про твої фінанси

Безпека Інтернет-банкінгу в Україні: практичні аспекти

Prosto відправляти платежі, не виходячи з дому, за допомогою Інтернет-банкінгу. Але чи завжди можна бути впевненим, що з вашого рахунку спишеться тільки зазначена вами сума, а платіж дійде за призначенням? Про небезпеки, які можуть підстерігати користувачів онлайн банкінгу, про те, як борються з ними банки і як уберегтися від них користувачу, дізнавався Prostobank.ua.


Короткий зміст і посилання по темі

  1. Шифрування даних
  2. Одноразові паролі, одержувані в банкоматі
  3. Одноразові СМС-паролі
  4. Електронний цифровий підпис (ЕЦП)
  5. Зовнішні електронні пристрої
  6. Багато що залежить від користувача
  7. Системи безпеки Інтернет-банкінгу, що використовуються найбільшими українськими банками
  8. Інші небезпеки
  9. Думка

За твердженнями експертів, основна і найголовніша загроза, яка чатує на будь-якого користувача Інтернет-банкінгу - це ризик шахрайського злому і несанкціонованого доступу до коштів на рахунку. «Єдиною істотною небезпекою, яка може підстерігати користувачів цих систем, є ризик протиправного заволодіння їх коштами зловмисниками, з використанням можливостей систем« Інтернет-банкінгу », втім, як і будь-яких інших типів систем дистанційного обслуговування», - розповідає Єгор Ізотов, начальник відділу інформаційно-технічного захисту Південкомбанку.

А тому банки намагаються використовувати різні системи і механізми, покликані якщо не гарантувати, то, в крайньому випадку, підвищити безпеку використання онлайн банкінгу.

Шифрування даних

На сьогодні вже всіма банками, які надають послугу Інтернет-банкінгу, застосовується SSL-шифрування даних, що передаються від комп'ютера користувача в систему банку і назад. Цей захід безпеки дозволяє виключити поширений раніше вид шахрайства «man in the middle»: дані про платіж перехоплювалися на етапі, коли вони відправлені від клієнта, але ще не дійшли в банк, шахрай міняв дані і тільки після цього відправляв їх в банк.

Щоб скористатися всіма перевагами захищеної передачі даних, слід дотримуватися елементарних заходів безпеки в Інтернеті - не реагувати на підозрілі повідомлення (отримані нібито від вашого банку) і не переходити з невідомих посиланнях.

Одноразові паролі, одержувані в банкоматі

При такій системі захисту, крім звичайного логіна і пароля, для входу в систему і підтвердження операцій користувач повинен ввести одноразовий пароль, список яких він може отримати в банкоматі свого банку.

З точки зору безпеки така система має перевагу - щоб здійснювати операції по картковому рахунку через інтернет-банкінг, особа повинна як мінімум мати в наявності безпосередньо саму карту, а також знати ПІН-код, щоб отримати список паролів в банкоматі.

Разом з тим не можна не відзначити ряд недоліків такої системи захисту. По-перше, список паролів, роздрукований у вигляді чека з банкомату, вам доведеться зберігати для підтвердження майбутніх операцій. А це означає, що якщо ви випадково втратите або викинете чек (або просто використовуєте всі паролі), вам доведеться йти за новим. Найчастіше список паролів можна отримати далеко не в кожному банкоматі банку, і цілком ймовірно, що вам доведеться їхати за ним на інший кінець міста. До того ж, списком можуть заволодіти зловмисники.

Якщо ваша система інтернет-банкінгу передбачає використання списку одноразових паролів, постарайтеся дотримуватися простих правил. По-перше, не викидайте список паролів і по можливості намагайтеся його не втрачати. По-друге, не зберігайте список одноразових паролів разом з логіном і паролем від вашого профілю. Останній зовсім не рекомендується записувати, краще запам'ятати.

Одноразові СМС-паролі

Цей спосіб аутентифікації користувача в системі інтернет-банкінгу є чи не найпоширенішим в пропозиціях українських банків. При такій системі кожна операція, яку ви робите за допомогою онлайн банкінгу, повинна бути підтверджена одноразовим паролем, який ви отримаєте в СМС-повідомленні на ваш мобільний телефон. При цьому ваш мобільний номер повинен бути «прив'язаний» до номера рахунку.

Така система має ряд переваг. По-перше, вона досить проста у використанні - вам не потрібне спеціальне обладнання, а процедура підтвердження операції займає всього пару хвилин. По-друге, вона дозволяє убезпечити ваш обліковий запис від використання зловмисниками - навіть якщо шахраям стане відомий ваш логін і пароль для входу в систему, вони не отримають доступ до ваших грошей, а ви дізнаєтеся про спробу провести несанкціоновану операцію з СМС-повідомлення.

На цьому переваги системи закінчуються. Дійсно, зловмисникам досить складно заволодіти одноразовим паролем, чинним протягом короткого часу. Якщо тільки вони не заволоділи вашим мобільним телефоном. І зовсім марною система буде в тому випадку, якщо ви користуєтеся інтернет-банкінгом з мобільного телефону і зберігаєте паролі в браузері. Тоді, вкравши у вас телефон, шахрай отримає ваш рахунок в повне розпорядження.

Якщо ваш банк використовує аутентифікацію користувача по СМС, постарайтеся дотримуватися таких правил:

  • не користуйтеся Інтернет-банкінгом з мобільного телефону;
  • ніколи не зберігайте паролі від облікового запису в браузері;
  • в разі втрати або крадіжки мобільного телефону - негайно зверніться в банк з проханням заблокувати ваш обліковий запис Інтернет-банкінгу.

Електронний цифровий підпис (ЕЦП)

Цей механізм частіше використовується при обслуговуванні банками компаній, але іноді його пропонують і населенню. Плюс ЕЦП в тому, що він дозволяє однозначно ідентифікувати користувача. Недолік же полягає в тому, що ЕЦП також може бути вразлим для шахраїв. Зловмисники можуть дістатися до ключа від вашої цифрового підпису, заразивши ваш комп'ютер шкідливим програмним забезпеченням. Існують «трояни», які вміють знаходити і красти на зараженому комп'ютері аутентифікаційні дані (ідентифікатори, паролі і навіть ключі ЕЦП) користувачів для доступу до різних сервісів (в тому числі і серверів віддаленого обслуговування клієнтів банків.

Якщо для підтвердження ваших фінансових операцій через інтернет ви використовуєте ЕЦП, не забувайте користуватися антивірусними програмами і регулярно перевіряти ваш комп'ютер на предмет зараження комп'ютерними вірусами. Також експерти не радять залишати ключ ЕЦП підключеним до комп'ютера, якщо ви його не використовуєте.

Зовнішні електронні пристрої

Деякі банки пропонують користувачам онлайн банкінгу придбати (або взяти в оренду) спеціальний пристрій - генератор одноразових паролів. Генератор підключається до комп'ютера через usb-порт і не вимагає спеціального програмного забезпечення.

Інші установи пропонують використовувати зовнішній електронний ключ, який генерується при першому підключенні до системи Інтернет-банкінгу, записується на зовнішній носій і потім використовується при проведенні операцій в системі.

Такі системи, по суті, є спрощеною версією ЕЦП. Серед недоліків їх можна виділити те, що ви не зможете отримати доступ до свого рахунку, не маючи під рукою «ключа», а завжди носити його з собою може бути не дуже зручно і безпечно.

Крім перерахованого вище, банки часто застосовують додаткові заходи для забезпечення безпечного користування інтернет-банкінгом:

  • обмеження використання особистого сертифіката - система деяких банків дозволяє використовувати електронний ключ (електронний сертифікат) тільки на тому комп'ютері, на якому він був згенерований.Таким чином, здійснювати платежі через Інтернет-банкінг ви зможете тільки зі свого особистого комп'ютера (хоча переглядати виписки по рахунку можна і на інших пристроях);
  • віртуальна клавіатура - призначена для того, щоб шахраї не могли "прочитати" ваші реєстраційні дані при введенні їх з звичайної клавіатури за допомогою комп'ютерних вірусів ( «троянів»);
  • обмеження тривалості сесії - в разі неактивності користувача, сесія в системі Інтернет-банкінгу через певний час (зазвичай 10-15 хвилин) буде закрита.Після цього для відновлення роботи потрібно заново пройти аутентифікацію;
  • історія підключень - за допомогою цієї функції користувач Інтернет-банкінгу дізнається, якщо хтось крім нього підключався до системи, а також зможе відстежити всі несанкціоновані операції, якщо вони були зроблені.

Багато що залежить від користувача

Експерти відзначають, що найчастіше причиною шахрайського доступу до рахунку користувача Інтернет-банкінгу є неуважність і необережність самого користувача. А тому, щоб уникнути можливих проблем, власнику облікового запису слід берегти дані доступу до нього. По-перше, експерти радять періодично змінювати паролі для доступу в систему, бажано робити це раз на місяць і не використовувати Інтернет-банкінг на неперевірених комп'ютерах (наприклад, в Інтернет-кафе).

Крім цього, слід дотримуватися обережності при роботі в Інтернеті. «Шахраї широко використовують прийоми «соціальної інженерії» для того, щоб виманити аутентифікаційні дані (логін, пароль і т.д.) клієнтів. Найбільш старий метод - «фішингові» листи електронної пошти, які провокують одержувачів відправити свої аутентифікаційні дані зловмисникам або пропонують пройти за посиланням на шахрайський сайт. З ростом популярності соціальних мереж («Однокласники», Twitter, Facebook) шахраї тут же почали використовувати для «фішингу» повідомлення соціальних мереж. Також зловмисники створюють підроблені копії сайтів для Інтернет-банкінгу з іменами, дуже схожими на справжні», - пояснює Борис Косяков. І якщо ви введете на такому сайті дані свого облікового запису, то вони тут же потраплять в руки до шахраїв.

Якщо у вас виникли побоювання, що шахраї отримали доступ до вашого рахунку через Інтернет-банкінг, експерти радять зробити наступні дії:

  • відключити комп'ютер від Інтернету;
  • вернутися в контакт-центр (а при необхідності - в відділення) вашого банку, розказати про проблему і попросити заблокувати ваш обліковий запис;
  • перевірити комп'ютер на предмет зараження шкідливим програмним забезпеченням;
  • відновити роботу з системою онлайн банкінгу тільки тоді, коли ви переконалися, що загроза відсутня;
  • змінити пароль від облікового запису.

Якщо ваші підозри виправдалися, і з рахунку було списано несанкціоновані вами платежі, слід написати заяву про те, що сталося в банк і в правоохоронні органи. В цьому випадку не рекомендується здійснювати ніяких дій на вашому комп'ютері (встановлювати або видаляти програмне забезпечення і т.п.) до прибуття співробітників правоохоронних органів або фахівців банку, оскільки будь-які зміни можуть перешкодити розслідуванню інциденту.

Системи безпеки Інтернет-банкінгу, що використовуються найбільшими українськими банками, можна подивитися в нашому рейтингу

Інші небезпеки

Крім ризику шахрайського злому, користувач Інтернет-банкінгу піддається і іншим загрозам. Наприклад, небажане списання коштів через Інтернет-банкінг може статися, якщо користувач сам неправильно ввів дані для відправки грошей.

«Якщо клієнт при відправці платежу через Інтернет-банкінг припустився помилки в номері рахунку, то процедура повернення такого платежу нічим не відрізняється від того, якби платіж був відправлений при відвідуванні відділення банку. Побачивши, що платіж в системі Інтернет-банкінгу відправлений помилково, клієнт повинен повідомити про це свій банк », - коментує Юлія Морозова, директор департаменту розвитку карткового бізнесу VAB Банку.

Експерти відзначають, що успішність виправлення такої помилки в першу чергу залежить від швидкості реакції на неї самого потерпілого. Якщо ваші кошти ще не були відправлені в банк одержувача, то ви отримаєте їх назад майже відразу. Якщо платіж вже надійшов в інший банк - то доведеться трохи почекати. «Якщо гроші були відправлені в інший банк на рахунок юридичної особи, то в зв'язку з тим, що інші реквізити не відповідають рахунку, гроші будуть повернені протягом трьох днів або на підставі заяви», - розповідає Ростислав Божко, провідний спеціаліст управління альтернативної дистрибуції МАРФІН БАНКУ. Втім, повернення коштів може затягнутися і на більш тривалий термін. «Точні терміни повернення в даному випадку будуть залежати від банку одержувача. Тобто, як тільки банк-одержувач поверне кошти банку-відправнику, кошти будуть зараховані на рахунок клієнта », - пояснює Юлія Морозова.

Складніше за все справа йде в тому випадку, якщо гроші були відправлені на рахунок фізичної особи і вже надійшли на його рахунок. «Якщо кошти були зараховані одержувачеві, то згідно п.1.7. і 1.19. Інструкції НБУ «Про безготівкові розрахунки в Україні в національній валюті» №22 від 21.01.04 р. розпорядником коштів є власник рахунку. Відповідно, лист з проханням повернути помилково перераховані кошти на рахунок клієнта необхідно направляти одержувачу коштів », - розповідає Єгор Ізотов. В такому випадку повернути свої гроші ви зможете або за згодою одержувача, або за рішенням суду.

Втім, Інтернет-банкінг не застрахований і від інших ризиків, до виникнення яких люди не причетні. Наприклад, якщо під час проведення операції виникне технічний збій. Експерти запевняють, що такий ризик не несе великої загрози для власника рахунку. «Системи Інтернет-банкінгу, як, і будь-які інші сучасні системи обробки даних, влаштовані таким чином, що в разі технічного або програмного збою в процесі транзакції документ просто не буде прийнятий банком», - розповідає Єгор Ізотов. Але навіть якщо невірна операція все ж була проведена - варто відразу ж звернутися в банк для виправлення помилки. «Якщо при здійсненні переказу відбудеться збій в транзакції, то про такий збій досить проінформувати банк і кошти будуть повернуті на рахунок в найкоротші терміни», - запевняє Ростислав Божко.

У той же час, користувач Інтернет-банкінгу може зіткнутися і з набагато неприємнішою ситуацією. Так, за повідомленнями в ЗМІ, клієнт одного з російських банків на початку 2009 року потрапив в неприємну історію, коли одноразові паролі на підтвердження платежів в системі Інтернет-банкінгу надсилались не на його, а на чужий номер мобільного телефону. В результаті, шахраями з рахунку було списано великі суми грошей. Потерпілий упевнений, що в інциденті замішані співробітники банку, адже тільки вони могли не просто повідомити зловмисникам реєстраційні дані (логін і пароль від облікового запису), а й відправляти їм разові паролі.

Досвід потерпілого в цій ситуації показує, що довести щось в таких обставинах досить складно. Швидше за все, доведеться звертатися до суду, а його рішення багато в чому залежатиме від змісту договору, підписаного з банком. Втім, експерти відзначають, що такого виду шахрайство не пов'язане безпосередньо з використанням Інтернет-банкінгу, адже в присутності недобросовісного співробітника шахраї могли з таким же успіхом оформити підроблене платіжне доручення.

Думка

 

Ростислав Божко, провідний спеціаліст управління альтернативної дистрибуції МАРФІН БАНК

Перерахуємо деякі рекомендації, які будуть корисні всім користувачам Інтернет-банкінгу, перш за все:

  • використовувати антивірусне програмне забезпечення і міжмережеві екрани (файрволи), відомих виробників
  • обмежувати доступ до комп'ютерів, з яких ведеться робота з системою Інтернет-банкінг, стороннім особам;
  • не працювати на комп'ютері, з якого виконується робота з системою Інтернет-банкінг, з правами системного адміністратора;
  • не використовувати для роботи в мережі Інтернет та в системі Інтернет-банкінг неперевірені комп'ютери (наприклад, в Інтернет-кафе), на яких може бути встановлено шкідливе програмне забезпечення.

Борис Косяков, начальник управління інформаційної безпеки Астра Банка

Що робити клієнту, якщо його обліковий запис зламали?

В першу чергу потрібно відключити зламаний (заражений) комп'ютер від мережі і повідомити про це в банк, щоб заблокувати обліковий запис клієнта для запобігання шахрайства.

Забезпечити збереження всіх необхідних даних для подальшого розслідування - нічого не змінювати на зламаному (зараженому) комп'ютері.

Для розслідування залучати кваліфікованих фахівців (з банку або спеціалізованих фірм). Тільки кваліфіковане розслідування і з'ясування причини допоможе уникнути подібних інцидентів надалі.





Хочете отримувати повідомлення на ваш email, коли ми опублікуємо нові статті?

також стежити за оновленнями сайту можна в Facebook Instagram Twitter Viber Telegram

Горячие предложения

UniGroup

Кредит под залог недвижимости. Срочный выкуп недвижимости

Сумма от 30 000 до 50 000 000 грн. (в любой валюте).

Срок от 1 месяца до 10 лет.

100 л. топлива в подарок каждому клиенту.

Территория Киев, Киевская область до 35 км, Одесса, Харьков, Днепр, Львов, Полтава, Житомир, Ивано–Франковск, Черкассы, Черновцы, Чернигов, Сумы.

Залоговые кредиты в Киеве и области

Кредит під заставу нерухомості, авто, спецтехніки, золота та ін.

від 18% річних. Рішення за 30 хвилин

Будь-яка кредитна історія

Без довідки про доходи та поручителів

Будь-які суми від 15 000 грн. і вище

До 85% від вартості застави

RwS bank

Депозит для фізичних осіб «Stability»

Отримуйте максимальний дохід від валютних накопичень

Ставка у валюті, % річних - до 4%

Сума - від 100 євро / долар

Максимальна сума - без обмежень

Депозитний вклад захищено Фондом гарантування вкладів фізичних осіб

Корисні статті з даної тематики