Підбір кредитів:
-
-
-
Які потенційні небезпеки або проблеми можуть очікувати користувачів інтернет банкінгу? 08.09.2011
Чого очікувати любителям користуватися інтернет-банкінгом, і як підготуватися до можливих проблем у користуванні - дізнавався експертів Prostobank.ua.
Борис Косяків, начальник управління інформаційної безпеки Астра Банку
Основна небезпека, що підстерігає користувачів інтернет банкінгу, це шахрайські платіжні операції. З року в рік зловмисники придумують все нові трюки і технічні прийоми.
Найбільш слабкою ланкою будь-якої технологічної схеми завжди є людина. Тому шахраї широко використовують прийоми "соціальної інженерії" для того, щоб виманити аутентифікаційні дані (логін, пароль і т.д.) клієнтів. Найбільш старий метод - "фішингові" листи електронної пошти, які провокують одержувачів відправити свої аутентифікаційні дані зловмисникам або пропонують пройти по посиланню на шахрайський сайт. Із зростанням популярності соціальних мереж ("Однокласники", Twitter, Facebook) шахраї тут же почали використовувати для "фішингу" повідомлення соціальних мереж. Також зловмисники створюють підроблені копії сайтів для інтернет банкінгу з іменами, дуже схожими на справжні. Ці сайти також використовується для отримання конфіденційних даних користувачів.
Раніше часто використовувалася схема "man in the middle": дані про платіж перехоплюються на етапі, коли вони відправлені від клієнта, але ще не дійшли в банк. Шахрай змінює дані і тільки після цього відправляє їх у банк. Таке можливо, якщо трафік не шифрується або використовуються слабкі алгоритми шифрування. Тому зараз шахраї використовують нову технологію "man in the browser": підміна даних про платіж здійснюється прямо на комп'ютері клієнта у програмному коді браузера, але користувач цього не помічає, так як йому на екран відображаються правильні дані. Здійснюється це за допомогою зараження комп'ютера спеціальними шкідливими програмами - "троянами".
Також існують "трояни", що вміють знаходити і красти на зараженому комп'ютері аутентифікаційні дані (ідентифікатори, паролі і навіть ключі ЕЦП) користувачів для доступу до різних сервісів (у тому числі, серверів віддаленого обслуговування клієнтів банків), і навіть здійснювати дистанційне управління зараженими комп'ютерами. Тобто користувач може і не помітити, як з його комп'ютера зловмисник здійснить хоч якусь операцію.
Изотов
Єгор Ізотов, начальник відділу інформаційно-технічного захисту Південкомбанку
В даний час, з огляду на те, що доступ до мережі Інтернет перестав бути прив'язаним до проводових ліній передачі даних, а число провайдерів зв'язку, що надають послуги доступу до Інтернет, навіть у найбільш глухих куточка світу відрізняється від одиниці в більшу сторону, проблема відсутності зв'язку перестала існувати як така. Звісно, є ще проблема недоступності цього сервісу з причини несправностей на стороні банків або дій зловмисників, спрямованих проти банків, але, як правило, її також не можна відносити до числа таких, що часто зустрічаються.
Єдиною істотною небезпекою, яка може підстерігати користувачів цих систем, є ризик протиправного заволодіння їх коштами зловмисниками, з використанням можливостей систем "інтернет банкінгу", втім, як і будь-яких інших типів систем дистанційного обслуговування.
Обновлено: 08.09.2011
Автор: Простобанк Консалтинг
