Поймать на крючок

116
Проблема. Мошенники не устают придумывать все новые и новые методы обмана доверчивых пользователей интернета. Банки пытаются не отстать от них, постоянно совершенствуя системы безопасности.
Более всего распространены и всем давно известны мошенничества, осуществляемые через сайты интернет-магазинов, принимающих к оплате пластиковые карты. Когда клиент совершает покупку, на сайте остаются сведения о номере его карты и ее ПИН-коде. Потом эти данные используются злоумышленниками для изготовления поддельного пластика, который уезжает в другие страны и там «работает» на нового владельца. Но на самом деле все не так страшно. Можно совершенно спокойно расплачиваться картой в интернете, соблюдая простые, но эффективные требования безопасности. Сейчас каждый электронный магазин, действительно продающий товары, а не прикрывающий этим свою преступную деятельность, и особенно банк-эквайер, обслуживающий его, стремятся максимально обезопасить себя и клиента, используя современные средства защиты информации. Для начала они никогда не будут требовать от вас ввести ПИН-код карты с клавиатуры. Самым распространенным методом защиты является заполнение клиентом электронной формы, предлагаемой магазином при оплате товара. Как правило, в ней указывается номер карты, срок ее действия, свои личные данные и так называемый CVV2 - защитный код карты, состоящий из трех цифр, который находится на оборотной стороне пластика на месте, где должна стоять подпись его владельца. Считается, что этот код знает только тот человек, который держит карту в руках, то есть ее владелец. Использовать украденный номер карты и ПИН-код без знания CVV2 на таких сайтах невозможно. Однако такая мера безопасности не спасает в случае халатности самого клиента. Если любой желающий имеет свободный доступ к его карте, то вполне может запомнить и CVV2 и воспользоваться пластиком в отсутствие его хозяина.

Безопасная сеть. Последним новшеством в области безопасности интернет-платежей является использование так называемых протоколов (набор действий в определенной программе) 3D-Secure, разработанной платежной системой Visa. Его суть заключается в том, что в диалоге продавца с клиентом в момент оплаты товара участвуют банк-эквайер и эмитент. Покупатель регистрируется на сайте магазина и перед ним возникает окно связи с банком-эмитентом. Клиент в режиме on-line отвечает на вопросы банка, обычно от него требуют указать свою контрольную информацию, например девичью фамилию матери и тому подобные сведения, оговоренные с эмитентом при оформлении карты. Если ответы соответствуют оригиналу, банк идентифицирует клиента как своего и дает ему для проведения транзакции уникальный номер, который покупатель должен ввести во вновь появившееся окно продавца. Авторизационный запрос по этой покупке, посланный эквайером эмитенту, тоже содержит этот уникальный номер. Банк покупателя сравнивает его с тем, который только что присвоил своему клиенту. Если номера совпадают, значит, на связи действительно законный владелец карты и операция подтверждается, если же нет - операция отвергается.

С 1 апреля прошлого года использование 3D-Secure обязательно для всех российских эквайеров международной платежной системы Visa. MasterCard допускает использование 3D-Secure, хотя у него есть собственный протокол - UCAF, которые эквайеры обязаны использовать с 1 июля этого года. 3D-secure используют Альфа-банк, Импэксбанк, Росбанк, петербургские банки «Менатеп СПб» и «Балтийский». Эмитенты пока в программе не участвуют, так что реального внедрения новой технологии не произошло, так как переадресации клиента в банк-эмитент не происходит.

Помоги себе сам. Удаленный доступ к счету через интернет является менее опасным занятием, чем электронная коммерция, так как клиент общается с собственным банком, в интересах которого обеспечивать безопасность расчетов. Однако владелец зарплатной карты Ситибанка, пользуясь услугами интернет-банкинга, вдруг с удивлением обнаружил, что, зная только номер пластика и его ПИН-код, можно совершенно спокойно не только посмотреть выписку или остаток денег, но и перевести их со своего счета в другой банк. Никакой дополнительной информации при этом не запрашивалось. «Последнее обстоятельство очень поразило меня как компьютерного специалиста», - рассказал «Ф.» главный специалист департамента корпоративного управления ЗАО «Комплексные энергетические системы» Дмитрий Виноградов. Как он пояснил, написать программу, сидящую в памяти компьютера и запоминающую все нажатия клавиш, достаточно просто - так же просто распространить ее на компьютеры, например, сотрудников компании, являющейся зарплатным клиентом Ситибанка. После того как программа увидит набранные на клавиатуре символы сitibank.ru, она должна запомнить последующие сто нажатий клавиш и послать их, предварительно зашифровав, например, по бесплатной электронной почте. Система безопасности банка такое письмо пропустит, потому что будет воспринимать его как обычное послание клиента, а не как пересылку конфиденциальной информации. Через месяц работы программа самоликвидируется. Собрав таким образом пару десятков комбинаций номеров карт и ПИН-кодов, можно переводить деньги через интернет с чужих счетов на свои собственные. «Выполнять это желательно с разных компьютеров. Лучше всего, если они будут в публичных интернет-кафе, так проще «замести» следы. Получается готовая схема мошенничества, трудозатраты на создание которой всего один-два рабочих дня, а прибыль - десятки тысяч долларов», - уверяет Дмитрий Виноградов.

У большинства банков, дающих доступ к счетам через интернет, перевод денег происходит по гораздо более сложной процедуре. У Райффайзенбанка и «Первого ОВК» для идентификации клиента используется номер карты и второй ПИН-код, Альфа-банк требует ввода логина (10-значного номера) и пароля (12-значного номера). Кроме того, при переводе денег требуются дополнительные пароли.

На запрос «Ф.» Ситибанк ответил, что интернет-банкинг с использованием ПИН-кода и номера пластиковой карты «повсеместно считается безопасным и надежным способом управления денежными средствами и осуществления расчетов. Ситибанк применяет самую передовую технологию для защиты клиентов от киберпреступности, тем не менее он не может контролировать наличие средств шпионажа и вирусов в компьютере пользователя. Поэтому клиент должен взять на себя ответственность за обеспечение операционной безопасности как в офисе, так и в общедоступных местах».

Ловля рыбы в электронной «воде». Одним из последних «достижений» мошенников является так называемый фишинг, то есть выманивание у клиента обманным путем при помощи интернет-сообщений данных о его пластиковых картах, номерах и реквизитах счетов, паролей доступа и другой конфиденциальной информации. Несмотря на то что банки стараются постоянно совершенствовать свои методы борьбы с мошенничеством, до сих пор самым эффективным способом защиты от «фишинговых» операций является повышение уровня информированности клиента. Поэтому на банковских сайтах стали появляться странички, содержащие необходимые разъяснения. Там даются рекомендации, как вести себя, если к вам пришло письмо с просьбой обновить информацию по карте либо по вашим счетам в банке. Иногда можно встретить образцы мошеннических электронных посланий, действительно приходивших к клиентам. Банки стараются идти навстречу пострадавшим от «фишинга» и в случае получения от таких людей уведомлений о потере денежных средств стремятся рассматривать претензии в индивидуальном порядке. Однако, как говорят специалисты по защите банковской информации, «по-настоящему надежный шанс сохранить свои деньги в таком случае - вовремя заблокировать карту». Это надо сделать сразу же после того, как хоть какие-то личные данные были отправлены по подозрительному адресу. Одновременно рекомендуется направить сообщение на адрес той организации, от имени которой пришло послание.

В «фишинговых» письмах адресатов настоятельно приглашают посетить веб-сайт, ссылка на который содержится в этом же письме. Проходя по ссылке, клиент попадает на страничку, практически полностью повторяющую сайт электронного магазина или известного банка. Вот только с одним отличием: этот сайт оформлен на подставное лицо, и информация, оставленная на нем, не дойдет ни до банка, ни до фирмы-продавца, а направится прямо к мошенникам. На первый взгляд невозможно отличить, является письмо подлинным либо попыткой «фишинга». Однако можно выделить следующие характерные особенности. «Фишинговые» письма бедно оформлены и содержат много ошибок. Письмо начинается с неличностного приветствия, например «Дорогой клиент!» (реальные компании практически всегда обращаются к получателю по имени). Письмо написано либо в стиле запроса, уточняющего финансовую или другую персональную информацию, либо в виде предупреждения, что в случае необновления информации клиент не сможет воспользоваться своим электронным адресом. И наконец, если провести курсором над ссылкой «фишингового» письма, высветившаяся запись не совпадет с указанной в письме.

Пример «фишингового» письма:

Дорогой клиент,
это письмо отправлено с сервера банка для подтверждения вашего e-mail адреса. Вы должны продолжить процедуру, перейдя по нижеследующей ссылке и введя в маленьком окошке номер вашей карты и PIN-кода, используемого вами для ATM. Это делается для вашей защиты - некоторые наши клиенты лишились доступа к своим e-mail адресам и мы обязаны проверить это. Для проверки вашего e-mail адреса и банковской учетной записи перейдите по следующей ссылке:

Методические рекомендации по управлению финансами компании



Ваша персональная подборка

    Подписка на статьи

    Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

    Рекомендации по теме

    Школа

    Школа

    Проверь свои знания и приобрети новые

    Записаться

    Самое выгодное предложение

    Самое выгодное предложение

    Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

    Живое общение с редакцией

    А еще...




    © 2007–2017 ООО «Актион управление и финансы»

    «Финансовый директор» — практический журнал по управлению финансами компании

    Зарегистрировано Федеральной службой по надзору в сфере связи,
    информационных технологий и массовых коммуникаций (Роскомнадзор)
    Свидетельство о регистрации ПИ № ФС77-62253 от 03.07.2015;
    Политика обработки персональных данных
    Все права защищены. email: fd@fd.ru

    
    • Мы в соцсетях
    Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
    ×
    Чтобы скачать документ, зарегистрируйтесь на сайте!

    Это бесплатно и займет всего 1 минуту.

    У меня есть пароль
    напомнить
    Пароль отправлен на почту
    Ввести
    Я тут впервые
    И получить доступ на сайт Займет минуту!
    Введите эл. почту или логин
    Неверный логин или пароль
    Неверный пароль
    Введите пароль

    Внимание!
    Вы читаете профессиональную статью для финансиста.
    Зарегистрируйтесь на сайте и продолжите чтение!

    Это бесплатно и займет всего 1 минут.

    У меня есть пароль
    напомнить
    Пароль отправлен на почту
    Ввести
    Я тут впервые
    И получить доступ на сайт Займет минуту!
    Введите эл. почту или логин
    Неверный логин или пароль
    Неверный пароль
    Введите пароль