашим финансам необходим еще телефон.
С внедрением в Сбербанке технологии 3-d Secure
для Visa или SecureCode
для MasterCard, покупки в сети становятся еще более безопасными. После ввода всех личных данных на сайте продавца, происходит редирект на сайт Сбербанка. Одновременно с этим, на телефон держателя карты приходит пароль 3d-Secure. В случае успешного и своевременного ввода этого пароля, вы автоматически возвращаетесь на сайт продавца и транзакция одобряется банком и платежной системой. Безопасность заключается еще и в том, что данный код 3d secure не знают сами сотрудники сбербанка. Этот 6-значный пароль генерируется сервером, и имеет определенный срок жизни, после чего становится недействительным.
Как узнать, подключена технология защиты 3d secure или нет
В настоящий момент сбербанк по умолчанию подключает всех своих клиентов, обладателей кредитных и дебетовых карт, к защите по паролю 3d secure посредством SMS. Сделано это для обеспечения повышенной безопасности, при осуществлении покупок в сети. Пару лет назад к данной двух-факторной аутентификации можно было подключиться, написав соответствующее заявление.
Сейчас, при отключенном мобильном банке, функция 3d secure недоступна. В сети часто можно встретить упоминания, что, для получения одноразовых паролей для оплаты, можно запросить их в банкомате, распечатав чек. На сегодняшний день эта услуга для пользователей уже не доступна. Единственный оптимальный вариант — это подключение мобильного банка (полный или экономный пакет). Отличие экономного пакета лишь в том, что после оплаты, не будет подтверждения от сбербанка смс сообщением.
Подключаем полный пакет мобильного банка по телефону
- Вводим слово «Полный » в смс сообщении на телефоне, привязанному к карте;
- Отправляем сообщение на номер 900 ;
- В ответ придет СМС с содержанием «Для смены тарифного плана на «Полный » для карт «VISA####» отправьте код «#####».
- Вводим данный код из смс;
- Получаем ответное СМС с подтверждением подключенной услуги.
Теперь, при проведении оплаты на сайте продавца, должны приходить безопасные смс пароли.
Услуга 3d secure
для клиентов совершенно бесплатна, но для сбербанка этот механизм стоит достаточно дорого. Немалые деньги вкладываются в обеспечение безопасности своих клиентов.
Как оплатить товар или услугу: подробная инструкция
Для оплаты по 3d-secure необходимо:
- наличие карты;
- сайт продавца должен быть подключен к системе «Verified by Visa » и/или «MasterCard SecureCode «.
- мобильный банк должен быть активен;
- наличие телефона привязанного к карте.
Итак, переходим на сайт продавца, где нам необходимо произвести оплату.
Внимание!
При отсутствии подключенной услуги «Мобильный банк», метод аутентификации «Verified by Visa» недоступен, и в проведении платежа может быть отказано.
Можно ли отключить 3d-secure
Сбербанк, как и многие другие крупные банки, не позволяет отключать услугу повышенной защиты средств при оплате. Она по умолчанию подключена держателю карты. Но в сети еще много сайтов без 3ds, соответственно, код безопасности вам не придет. Представьте себе ситуацию, когда вы совершаете покупку в интернете, вам достаточно ввести только данные вашей карты, сумму и пароль. Мошеннику, зная все эти данные, также не составит труда воспользоваться ими, и совершить покупку в интернете или осуществить перевод. С точки зрения ответственности, банк в данном случае выполнил свои обязательства перед клиентом. А значит, вернуть похищенные средства с карты сбербанка, будет очень проблематично.
Безопасны ли на 100% платежи с использованием двух-факторной защиты
Конечно же нет. гарантий здесь быть не может. Технологии не стоят на месте, да и пользователи не всегда отдают должное внимание к безопасности при покупках. Пароли и доступ к мобильному может быть утерян. Также данные могут быть перехвачены по сети. В этих целях сбербанком были выработаны некоторые рекомендации для уменьшения рисков утери личных финансов.
- Клиенту необходимо в тайне держать свою личную информацию;
- Не сохранять пароли, номера кредиток на сайтах при покупке;
- Желательно устанавливать лимиты на расходные операции в сбербанк онлайне;
- Телефон привязанный к карте также необходимо держать в надежном месте, лишний раз не передавать номер в сообщениях и на сайтах;
- Включать автоблокировку телефона;
- Желательно часто менять пин-код к карточке и к личному кабинету Сбербанка Онлайн»;
- При компрометации личных данных необходимо заблокировать кредитку, сменить пароли, позвонить в службу поддержки сбербанка для консультации по безопасности.
Видео: основы безопасности при оплате в сети
Основные угрозы для онлайн-операций
Несмотря на защищенность систем интернет-банкингов и онлайн-магазинов - используются такие методы защиты, как двойная аутентификация, системы одноразовых динамических SMS-паролей, дополнительные список одноразовых паролей или аппаратные ключи, защищенное протоколом SSL-соединение и так далее - современные методы атак позволяют обходить даже самые надежные защитные механизмы.
На сегодня у злоумышленников можно выделить три наиболее распространенных подхода для атаки на финансовые данные интернет-пользователей:
Заражение компьютера жертвы троянским программами (кейлоггеры, скринлоггеры и т.д.), использующими для перехвата вводимых данных;
- использование методов социальной инженерии - фишинговые атаки через электронную почту, веб-сайты, социальные сети и т.д;
- технологические атаки (сниффинг, подмена DNS/Proxy-серверов, подмена сертификатов и т.д.).
Как защитить интернет-банкинг?
Пользователь не должен надеяться только на банк, а использовать защитные программы для усиления безопасности электронных платежей в Интернете.
Современные решения Internet Security помимо функций антивируса предлагают инструменты безопасных платежей (изолированные виртуальные среды для онлайн-операций), а также сканер уязвимостей, веб-защиту с проверкой ссылок, блокировку вредоносных скриптов и всплывающих окон, защиту данных от перехвата (антикейлоггеры), виртуальную клавиатуру.
Среди комплексных решений с отдельной функцией защиты онлайн-платежей можно выделить Kaspersky Internet Security и компонент "Безопасные платежи", avast! Internet Security с avast! SafeZone и Bitdefender Internet Security с Bitdefender Safepay. Данные продукты позволяют не беспокоиться о дополнительной защите.
Если у вас другой антивирус, можно присмотреться к средствам дополнительной защиты. Среди них: Bitdefender Safepay (изолированный веб-браузер), Trusteer Rapport и HitmanPro.Alert для защиты браузера от атак, плагины и приложения Netcraft Extension , McAfee SiteAdvisor , Adguard для защиты от фишинга.
Не стоит забывать о фаерволе и VPN-клиенте, если приходится выполнять финансовые операции при подключении к открытым беспроводным Wi-Fi сетям в общественных местах. Например, CyberGhost VPN использует шифрование трафика AES 256-bit, что исключает использование данных злоумышленником, даже в случае перехвата.
А какие методы защиты онлайн-платежей используете вы? Поделитесь своим опытом в комментариях.
Нашли опечатку? Выделите и нажмите Ctrl + Enter
По утверждениям экспертов, основная и самая главная угроза, подстерегающая любого пользователя Интернет-банкинга – это риск мошеннического взлома и несанкционированного доступа к средствам на счете. «Единственной существенной опасностью, которая может подстерегать пользователей этих систем, является риск противоправного завладения их денежными средствами злоумышленниками, с использованием возможностей систем «Интернет-банкинга», впрочем, как и любых иных типов систем дистанционного обслуживания», - рассказывает Егор Изотов, начальник отдела информационно-технической защиты Пивденкомбанка.А потому банки стараются использовать различные системы и механизмы, призванные если не гарантировать, то, по крайней мере, повысить безопасность использования онлайн банкинга.
Шифрование данных
На сегодня уже всеми или почти всеми банками, предоставляющими услугу Интернет-банкинга, применяется SSL-шифрование данных, передаваемых от компьютера пользователя в систему банка и обратно. Эта мера безопасности позволяет исключить распространенный ранее вид мошенничества. «Раньше часто использовалась схема «man in the middle»: данные о платеже перехватываются на этапе, когда они отправлены от клиента, но еще не дошли в банк. Мошенник меняет данные и только после этого отправляет их в банк», - рассказывает Борис Косяков, начальник управления информационной безопасности Астра Банка.
Чтобы воспользоваться всеми преимуществами защищенной передачи данных, следует соблюдать элементарные меры безопасности в Интернете – не реагировать на подозрительные сообщения (полученные якобы от вашего банка) и не переходить по неизвестным ссылкам.
Одноразовые пароли, получаемые в банкомате
При такой системе защиты, кроме обычного логина и пароля, для входа в систему и подтверждения операций пользователь должен ввести одноразовый пароль, список которых он может получить в банкомате своего банка.
С точки зрения безопасности такая система имеет преимущество – чтобы совершать операции по карточному счету через интернет-банкинг, лицо должно как минимум иметь в наличии непосредственно саму карту, а также знать ПИН-код, чтобы получить список паролей в банкомате.
Вместе с тем нельзя не отметить ряд недостатков такой системы защиты. Во-первых, список паролей, распечатанный в виде чека из банкомата, вам придется хранить для подтверждения будущих операций. А это значит, что если вы случайно потеряете или выбросите чек (или просто используете все пароли), вам придется идти за новым. Зачастую список паролей можно получить далеко не в каждом банкомате банка, и вполне вероятно, что вам придется ехать за ним на другой конец города. К тому же, списком могут завладеть злоумышленники.
Если ваша система интернет-банкинга предусматривает использование списка одноразовых паролей, постарайтесь придерживаться простых правил. Во-первых, не выбрасывайте список паролей и по возможности старайтесь его не терять. Во-вторых, не храните список одноразовых паролей вместе с логином и паролем от вашей учетной записи. Последний вовсе не рекомендуется записывать, лучше запомнить.
Одноразовые СМС-пароли
Этот способ аутентификации пользователя в системе интернет-банкинга является едва ли не самым распространенным в предложениях украинских банков. При такой системе каждая операция, которую вы совершаете с помощью онлайн банкинга, должна быть подтверждена одноразовым паролем, который вы получите в СМС-сообщении на ваш мобильный телефон. При этом ваш мобильный номер должен быть «привязан» к номеру счета.
Такая система имеет ряд преимуществ. Во-первых, она достаточно проста в использовании – вам не нужно специальное оборудование, а процедура подтверждения операции занимает всего пару минут. Во-вторых, она позволяет обезопасить вашу учетную запись от использования злоумышленниками – даже если мошенникам станет известен ваш логин и пароль для входа в систему, они не получат доступ к вашим деньгам, а вы узнаете о попытке провести несанкционированную операцию из СМС-сообщения. Кроме этого, вам не нужно хранить список одноразовых паролей, а значит, вы не сможете его потерять, и у вас его не украдут.
На этом преимущества системы заканчиваются. Действительно, злоумышленникам довольно сложно завладеть одноразовым паролем, действующим в течение короткого времени. Если только они не завладели вашим мобильным телефоном. И совсем бесполезной система будет в том случае, если вы пользуетесь интернет-банкингом с мобильного телефона и сохраняете пароли в браузере. Тогда, украв у вас телефон, мошенник получит ваш счет в полное распоряжение.
Если ваш банк использует аутентификацию пользователя по СМС, постарайтесь придерживаться таких правил:
* не пользуйтесь Интернет-банкингом с мобильного телефона;
* не сохраняйте пароль от учетной записи в браузере;
* в случае потери или кражи мобильного телефона – немедленно обратитесь в банк с просьбой заблокировать вашу учетную запись Интернет-банкинга.
Электронная цифровая подпись (ЭЦП)
Этот механизм чаще используется при обслуживании банками компаний, но иногда его предлагают и индивидуальным клиентам. Плюс ЭЦП в том, что она позволяет однозначно идентифицировать пользователя. Недостаток же заключается в том, что ЭЦП также может быть уязвима для мошенников. Злоумышленники могут добраться до ключа от вашей цифровой подписи, заразив ваш компьютер вредоносным программным обеспечением. «Существуют «трояны», умеющие находить и красть на зараженном компьютере аутентификационные данные (идентификаторы, пароли и даже ключи ЭЦП) пользователей для доступа к различным сервисам (в том числе и серверам удаленного обслуживания клиентов банков)», - рассказывает Борис Косяков.
Если для подтверждения ваших финансовых операций через интернет вы используете ЭЦП, не забывайте пользоваться антивирусными программами и регулярно проверять ваш компьютер на предмет заражения компьютерными вирусами. Также эксперты не советуют оставлять ключ ЭЦП подключенным к компьютеру, если вы его не используете.
Внешние электронные устройства
Некоторые банки предлагают пользователям онлайн банкинга приобрести (или взять в аренду) специальное устройство – генератор одноразовых паролей. Генератор подключается к компьютеру через usb-порт и не требует специального программного обеспечения.
Другие учреждения предлагают использовать внешний электронный ключ, который генерируется при первом подключении к системе Интернет-банкинга, записывается на внешний носитель и затем используется при проведении операций в системе.
Такие системы, по сути, являются упрощенной версией ЭЦП. Среди недостатков их можно выделить то, что вы не сможете получить доступ к своему счету, не имея под рукой «ключа», а всегда носить его с собой может быть не очень удобно и безопасно.
Помимо перечисленного выше, банки зачастую применяют дополнительные меры для обеспечения безопасного пользования интернет-банкингом:
* ограничение использования личного сертификата – система некоторых банков позволяет использовать электронный ключ (электронный сертификат) только на том компьютере, на котором он был сгенерирован. Таким образом, осуществлять платежи через Интернет-банкинг вы сможете только со своего личного компьютера (хотя просматривать выписки по счету можно и на других устройствах);
* виртуальная клавиатура – предназначена для того, чтобы мошенники не могли «считать» ваши регистрационные данные при вводе их с обычной клавиатуры с помощью компьютерных вирусов («троянов»);
* ограничение длительности сессии – в случае неактивности пользователя, сессия в системе Интернет-банкинга через определенное время (обычно 10-15 минут) будет закрыта. После этого для возобновления работы потребуется заново пройти аутентификацию;
* история подключений – с помощью этой функции пользователь Интернет-банкинга узнает, если кто-то кроме него подключался к системе, а также сможет отследить все несанкционированные операции, если они были произведены.
Многое зависит от пользователя
Эксперты отмечают, что чаще всего причиной мошеннического доступа к счету пользователя Интернет-банкинга является невнимательность и неосторожность самого пользователя. А потому, чтобы избежать возможных проблем, владельцу учетной записи следует беречь данные доступа к ней. Во-первых, эксперты советуют периодически изменять пароли для доступа в систему, желательно делать это раз в месяц и не использовать Интернет-банкинг на непроверенных компьютерах (например, в Интернет-кафе).
Помимо этого, следует соблюдать осторожность при работе в Интернете. «Мошенники широко используют приемы «социальной инженерии» для того, чтобы выманить аутентификационные данные (логин, пароль и т.д.) клиентов. Наиболее старый метод – «фишинговые» письма электронной почты, которые провоцируют получателей отправить свои аутентификационные данные злоумышленникам или предлагают пройти по ссылке на мошеннический сайт. С ростом популярности социальных сетей («Одноклассники», Twitter, Facebook) мошенники тут же начали использовать для «фишинга» сообщения социальных сетей. Также злоумышленники создают подложные копии сайтов для Интернет-банкинга с именами, очень похожими на настоящие», - поясняет Борис Косяков. И если вы введете на таком сайте данные своей учетной записи, то они тут же попадут в руки к мошенникам.
Если у вас возникли опасения, что мошенники получили доступ к вашему счету через Интернет-банкинг, эксперты советуют предпринять следующие действия:
* отключить компьютер от Интернета;
* обратиться в контакт-центр (а при необходимости – в отделение) вашего банка, изложить проблему и попросить заблокировать вашу учетную запись;
* проверить компьютер на предмет заражения вредоносным программным обеспечением;
* возобновить работу с системой онлайн банкинга только тогда, когда вы убедились, что угроза отсутствует;
* сменить пароль от учетной записи.
Если ваши подозрения оправдались, и со счета были списаны несанкционированные вами платежи, следует составить заявление о произошедшем в банк и в правоохранительные органы. В этом случае не рекомендуется совершать никаких действий на вашем компьютере (устанавливать или удалять программное обеспечение и т.п.) до прибытия сотрудников правоохранительных органов или специалистов банка, поскольку любые изменения могут помешать расследованию инцидента.
Другие опасности
Помимо риска мошеннического взлома, пользователь Интернет-банкинга подвергается и другим угрозам. Например, нежелательное списание средств через Интернет-банкинг может произойти, если пользователь сам неправильно ввел данные для отправки денег.
«Если клиент при отправке платежа через Интернет-банкинг допустил ошибку в номере счёта, то процедура возврата такого платежа ничем не отличается, как если бы платёж был отправлен при посещении отделения банка. Увидев, что платеж в системе Интернет-банкинга отправлен ошибочно, клиент должен уведомить об этом свой банк», - комментирует Юлия Морозова, директор департамента развития карточного бизнеса VAB Банка.
Эксперты отмечают, что успешность исправления такой ошибки в первую очередь зависит от скорости реакции на нее самого пострадавшего. Если ваши средства еще не были отправлены в банк получателя, то вы получите их назад почти сразу. Если платеж уже поступил в другой банк – то придется немного подождать. «Если деньги были отправлены в другой банк на счет юридического лица, то в связи с тем, что остальные реквизиты не соответствуют счету, деньги будут возвращены в течение трех дней либо на основании заявления», - рассказывает Ростислав Божко, ведущий специалист управления альтернативной дистрибуции МАРФИН БАНКА. Впрочем, возврат средств может затянуться и на более длительный срок. «Точные сроки возврата в данном случае будут зависеть от банка получателя. То есть, как только банк-получатель вернет средства банку-отправителю, средства будут зачислены на счет клиента», - поясняет Юлия Морозова.
Впрочем, Интернет-банкинг не застрахован и от других рисков, к возникновению которых люди не причастны. Например, если во время проведения операции возникнет технический сбой. Эксперты уверяют, что такой риск не несет большой угрозы для владельца счета. «Системы Интернет-банкинга, как, и любые иные современные системы обработки данных, устроены таким образом, что в случае технического или программного сбоя в процессе транзакции документ просто не будет принят банком», - рассказывает Егор Изотов. Но даже если неверная операция все же была проведена – стоит сразу же обратиться в банк для исправления ошибки. «Если при осуществлении перевода произойдет сбой в транзакции, то о таком сбое достаточно проинформировать банк и средства будут возвращены на счет в кратчайшие сроки», - уверяет Ростислав Божко.
В то же время, пользователь Интернет-банкинга может столкнуться и с гораздо белее неприятной ситуацией. Так, по сообщениям в СМИ, клиент одного из российских банков в начале 2009 года попал в неприятную историю, когда одноразовые пароли на подтверждение платежей в системе Интернет-банкинга присылались не на его, а на чужой номер мобильного телефона. В результате, мошенниками со счета были списаны крупные суммы денег. Пострадавший уверен, что в инциденте замешаны сотрудники банка, ведь только они могли не просто сообщить злоумышленникам регистрационные данные (логин и пароль от учетной записи), но и отправлять им разовые пароли.
Опыт пострадавшего в этой ситуации показывает, что доказать что-то в таких обстоятельствах довольно сложно. Скорее всего, придется обращаться в суд, а его решение будет во многом зависеть от содержания договора, подписанного с банком. Впрочем, эксперты отмечают, что такого вида мошенничество не связано напрямую с использованием Интернет-банкинга, ведь в присутствии недобросовестного сотрудника мошенники могли с таким же успехом оформить поддельное платежное поручение.
Мнение
Юлия Морозова, директор департамента развития карточного бизнеса VAB Банка
Для предоставления качественных услуг своим клиентам банки сегодня обеспечивают наивысший уровень защиты передачи данных. Используются web-сервис с сертификатом безопасности https://, есть требования к паролю для входа в систему. Для подтверждения проведения каждой операции запрашивается введение одноразового пароля. В системе внедрена генерация ключей электронной цифровой подписи. При нескольких неудачных попытках регистрации в системе учетная запись автоматически блокируется.
Для исключения перехвата конфиденциальных данных вирусными программами советуем пользоваться виртуальной клавиатурой при наборе логина и пароля.
Ростислав Божко, ведущий специалист управления альтернативной дистрибуции МАРФИН БАНК
* использовать антивирусное программное обеспечение и межсетевые экраны (файрволы), известных производителей
* ограничивать доступ к компьютерам, с которых ведется работа с системой Интернет-банкинг, посторонним лицам;
* не работать на компьютере, с которого выполняется работа с системой Интернет-банкинг, с правами системного администратора;
* не использовать для работы в сети Интернет и в системе Интернет-банкинг не проверенные компьютеры (например, в Интернет-кафе), на которых может быть установлено вредоносное программное обеспечение.
Борис Косяков, начальник управления информационной безопасности Астра Банка
Что делать клиенту, если его учетную запись взломали?
В первую очередь нужно отключить взломанный (зараженный) компьютер от сети и сообщить об этом в банк, чтобы заблокировать учетную запись клиента для предотвращения мошенничества.
Обеспечить сохранность всех необходимых данных для дальнейшего расследования – ничего не изменять на взломанном (зараженном) компьютере.
Для расследования привлекать квалифицированных специалистов (из банка или специализированных фирм). Только квалифицированное расследование и выяснение причины поможет избежать подобных инцидентов в дальнейшем.
Егор Изотов, начальник отдела информационно-технической защиты Пивденкомбанка
Практика показала, что злоумышленники чаще всего не пытаются взламывать компьютерные сети банков, а захватывают управление компьютерами клиентов, и, получая доступ к ключам электронно-цифровой подписи и паролям доступа, осуществляют платежи от их имени.
Следовательно, достаточно надежная схема безопасности должна решать следующий минимальный набор задач:
1. Создание безопасной, доверенной и неизменной среды функционирования системы дистанционного обслуживания на стороне клиента банка. Никакие изменения в рабочем коде среды и ее настройках, возникшие в процессе функционирования системы, не должны сохраняться при выключении системы. В этом случае, даже если злоумышленник и получит каким-то образом удаленный доступ к этой среде в процессе ее функционирования, он не сможет завладеть ею на постоянной основе;
2. Создание защищенного от несанкционированного доступа канала передачи информации между клиентом и банком;
3. Обеспечение условий, не допускающих хищение ключей и паролей, применяемых для работы в системе дистанционного обслуживания.
Этим критериям соответствует специальный компьютер, виртуальный, получаемый путем загрузки со специального неизменяемого системного носителя, или «обычный», но, в любом случае – узкоспециализированный, решающий только одну-единственную задачу: обеспечение работы системы дистанционного обслуживания. Такие решения, в разработке которых довелось принимать участие специалистам нашего банка, уже существуют, к сожалению – не на Украине.
Анджей Олейник, директор по маркетингу и развитию продуктов Platinum Bank
Банки прилагают максимум усилий для того, чтобы технические средства системы Интернет-банкинга защищали денежные средства и финансовую информацию пользователей от злоумышленников. Конечно, все эти сложные и дорогие системы наиболее эффективно работают в комплексе с ответственным и внимательным отношением пользователя к своим паролям, ключам электронно-цифровой подписи и другим средствам защиты, предлагаемым банками. Мы рекомендуем соблюдать несколько простых правил безопасности, которые обеспечат секретность личных данных клиента и сохранность его денег:
* никому не сообщать свой пароль. Сотрудники банка никогда, ни при каких обстоятельствах не запрашивают пароли пользователей;
* не сохранять ключ электронно-цифровой подписи на чужих компьютерах;
* избегать проведения платежей или смены паролей с компьютеров, к которым имеет доступ множество людей (компьютеры в интернет-клубах, залах ожидания на вокзалах, аэропортах и т.п.);
* если пользователю показалось, что кто-то подсмотрел его пароль, необходимо сразу уведомить банк и заблокировать доступ в систему;
* если клиенту все же не удалось обеспечить секретность своих данных, первое что он должен сделать - это проинформировать банк о случившемся. Банк заблокирует доступ пользователя в систему и счета клиента, чтобы избежать финансовых потерь. Клиенту будет необходимо составить заявление, в котором он укажет обстоятельства случившегося. Расследование таких событий проводит служба безопасности банка совместно с правоохранительными органами.
Распространенность интернет-банкинга и пластиковых карт среди населения, сделала данную сферу привлекательной для мошенников. Количество клиентов банков, пострадавших от злоумышленников, постоянно увеличивается. Для того чтобы изменить тенденцию, «Сбербанк» применяет на своих пластиковых продуктах специальную технологию защиты – 3D Secure.
Предназначение технологии
Сегодня существует большое количество интернет-площадок, занимающихся торговлей. Для расчета в них используются пластиковые карты. Многие мошенники пользуются незащищенностью таких площадок, воруя средства лиц, осуществляющих покупки. Для предотвращения подобного была создана система 3D-Secure.
Первоначально она была разработана компанией Visa и получила название – Verified by Visa. Немного позже подобная система была принята и платежной системой MasterCard. Несмотря на то что технология была создана относительно давно, современные российские банки очень медленно внедряют ее на отечественном финансовом рынке. Одним из предприятий, подключающих своих клиентов к данной технологии, является «Сбербанк».
Суть 3D Secure заключается в использовании специальных кодов, доступных только владельцу пластика, которые необходимо использовать для произведения транзакций по карте. Без данной технологии покупателю в интернет-магазине необходимо только ввести следующие данные:
- фамилию, имя;
- номер пластика (дебетового либо кредитного);
- период действия используемой банковской карты;
- код CVV (находится на тыльной стороне пластика).
В обычной ситуации этих данных достаточно для свершения покупки. В случае если к пластику подключена технология 3D-Secure, его владелец будет перенаправлен на страницу «Сбербанка», где перед свершением покупки он пройдет 3DS аутентификацию «Сбербанка». Что это, и как пройти данную процедуру?
После перенаправления владелец пластика получит на телефон специальный код, который необходимо ввести в соответственное поле на сайте. Если введен правильный код, покупка будет продолжена.
Повышает ли 3D Secure безопасность транзакций по карте
Как утверждают эксперты, внедрение технологии способно многократно повысить безопасность денежных переводов. Подобное достигается за счет того, что номер телефона, на который приходит сообщение, имеется только у сотрудников банка. Продавцы торговых площадок не имеют доступа к подобной информации. Кроме того, количество кодов ограничено, каждый из них действителен лишь на протяжении 10 минут. Благодаря этому, защита денежных операций действительно повышается.
При подключенном мобильном банке, код будет выслан сообщением на номер, подкрепленный к пластику. Таким образом, можно быстро его ввести и свершить безопасную покупку. Чтобы украсть средства, мошеннику понадобиться не только пластик, но и телефон его владельца. Ранее список кодов можно было распечатать в банкомате, однако сегодня финансовое учреждение отказалось от такой практики.
Для проведения операции используются три домена (с чем и связана часть 3D в названии технологии). Это домен:
- Банка, который обслуживает интернет-площадку.
- Банка, который обслуживает конкретного покупателя.
- Платежной системы, к которой относится пластик.
Несмотря на такие меры предосторожности, внедрение технологии сопровождается большими затратами. Часть из них возлагается на торговые площадки. Далеко не все интернет-магазины подключены к данной технологии. В случае ее отсутствия, картой с подключенной защитой либо не удастся воспользоваться, либо будет отсутствовать процесс аутентификации владельца. Злоумышленники, раздобыв необходимую информацию, могут использовать данную лазейку для мошенничества.
Поэтому, хотя система и позволяет повысить безопасность платежей, она не является стопроцентным гарантом сохранности средств клиента банка. В связи с этим рекомендуется пользоваться только проверенными интернет-площадками, которые подключены к данному сервису.
Подключение
Лица, которые оформили в «Сбербанке» пластик относительно недавно, могут не беспокоиться о подключении технологии к своему карточному продукту. Сегодня финансовое учреждение автоматически внедряет сервис на все карты класса Classic и выше. Если же карточка была получена давно, еще до использования 3D Secure либо пластик относится к начальным видам карточных продуктов, производить активацию придется самостоятельно.
Есть два способа, как подключить 3D Secure. «Сбербанк» позволяет сделать это:
- Путем личного визита в одно из отделений. Необходимо обратиться к сотруднику финансового учреждения с соответственной просьбой и подать письменное заявление о подключении пластика к защите.
- Дистанционно. Можно воспользоваться интернет-банкингом «Сбербанка» и активировать технологию самостоятельно.
Технология дорогостоящая. Банкам приходится тратить большие средства на ее внедрение. Она не является обязательной и используется только в случае желания самого финансового учреждения. Несмотря на это, подключение к защите не сопровождается взысканием средств с клиента. Для владельцев пластиков оно бесплатно. Плата также не взимается при использовании технологии.
Следует отметить, что отключить технологию после ее активации невозможно. Она направлена на защиту интересов владельцев пластиков и их средств, хранящихся в «Сбербанке». Финансовое учреждение заинтересовано в сохранении средств его клиентов, поэтому сотрудники «Сбербанка» не дадут владельцу карты отключить 3D-Secure. Подобная возможность просто не предусмотрена.
Преимущества защиты
Чтобы внедрить технологию, необходимо потратить значительные суммы. Несмотря на это, финансовые учреждения, в том числе и «Сбербанк», идут на подобный шаг. Делается это не только ради безопасности уже существующих клиентов, но и для привлечения новых граждан к сотрудничеству. Чем больше клиентов пользуется пластиками «Сбербанка», тем выше суммарный доход финансового учреждения.
Что такое 3D Secure на банковской карте «Сберабанка» для клиентов данного учреждения? В первую очередь, это возможность повысить надежность покупок в интернете. После подключения к технологии значительно уменьшается шанс стать жертвой мошенников и потерять личные средства. Это главное преимущество системы 3D Secure. Кроме него, система также обладает следующими сильными сторонами:
- в ходе проведения платежа система проверяет как банк магазина, на счет в котором перечисляются средства, так и финансовое учреждение, выдавшее пластик;
- все данные, которые касаются карт, сохраняются на защищенном сервере «Сбербанка». В случае получения доступа к ним, полная ответственность за кражу средств возлагается на банк, а не на клиента;
- проверяется подлинность каждого перевода.
3D Secure - уникальная система защиты платежей в интернете с использованием специальных кодов подтверждения. Ее внедрение значительно повышает безопасность средств, которые хранятся на пластиках клиентов банка. Современные карточные продукты (выше начального уровня) автоматически подключаются к технологии. Если по какой-либо причине карта не подключена к «3D Secure», гражданин может обратиться в банк с соответственным заявлением либо воспользоваться интернет-банкингом. В «Сбербанке» подключение к технологии и ее использование является бесплатным.
Loading...