Інтернет-банк – це безпечно?

• Чулан *

Останнім часом я все частіше почав чути від своїх знайомих питання: "А ти користуєшся інтернет-банком?", "А це безпечно?" і т.д.

Так, я користуюся інтернет-банкінгом вже близько 6 років, від року в рік все більше і до цього швидко звикаєш. Банки надають можливість не тільки робити платежі через свої онлайн системи, а й відкривати вклади, брати кредити і, найголовніше, заощаджувати нерви та час, уникаючи відвідування відділень.

Докладно описувати зручності та переваги інтернет-банків, напевно, не варто, вони й так зрозумілі. Але чому постають такі питання і чому не все ще користуються цими системами?

Відповідь проста - це страх. Ми боїмося за свої нагромадження, за конфіденційність інформації. І це зрозуміло. Використовуючи пластикову картку (кредитну картку) або інтернет-банк, Ви потенційно відкриваєте зловмисникам лазівку до Ваших заощаджень.

Що безпечніше: інтернет-банк чи пластикова картка? Я можу сказати однозначно: інтернет-банк безпечніший. Справа в тому, що для здійснення оплати за допомогою пластикової картки в інтернеті Вам (або зловмиснику) достатньо знати номер картки, ім'я власника, дату закриття картки та CVV код. Фактично достатньо у Вас її сфотографувати, щоб надалі з неї списати гроші через будь-який інтернет-магазин. Хоча карти також мають способи себе убезпечити (денні ліміти, заборона на операції в інтернеті, не діставати карту в публічних місцях).

Сучасні інтернет-банки використовують цілий комплекс заходів для забезпечення безпеки ваших заощаджень:

Як бачите, системи для управління фінансами мають досить сильні та різноманітні засоби для боротьби з розкраданням коштів. Я перерахував найбільш популярні, які, вважаю, мають бути у будь-якому інтернет-банку. Великі банки постійно ведуть розробку та дослідження, пов'язані з підвищенням безпеки, тому цей список надалі обов'язково буде розширюватися, а я намагатимуся розповідати Вам про такі засоби та їх ефективне застосування.

Найголовніше пам'ятати, як би банки не намагалися нас захистити, важливо бути самими пильними і як мінімум використовувати елементарні правила:

1. Заходячи на сайт інтернет-банку, перевіряти сертифікат цього сайту. Як правило, якщо сертифікат є вірним і головне він є, поле для введення адреси виглядає зеленим. На нього потрібно натиснути і у спливаючому екрані перевірити назву банку.
2. Ніколи не зберігати логін та пароль у браузері.
3. Обов'язково встановити антивірус на комп'ютер.
4. Для серфінгу в Інтернеті використовуйте останні версії браузерів.
5. Регулярно встановлюйте оновлення безпеки для операційної системи.

Інтернет-банкінг, безпека, управління фінансами

При використанні банківської картки у реальному світі потрібно бути настороже. Не варто розслаблятись і в інтернеті. Щоправда, тут і специфічні загрози. Які є заходи безпеки під час роботи з інтернет банком? За традицією – кілька порад, як не втратити кревні, оплачуючи послуги в інтернеті.

Ця рекомендація для тих, хто заходить до свого особистого кабінету в інтернет-банку. У більшості випадків потрібний логін та пароль. Ряд банків використовують генерацію пароля, який надсилається на телефон, ряд банків пропонують постійні ідентифікатори. Саме в цьому випадку виникає спокуса записати пароль на папірець і покласти поруч з карткою, тобто в гаманець.

У жодному разі не зберігайте пароль разом із карткою. Краще взагалі його не записувати. А якщо забули, скористатися сервісом відновлення пароля. Практика показує: написане на папері зазвичай втрачається. Якщо в цьому випадку гроші знімуть шахраї, у вас не буде жодних шансів довести, що цю операцію робили не ви: логін та пароль ведені правильно. І ми не говоримо вже про те, що пароль має бути складнішим за «12345» або «пароль».

Любов росіян до різного роду «лівого» софту призводить до парадоксальних наслідків: навіть за наявності офіційних мобільних додатків інтернет-банку наші співвітчизники примудряються завантажувати його з піратських сайтів. Як підсумок – втрата персональних даних та грошей.

Завантажуйте мобільні програми лише з офіційних каналів - App Store, Google Play, Windows Store. Чи не можете знайти на цьому сайті програму? Зайдіть на сайт банку та пройдіть за посиланням скачати мобільний додаток.

Підставні сайти, або сайти-обманка – ще одна «акула», яка пожирає гроші недосвідчених інтернет-покупців. Зовні майже невідмінна назва сайту - практично аналогічна, мало хто розбиратиме по літерах. У результаті - перехоплення персональних даних та списання коштів.

Найпростіша порада – вводьте назву сайту вручну. У такому разі завантажити «підставу» буде практично неможливо. Зрештою, слідкуйте за безпекою свого пристрою. Багато хто забуває, але смартфон з виходом в інтернет - теж комп'ютер, якому потрібен захист.

Коли ви вводите персональні дані на сайті (інтернет-банк, проста оплата товарів чи послуг), переконайтеся, що використовується з'єднання типу SSL або TLS, тобто захищене з'єднання із шифруванням. Доказ – замочок перед назвою сайту та буква «s». До речі. Якщо натиснути на замочок, можна дізнатися багато цікавого про тип шифрування – вид з'єднання, дані сертифіката тощо.

Якщо ви плануєте ввести персональні дані, а шифрування немає, то з'єднання вважається незахищеним і ймовірність того, що ваші дані можуть бути викрадені, велика. Стережіться таких сайтів! Також терміново йдіть із тих сайтів, де при введенні номера карти цифри не замінюються на «зірочки». Запам'ятайте: жодний сайт банку чи інтернет-магазину не пропонує вам запровадити пін-код картки. Якщо система запросила цю інформацію - 100% сайт підроблений та ваші кошти будуть викрадені.

Багато хто вважає: раз я виходжу до свого особистого кабінету щодня. То смс-інформування мені не потрібне. Саме навпаки. Ваша активність зросла. Відповідно, зросли й ризики. Особливо якщо йдеться про сайти типу aliexpress.com, де підтвердження операції по смс не потрібно, достатньо лише ввести номер картки.

Обов'язково підключіть смс-інформування навіть якщо банк бере за це плату. Повірте, ці 50-100 рублів на місяць у сотні разів дешевші, ніж повністю очищений «інтернет-гаманець».

У більшості інтернет-магазинів запроваджено технологію 3-D Secure, яка підвищує безпеку при розрахунках по карті. Суть цієї технології для звичайного користувача таки полягає в приході смс з одноразовим паролем, необхідним для оплати покупки. Доказ використання технології - один із двох логотипів перед полем для введення одноразового пароля:

Додатково ви підвищите безпеку, якщо в особистому кабінеті інтернет-банку встановите ліміт на проведення операцій. Наприклад, середній розмір вашої операції – 3000 рублів. Встановіть ліміт в 4000 рублів, і зловмисники ніяк не зможуть переказати суму, більшу за цю.

Якщо ви часто оплачуєте покупки в інтернеті, то було б нерозумно використовувати для цього карту, якою ви розплачуєтеся в магазинах і знімаєте гроші через банкомат.

Для операцій в інтернеті можна завести окрему карту. Значна частина банків пропонують так звані «віртуальні» картки. Насправді «пластику» немає, але картка має і рахунок, і номер і код CVV2. Відповідно, ви значно підвищуєте свою безпеку.

Сьогодні банки та інтернет-магазини проводять величезну роботу щодо підвищення безпеки операцій з рахунками в мережі. Але ніякі навіть найдосконаліші технології не врятують власника картки, якщо він не сам піклуватиметься про безпеку. Як то кажуть, порятунок потопаючих – справа рук самих потопаючих.

З розвитком інноваційних технологій можливості всесвітньої мережі стають ширшими і сьогодні торкаються практично всіх сфер життя людини. Так, останнім часом досить активно багатьма використовується інтернет-банкінг, що є програмою певного банку, за допомогою якої користувач може здійснювати фінансові операції з будь-якого комп'ютера, підключеного до інтернету. Однак такі послуги доступні лише клієнтам банків. Користуючись подібними програмами, багато хто стурбований, адже зустрічаються ситуації, коли гроші пропадають з карти або не надходять на потрібний рахунок. Щоб уникнути дій шахраїв та не боятися несанкціонованого доступу до своїх рахунків, необхідно ознайомитись з основними правилами користування інтернет-банкінгом.

Які засоби захисту рахунків від шахраїв?

Головне правило безпеки інтернет-банкінгу передбачає використання програм лише відомих та перевірених банків, які постійно вдосконалюють засоби захисту рахунків своїх клієнтів. Сьогодні практично кожен банк застосовує SSL-шифрування інформації, якою обмінюється комп'ютер користувача та банківська система. Цей сучасний метод дозволяє уникнути перехоплення та зміни даних на шляху від ПК клієнта до банку. Однак слід пам'ятати, що при здійсненні фінансових операцій в онлайн-системі в жодному разі не можна реагувати на підозрілі повідомлення, які нібито прийшли з банку, і переходити за незнайомими посиланнями на інші сторінки.

З метою підвищення рівня безпеки клієнтам пропонується отримати одноразові паролі, що видаються банкоматом.

У такому разі при вході в систему інтернет-банкінгу, крім постійних логіну та паролю, знадобиться ввести ще й одноразовий шифр, який підібрати зловмисникам практично неможливо. Перевагою такого варіанту захисту є те, що отримати чек з одноразовими паролями може лише людина, яка має платіжну картку та знає пін-код. Користуючись паролями чека для входу в систему, рекомендується дотримуватися таких простих правил:

• Не викидати перелік шифрів і намагатися не втрачати його;
• Не зберігати чек разом паролем та логіном від облікового запису.

Ще одним поширеним методом для підтвердження особистості при вході до онлайн-банку вважається запит одноразових СМС-паролей. Тобто при кожній операції, яку виконує користувач, на його телефон надходить СМС-повідомлення з кодом, який необхідно ввести. Відомо, що обов'язковою умовою таких операцій є прив'язка певного номера до банківського рахунку. Серед переваг такої системи безпеки можна виділити простоту процедури та мінімальну кількість часу на здійснення операції. До того ж, навіть якщо зловмисник знає логін та пароль облікового запису, з'ясувати код йому неможливо. Застосовуючи одноразові СМС-паролі слід враховувати такі нюанси:

• Не можна користуватися інтернет-банкінгом із мобільних пристроїв;
• Не потрібно зберігати пароль у браузері;
• При втраті телефону слід негайно звернутися до банку для блокування облікового запису, щоб він не міг скористатися.

Що являє собою електронний цифровий підпис?

Перераховані вище способи забезпечення захисту рахунків користувачів є найпоширенішими, проте існують інші методи ідентифікації клієнтів. Особливу увагу варто звернути на електронний цифровий підпис, який найчастіше застосовується для компаній, але іноді пропонується і індивідуальним користувачам. ЕЦП надає можливість однозначно ідентифікувати особу, але не варто виключати небезпеку заволодіння ключем від цифрового підпису шахраями, які можуть заразити ПК вірусними файлами спеціального призначення.

На відео – про безпечні платежі в інтернеті:

Відомо, що існує ціла низка троянських програм, спрямованих на виявлення індивідуальних паролів, ключів ЕЦП та інших автентифікаційних даних. Тому необхідно встановлювати антивірусні програми та регулярно перевіряти ПК на наявність вірусів. Також варто вимикати програму ЕЦП, якщо вона не використовується.

Додаткові способи забезпечення безпеки користування інтернет-банкінгом

Клієнтам банку пропонується придбати (купити чи взяти в оренду) генератор паролів для одноразового користування. Прилад підключається за допомогою USB-порту до комп'ютера, і для нього не потрібно встановлювати спеціальне програмне забезпечення. Також можлива можливість використання електронного ключа, що генерується при першому підключенні механізму. Серед додаткових засобів захисту електронних рахунків слід виділити:

• Обмеження застосування індивідуального сертифіката, тобто скористатися електронним ключем для входу в обліковий запис можна лише з одного комп'ютера;
• Віртуальна клавіатура. Вона призначена для захисту від вірусів, які можуть зчитувати інформацію під час набору даних на звичайній клавіатурі;
• Обмеження тривалості сесії. Якщо користувач протягом 10 – 15 хвилин не здійснює жодних операцій, то система автоматично блокується, і для входу до неї потрібно заново ввести дані;
• Історію захисту. За допомогою цієї функції користувач може перевірити, чи підключався хтось до його облікового запису, а також проведення несанкціонованих операцій.

На відео – про електронні гроші:

Що робити у разі злому облікового запису інтернет-банкінгу?

Якщо все-таки шахраї змогли дістатися до облікового запису онлайн-банкінгу, то рекомендується вжити таких заходів:

• Насамперед слід відключити ПК від інтернету;
• Заблокувати особистий обліковий запис, звернувшись до банку чи контактний центр;
• Змінити пароль та логін для входу в інтернет-банкінг;
• Роботу відновлювати слід, переконавшись, що загрозу усунено.

На думку експертів, жертвою шахраїв стають клієнти, які не дотримуються обережності при користуванні інтернет-банкінгом. Клієнтам банку рекомендується з періодичністю раз на місяць змінювати постійний пароль доступу до системи, а також не входити до онлайн-банкінгу з чужих комп'ютерів, особливо з інтернет-кафе. Відомо, що шахраї можуть скористатися довірливістю користувачів та заразити вірусами комп'ютер за допомогою електронної пошти та через різні соціальні мережі. У разі крадіжки грошей з рахунку потрібно надіслати заявку до банку та правоохоронних органів для розгляду.

Сьогодні близько 80% великих та середніх банків пропонують своїм клієнтам сервіс онлайн-банкінгу, і ті охоче користуються ним. Однак великі заощадження стають бажаною і, виявляється, не найважчою здобиччю для хакерів та інших шахраїв.

Наприклад, нещодавно в Європі була спіймана група злочинців: за допомогою фальшивих кредитних карток вони переводили в готівку відправлені на офшорні рахунки гроші. З того ж розряду історія про російських хакерів у США, які за кілька років викрали з рахунків заможних американців понад 1,5 млн доларів. Злочин розкрили, тільки коли зловмисники задумали зробити замах на 2,7 млн ​​доларів, що належать одному відомому готельєру.

Проблема не оминула навіть банківську «столицю» світу Швейцарію. Багато хто пам'ятає історію про те, як син багатого швейцарця дістався рахунку свого батька. Банк, зберігаючи пильність, запросив у власника підтвердження транзакції, але надто пізно: гроші вже були перераховані. І найсумніше в тому, що довгі розслідування та розгляди призвели до повернення лише 70% знятої суми, розповідає керуючий директор Optima Infosecurity Неманія Микитович.

Наприкінці жовтня 2012 року з'явилися нові погрози від хакера під псевдонімом vorVzakone. Він заявив про свій план "Бліцкриг", суть якого зводилася до атаки банківської системи США. Примітно, що його старанна робота вже збагатила героя на 5 млн. доларів за рахунок клієнтів тих же американських банків. Загалом, за даними ФБР, до кінця жовтня бюро розслідувало близько 230 випадків електронного шахрайства проти американських банків: йдеться про спробу розкрадання понад 255 млн доларів та фактичний збиток приблизно на 85 млн доларів. А саме зараз у США триває суд над російськими шахраями, звинуваченими у махінаціях із підробленими рахунками та кредитками. Передбачається, що їхньою метою були виключно багаті люди.

Наздоганяючи Захід

Практика показує, що європейські та американські банки поки що не здатні забезпечити повноцінний захист рахунку клієнта. Можливо, попри своє бажання, але вони змушені регулярно заявляти про факти шахрайства та боротьбу з ними – такі правила диктують закон та регулятори. «Зверніть увагу, ми ніколи не чуємо про наслідки, – розповідає Ашот Оганесян, chief technology officer компанії DeviceLock. – І це тому, що насправді зовсім не має значення, вкрали гроші чи ні. Клієнт не відчуває проблеми: усі його кошти застраховані і, отже, будуть йому повернуті». Тому можуть зберігати спокій: сумнівів у компенсації немає.

Зважаючи на все, навіть такі умови не є гарантією повного повернення грошей, і банки зобов'язані інформувати клієнта про всі ризики онлайн-банкінгу заздалегідь. «Кінцева відповідальність лежить на організації, що запровадила сервіс, – розповідає Річард ван Оеффел, власник нідерландської компанії VOC Consultancy. - Спроба звинуватити клієнта в тому, що він неправильно користувався Інтернетом або комп'ютером, глибоко порочна: клієнту може бути 80 років, або у нього поганий зір, або ще щось». Тому банк має направити свої дії не лише на посилення заходів захисту онлайн-банкінгу, а й на підвищення ступеня поінформованості клієнтів.

Росії в цій сфері пишатися нічим: розкрадання грошей із картки залишається проблемою її власника. І якщо таке відбувається, жертвам шахраїв доводиться доводити свою правоту в суді. Річард ван Оеффел зазначає, що випадки неповернення вкрадених коштів у нас досі не рідкість, проте російські банки вже переймають європейський прогресивний досвід. З нового року набирає чинності закон про національну платіжну систему, який повністю перекладає відповідальність за збереження заощаджень на банк. Експерти вважають: нововведення змінить співвідношення ризиків у системі добровільного банківського обслуговування. «Для користувачів закон гарантує велику безпеку їхніх коштів, – пояснює Неманія Микитович. – Для банків, навпаки, виникають нові ризики та збільшуються витрати на інформаційну безпеку». До таких перспектив банки вже готуються. Але на що чекати заможним клієнтам?

По той бік безпеки

Актуальну для себе проблему інформаційної безпеки банки не люблять афішувати, хоча більше за інших знають, чого варто боятися клієнтам. «Найбільш масовий вид шахрайства у банківській сфері – з кредитними картками, – стверджує Неманія Микитович. – Ні для кого не секрет, що дані кредиток можна отримати не лише із системи онлайн-банкінгу, а й, наприклад, на чорному ринку». Другі за популярністю – інциденти, пов'язані з крадіжкою конфіденційної інформації.

Магнітні хакери, трояни та подібні програми регулярно атакують інвестиційно-банківську систему. Ашот Оганесян стверджує, що останнім часом такі зломи є найбільш характерними для російського ринку. З цим не сперечається Річард ван Оеффел і додає, що якщо раніше був поширений банальний фішинг, то зараз у моду увійшли вузькоспрямовані атаки типу Man in the Middle, Man in the Browser та Man in the Mobile. Вони мають один принцип: шахрай впроваджується в канал зв'язку між банком і клієнтом і видає себе за користувача, копіюючи його особисті дані. Саме тому зараз у світі все більшого поширення набувають технології протидії цим атакам, засновані на автентифікації користувача.

Своєчасна турбота про системи інформаційної безпеки входить до компетенції банку. «Найбільш поширені сьогодні системи скретч-карт, генерації пароля за допомогою SMS та зберігання коду на паперових носіях, – пояснює Неманія Микитович. – Однак жодна з них не є досконалою: скретч-карта забезпечена заздалегідь незмінним списком паролів і незручна, бо її легко втратити. Такі самі проблеми мають паперові носії. Генерація пароля за допомогою SMS, у свою чергу, створює ризик його перехоплення та зараження телефону шкідливим ПЗ». Виходить, сучасні технології захисту не створюють зловмисникам серйозних проблем.

Експерти радять впроваджувати інновації, які якщо й не забезпечать повного збереження грошей, то змусять шахраїв помучитися. У Росії такі рішення поки що формуються. «На Заході ринок освоює нову технологію – карти з дисплеєм, – розповідає Микитович. - Звичайна пластикова карта, що генерує унікальний одноразовий пароль (one time password, OTP) для роботи в системі інтернет-банкінгу». Ашот Оганесян також підтримує ідею суворої мультифакторної аутентифікації, а Річард ван Оєффел нагадує про технологію, що підтверджує (чи не підтверджує) географічну присутність клієнта в місці транзакції. "Вони працюють проти списання грошей у Майамі, тоді як клієнт мирно спить у Гаазі", - пояснює він.

Збережи себе сам

Справді, власнику великого капіталу Росії у питаннях безпеки особистих фінансових активів ризиковано повністю довіряти банкам. Погано забувати про елементарне хеджування ризиків та розподіл коштів на кілька рахунків, радить Микитович. Не зайве хоча б трохи розбиратися в системах інформаційної безпеки і вибирати банки, які не економлять на розвитку та використанні найпередовіших розробок. Чим досконалішою буде система онлайн-банкінгу, тим зручнішою вона виявиться для кінцевого користувача.

Навіть із приходом нових правил на російський ринок проявити пильність таки доведеться. Спокійний сон і порятунок від зайвих проблем – це, звичайно, добре. І банк зробить все можливе, щоб не порушити гармонію вашого життя. Але буде зайвим і підстрахуватися. Адже нікому не можна довіряти як собі, правда?

Основні загрози для онлайн-операцій

Незважаючи на захищеність систем інтернет-банкінгів та онлайн-магазинів - використовуються такі методи захисту, як подвійна аутентифікація, системи одноразових динамічних SMS-паролей, додаткові список одноразових паролів або апаратні ключі, захищене протоколом SSL-з'єднання і так далі - сучасні методи атак дозволяють оминати навіть найнадійніші захисні механізми.

На сьогодні у зловмисників можна виділити три найбільш поширені підходи для атаки на фінансові дані інтернет-користувачів:

Зараження комп'ютера жертви троянським програмами (кейлогери, скрінлогери і т.д.), що використовують для перехоплення даних, що вводяться;
- використання методів соціальної інженерії – фішингові атаки через електронну пошту, веб-сайти, соціальні мережі тощо;
- технологічні атаки (сніффінг, заміна DNS/Proxy-серверів, заміна сертифікатів тощо).

Як захистити інтернет-банкінг?

Користувач не повинен сподіватися лише на банк, а використовувати захисні програми для посилення безпеки електронних платежів в Інтернеті.

Сучасні рішення Internet Security крім функцій антивірусу пропонують інструменти безпечних платежів (ізольовані віртуальні середовища для онлайн-операцій), а також сканер уразливостей, веб-захист з перевіркою посилань, блокування шкідливих скриптів і спливаючих вікон, захист даних від перехоплення. .

Серед комплексних рішень з окремою функцією захисту онлайн-платежів можна виділити Kaspersky Internet Security та компонент "Безпечні платежі", avast! Internet Security з avast! SafeZone та Bitdefender Internet Security з Bitdefender Safepay. Ці продукти дозволяють не турбуватися про додатковий захист.

Якщо у вас інший антивірус, можна придивитися до засобів додаткового захисту. Серед них: Bitdefender Safepay (ізольований веб-браузер), Trusteer Rapport та HitmanPro.Alert для захисту браузера від атак, плагіни та програми Netcraft Extension, McAfee SiteAdvisor, Adguard для захисту від фішингу.

Не варто забувати про фаєрвол і VPN-клієнт, якщо доводиться виконувати фінансові операції при підключенні до відкритих бездротових Wi-Fi мереж у громадських місцях. Наприклад, CyberGhost VPN використовує шифрування трафіку AES 256-bit, що унеможливлює використання даних зловмисником, навіть у разі перехоплення.

А які методи захисту онлайн-платежів ви використовуєте? Поділіться своїм досвідом у коментарях.

Знайшли друкарську помилку? Виділіть та натисніть Ctrl+Enter