Опасная связь

Это тот самый случай, когда попытки сэкономить время до сих пор связаны с повышенным риском. Сетевые преступники не дремлют, банки не хотят отвечать за последствия, которые может повлечь использование их клиентами онлайновых сервисов, а законодательная база как всегда запаздывает.

В феврале 2006 года еженедельник Guardian сообщил: с помощью вредоносных программ «российские хакеры» увели более миллиона евро со счетов клиентов французских банков. Как отмечалось в статье, мошенники «устанавливали контроль над счетом своей жертвы в течение нескольких секунд, так что один из потерпевших лишился целых 40 тысяч евро». Следствие выявило, что пресловутая вредоносная программа распространялась через электронную почту и веб-ресурсы: после установки на компьютер скрипт лежал в анабиозе до тех пор, пока пользователь не обращался к своей онлайновой банковской учетной записи. В этот момент программа активизировалась, запоминала пароли и коды доступа, а после отправляла их злоумышленникам, которые переводили средства своих жертв на счета подставных компаний, так называемых «мулов», соглашавшихся на это за комиссионное вознаграждение от 5 до 10% и «не подозревавших», что их используют для транзакций похищенных средств.

Все мы знаем цену страшным рассказам о «русских хакерах», равно как и о «русской мафии», циркулирующим в западной прессе. Однако профессиональных мошенников в Сети и правда достаточно, так что трудно отделаться от черных мыслей, в очередной раз вводя пин-коды и пароли на сайте своего банка.

Считается, что онлайновый банкинг вскоре станет самой популярной формой финансового обслуживания. «Онлайновые услуги — это экономия времени и доступность для клиента, а также снижение затрат для самого банка. В современном обществе, когда время на вес золота, быстрота получения информации востребована как никогда, — утверждает Роман Харитонов, начальник управления автоматизации коммерческого банка «Московский капитал». — Банкам это интересно, поскольку снижает себестоимость услуги (в том числе за счет исключения человеческого фактора)».

По словам Андрея Котельникова, директора департамента розничного бизнеса Собинбанка, высокотехнологические процессы становятся неотъемлемой частью рынка, так что ни один динамично развивающийся банк, в задачи которого входит наращивание объемов реализации продуктов и увеличение клиентской базы, не может остаться в стороне.

К списку наиболее популярных онлайновых банковских сервисов, доступных в России, начальник управления маркетинга Московского кредитного банка Денис Кагане причисляет системы «клиент-банк», интернет-банкинг, службы поддержки на сайтах и возможности управления банковскими продуктами через Интернет (мгновенные платежи и формирование выписок по счетам). Не менее популярным становится и оформление банковских продуктов через Интернет. И все же, по оценкам Дениса Кагане, задачи интернет-банка часто ограничиваются использованием «платежной» функции — не хватает полноценных сервисов, ориентированных на рядовых пользователей: «Клиентам нужны инструменты управления средствами на счетах, возможности открывать, пролонгировать и пополнять счета, оплачивать коммунальные услуги непосредственно со счета банковской карты».

Любопытно, что столица быстро теряет лидирующие позиции на внутреннем рынке потребления таких сервисов. По мнению Романа Харитонова, регионы все более требовательны к «технологичности» банков, а в Новосибирске, Красноярске или Норильске спрос на такие услуги уже значительно выше, чем в Москве.

С каждым годом растет и число банков, предлагающих онлайновые сервисы, так что появились даже соответствующие рейтинги. Лидером в категории кредитных учреждений, активно использующих Интернет, по оценке Tata Infotech Group и журнала Global Finance, в середине ноября этого года был Райффайзенбанк. «Статистика показывает, что к системе подключаются в среднем 150 клиентов в день, в нее заходят до 15 000 человек, осуществляется порядка 500 активных операций. Интернет-банкинг пользуется все большей популярностью, — констатирует Йоханн Йонах, председатель правления «Райффайзенбанк Австрия». — Поэтому мы положительно оцениваем перспективы дальнейшего развития этого направления, особенно в связи с увеличивающимся числом клиентов в регионах. Ведь интернет-банкинг позволяет обслужить региональных клиентов и предоставить тот спектр услуг, который доступен и в отделениях».

Фишинг — компьютерное преступление, мошенничество, основанное на принципах социального инжиниринга. Злоумышленник создает практически точную копию сайта выбранного банка. Затем при помощи спам-технологий рассылается письмо, максимально похожее на настоящее. Используются логотипы банка, имена и фамилии реальных руководителей.

В таком письме, как правило, сообщается о том, что из-за смены программного обеспечения в системе интернет-банкинга пользователю необходимо подтвердить или изменить свои учетные данные. В качестве причины для изменения данных могут быть названы выход из строя ПО банка или же нападение хакеров.

Во всех случаях цель таких писем одна — заставить пользователя нажать на приведенную ссылку, а затем ввести свои конфиденциальные данные на ложном сайте банка.

В некоторых случаях злоумышленники размещают на подобных сайтах средства удаленной установки на компьютеры пользователей троянских программ. Появление в конце 2003 года экплойта «Уязвимости с подменой реального URL» привело к распространению новой разновидности фишинга, получившего название «спуфинг»: находясь на поддельном сайте, в строке ввода браузера атакуемый пользователь видит правильный, настоящий адрес.

Увы, благие начинания далеко не всегда осуществляются. По мнению Романа Харитонова, главным тормозом активного развития онлайновых банковских услуг в стране остаются пробелы в существующем законодательстве об электронной цифровой подписи (ЭЦП): «Из-за несогласованности действий проверяющих структур и требований закона банки не могут использовать ЭЦП правильно, и главное правомерно». Кроме того, участники рынка признают: развитие целого ряда сервисов, связанных с движением денежных средств между счетами, ограничивает и закон «О противодействии легализации доходов, полученных преступным путем, и финансированию терроризма» № 115-ФЗ.

Другая очевидная проблема — низкая культура самих пользователей. Большинство владельцев пластиковых карточек в России до сих пор не практикует безналичные расчеты и не покупает товары в интернет-магазинах, а лишь снимает наличные со счета. Почему? Кто-то попросту консервативен и не хочет использовать новые возможности, кому-то «лень разбираться», а многие опасаются сбоев в электронных системах (тем более что таких случаев предостаточно). Наконец, виновата реализация. В развитых странах можно чуть ли не годами не показываться в банке, тогда как в России даже VIP-клиенты вынуждены постоянно являться в офисы кредитно-финансовых учреждений для того, чтобы совершить элементарные операции.

Не будем забывать и о том, что правила пользования онлайновыми услугами, предоставляемыми банками, сложно «читаемы». Попробуйте-ка продеритесь сквозь громоздкие синтаксические конструкции соглашений, вывешиваемых банками на своих сайтах! Тех же, кто найдет в себе силы дочитать правила пользования интернет-сервисами своего банка до конца, ждет удивительное открытие: банк не несет ровным счетом никакой ответственности за любые неприятности, которые может повлечь общение с клиентом «по проводам».

Показательная цитата из документа, опубликованного на сайте одного из известных кредитных учреждений: «Ни при каких обстоятельствах банк не несет ответственности ни за какой ущерб, включая, без ограничений, прямые или косвенные, специальные, случайные или сопутствующие убытки, ущерб или расходы, возникшие в связи с настоящим сайтом, его использованием или невозможностью использования какой-либо стороной, или в связи с неисправностью, ошибкой… задержкой в передаче данных, компьютерным вирусом, сбоем в работе линейного или системного оборудования…» Прочитаешь такое, и тут же потянет свернуть окно браузера и отправиться в банк «ногами».

Адвокат Коллегии адвокатов «Юков, Хренов и партнеры» Алина Топорнина полагает, что банки правы, заранее отказываясь от любой ответственности, связанной с применением Интернета, ведь действующее законодательство никак не регулирует отношения между пользователями Интернета и владельцами сайтов: «Существует большая вероятность вирусов и каких-то сбоев, но вины банка в этом случае нет, поскольку он такой же пользователь Интернета, как и его клиент. Кроме того, поскольку Интернет доступен неограниченному кругу лиц, кредитные организации никогда не будут в состоянии отследить, у кого есть возможность взломать пароли, воспользоваться удаленным доступом к счету клиента и т. п.»

Постойте, но как же светлые перспективы? Перспективы есть, однако реальностью они станут тогда, когда удастся преодолеть нынешние проблемы.

Угрозы, подстерегающие клиента банка, использующего онлайновые инструменты, как говорит директор по маркетингу компании InfoWatch (направление — информационная безопасность) Денис Зенкин, можно разделить на две группы: внешние и внутренние. Первые связаны с опасностью со стороны враждебного сетевого окружения — это хакерские атаки, вредоносные программы класса Backdoor (утилиты несанкционированного удаленного управления, spyware) и так называемый фишинг. Задача у атакующих всегда одна — доступ к банковскому счету и его опустошение, тогда как средства могут быть самыми разными, от прямого взлома и перехвата данных до социоинжиниринговых манипуляций. При этом о внутренних угрозах известно куда меньше. «Они незаслуженно забыты, на них специалисты только сейчас начинают обращать внимание, — отмечает Денис Зенкин. — Внутренние угрозы напрямую связаны с действиями инсайдеров — служащих банков, имеющих доступ к конфиденциальной информации (в том числе кодам доступа к персональным счетам). Типовой сценарий неблагоприятного развития событий в таком случае прост. Все начинается с несанкционированного доступа сотрудника банка или подрядчика к счету, а заканчивается манипуляциями с ним или банальным разглашением персональных сведений — вспомните об утечках банковских баз данных».

Действительно, стоит только почитать публикации на эту тему, как всякое желание контактировать с банком через Интернет пропадает. Один из самых громких скандалов этого года был связан с преступной деятельностью инсайдера в индийском call-центре международного банка HSBC, который выкрал конфиденциальную информацию о счетах британских клиентов банка и передал ее своим подельникам. В результате около двух десятков клиентов HSBC лишились почти 500 тысяч долларов.

Что делать клиенту российского банка, если наперекор всем этим ужасам он стремится оставаться «продвинутым», «онлайновым»?

— Главное — это наличие крипто-канала коммуникаций между клиентом и сервером, системы защиты от несанкционированного подключения к клиенту, а также надежность защиты корпоративной сети самого банка, — говорит Денис Зенкин. — Как правило, при работе с интернет-банкингом все коммуникации с сервером автоматически переключаются на защищенное соединение, так что каких-либо дополнительных манипуляций с веб-браузером пользователю не требуется. Гораздо важнее держать собственный компьютер чистым от троянских программ и не поддаваться методам социального инжиниринга.

Легко сказать — «держать чистым», «не поддаваться». Но похоже, единственный способ избежать проблем — контролировать процесс самостоятельно. Недавно агентство NMG Financial Services Consulting/Ipsos провело специальный тематический опрос, результаты которого показали: пользователи онлайновых банковских услуг сами принимают меры для защиты от мошенничества. Основным инструментом защиты является специализированное программное обеспечение. Тем не менее, 95% респондентов этого исследования были уверены, что по меньшей мере часть ответственности за надежность операций должна лежать на банках, а 45% опрошенных решительно заявили, что безопасность онлайновых операций обязаны обеспечивать именно банки. Но как?

— Для гарантии конфиденциальности необходимо использовать аппаратно-программные средства, работающие по общепризнанным алгоритмам, — говорит Роман Харитонов («Московский капитал»). — Но круг сертифицированных аппаратно-программных средств криптозащиты ограничен, так что банки не могут в полной мере применять современные достижения в области защиты информации.

Самое простое, что могут сделать российские банки (и уже делают), — изменить ввод регистрационных данных с клавиатурного (программу, способную перехватывать нажатия клавиш компьютера, сегодня может написать любой третьекурсник технического вуза) на виртуальный. «Вредоносные программы могут записывать все нажатия клавиш на зараженном компьютере и таким образом позволяют злоумышленникам отследить пароль и логин пользователя для доступа к счету, — поясняет Денис Зенкин. — Если же ввод кодов доступа производится с помощью мышки на виртуальной клавиатуре, в буфер клавиатурного жучка ничего не попадает».

Другой распространенный и достаточно надежный способ борьбы с «троянами» — применение аппаратных средств аутентификации в дополнение к обычному паролю. В таком случае для доступа к счету необходимо не только ввести код, но и подключить к компьютеру специальное USB-устройство: даже если злоумышленники перехватят пароль, они все равно не смогут войти в систему. Однако много ли среди нынешних пользователей банковских интернет-сервисов пользователей, чья техническая квалификация находится на столь высоком уровне?

Очевидно, что без системы законодательного урегулирования рисков, связанных с дистанционным обслуживанием клиентов банков, скоро будет не обойтись. Сегодня же, как отмечает Елена Розанова, руководитель практики риск-менеджмента Energy Consulting, проведение сделок с использованием интернет-технологий, по мнению регулятора — ЦБ РФ, попадает в категорию операций «с повышенной степенью риска», а нарушения, допускаемые при идентификации лиц, которые имеют возможность использования банковских счетов при помощи технологий дистанционного банковского обслуживания (включая интернет-банкинг), рассматриваются как нарушение закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». В целях осуществления общего контроля, помимо связанного непосредственно с проблемами легализации, банки должны представлять в ЦБ отчет — «Сведения об использовании кредитной организацией интернет-технологий». «В числе признаков, свидетельствующих о возможном осуществлении легализации (отмывания) доходов, — совершение клиентом небольших регулярных платежей с использованием банковской карты и предоставление права на списание средств со счета клиента, — уточняет Елена Розанова. — В процессе обеспечения контроля за такими операциями банки должны представлять в ЦБ отчет — «Сведения об использовании кредитной организацией интернет-технологий».

Впрочем, сами банкиры будущее интернет-сервисов оценивают весьма оптимистично. «В последний год банки стали проявлять повышенный интерес к продвижению своих услуг через Интернет, что положительно сказалось на росте качества сервисов, — считает Денис Кагане. — Такая тенденция сохранится в течение ближайших лет, что, несомненно, приведет к высокой конкуренции среди банков в Интернете и заставит их разрабатывать новые, более совершенные сервисы и услуги».

Пока же статистика «скромничает»: по данным специалистов, из 338 крупнейших банков России услуги интернет-банкинга физическим лицам предоставляют лишь 57, а доля онлайновых банковских услуг среди других сетевых сервисов не превышает 0,7%.

Список мечты

Теоретически при помощи Интернета можно делать множество полезных вещей:

Возврат к списку