Интернет-воры работают по старинке

Случаи мошенничества с интернет-банкингом заставили россиян задуматься о безопасности этой популярной услуги. Основные банковские операции — проведение платежей и списание со счетов через глобальную сеть — как правило, надежно охраняются. Банки постоянно совершенствуют системы защиты данных, делая их практически недоступными для хакеров и вирусов. Однако даже самые современные технологии бессильны перед "человеческм фактором".

На днях клиенты Альфа-Банка пожаловались "Ведомостям" на то, что с их счетов были незаконно списаны крупные суммы. Оба гражданина пользовались счетами в системе интернет-банкинга "Альфа-Клик". Чтобы попасть в интернет-банк и получить выписку со счета, они должны были в специальном поле ввести логин и пароль, а для совершения платежа — еще и разовый код доступа, который высылается клиентам на мобильник в виде sms-сообщения.

28 марта два клиента Альфа-Банка обнаружили, что их сотовые телефоны не работают. Днем позже выяснилось, что не подходят пароли к интернет-банку, и после нескольких попыток ввести недействующий пароль счета были заблокированы.

30 марта один из клиентов обратился в банк, сотрудник которого разблокировал счет, но пароль снова не подошел. Чтобы разобраться с телефоном, клиент банка обратился к своему сотовому оператору (МТС), который посоветовал ему заменить sim-карту. Получив заветную "симку", гражданин наконец-то смог воспользоваться новым паролем и ознакомиться с состоянием счета, который, как выяснилось, за последние два дня значительно уменьшился. Пока телефон не работал, было совершено три операции: конвертация 3500 евро в рубли и перевод 100 тыс. и 99 тыс. руб на другой счет в Альфа-Банке в виде "материальной помощи".

Похожая история произошла и со вторым клиентом банка. Разница лишь в том, что он являлся абонентом "Мегафона". Как выяснилось, и МТС, и "Мегафон" 28 марта получили заявления на перевыпуск sim-карт пострадавших. Очевидно, заявления были похожи на настоящие и подтверждались соответствующими документами.

Представители Альфа-Банка и сотовых операторов сообщили, что проводят расследование по каждому из этих случаев. Позже клиенты Альфы рассказали журналистам, что банк уже возместил им потери. В кредитной организации давать подробные комментарии "Росбалту" отказались, сославшись на то, что без проведения подробного расследования делать какие-либо выводы преждевременно. Однако, как утверждают эксперты, в данном случае винить банк или оператора связи в неэффективной защите от мошенничества нет смысла. Налицо — примитивные махинации с поддельными документами, перед которыми бессильны любые технические средства защиты.

Между тем, именно на средствах технической защиты концентрируют усилия большинство участников рынка. Они вынуждены пристально следить за безопасностью, поскольку количество россиян, которые предпочитают пользоваться банковскими услугами через Интернет, ежегодно увеличивается. Как стало известно "Росбалту", за прошлый год популярность online-сервисов "Абсолют банка" выросла на 40%, у системы "Телебанк" ВТБ 24 — в 2 раза. Такими же темпами увеличивалось количество интернет-клиентов Альфа-Банка. Причем в регионах этот процесс идет еще быстрее.

При помощи систем интернет-банкинга, которые предлагаются большинством крупнейших российских банков, клиенты могут покупать и продавать валюту в режиме online, совершать денежные переводы, размещать депозиты, оплачивать коммунальные услуги, сотовую связь и доступ в Интернет — причем практически круглосуточно, и иметь доступ к средствам на счете из любой точки мира.

Спрос на online-услуги банков растет и среди корпоративных клиентов. Как поясняет управляющий филиала "Абсолют Банка" в Санкт-Петербурге Виталий Демидов, это позволяет избежать лишнего бумажного документооборота, значительно ускоряет и упрощает процесс передачи в банк платежных документов и их последующее исполнение. "Для клиентов — это прямая экономия времени и сил своих сотрудников, которым больше не нужны ежедневные утомительные поездки", — говорит Демидов. При этом банк тоже получает выгоду: сокращается нагрузка на сотрудников и издержки.

Банкиры утверждают, что система интернет-банкинга безопасна. По словам начальника отдела управления интернет-банкингом Альфа-Банка Дмитрия Каштанова, если пользователь соблюдает все правила и хранит свои пароли в тайне, доступ к его счетам посторонних лиц невозможен. "Для обеспечения должного уровня безопасности в "Альфа-Клик" реализованы такие технологии, как шифрование данных при работе с интернет-банком, одноразовые пароли по SMS, виртуальная клавиатура, проверка подлинности страницы интернет-банка и другие высокотехнологичные функции. Помимо этого, выходят новые антивирусные программы и продукты для защиты компьютера", — сообщил Каштанов.

Абсолют-банк, по словам Виталия Демидова, для исключения возможности мошеннических операций в системе iBank2 предоставляет клиентам USB-токен-устройство. Оно обеспечивает защиту ключей электронной цифровой подписи (ЭЦП) от вредоносных программ. Кроме того, с клиентом заключается соглашение об IP-фильтрации, позволяющее ограничить список IP-адресов, с которых будет осуществляться доступ к системе.

По словам вице-президента, директора департамента розничного бизнеса ВТБ 24 Юлии Деменюк, безопасность клиентов в системе "Телебанк" обеспечивается электронно-цифровой подписью с использованием программы "Inter-Pro" и технологией OTP (One Time Passowrd): для авторизации и подтверждения операций используются одноразовые коды, нанесенные на пластиковую карту и покрытые защитным слоем.

Услуга SMS-информирования также предоставляется в большинстве кредитных организаций. Она позволяет оперативно отслеживать факт входа в систему, отправку платежных документов и движение средств, находящихся на счете. Также в целях дополнительной защиты многие участники рынка отправляют одноразовые пароли на мобильный телефон клиента. Каждый номер мобильного телефона зарегистрирован на одного абонента — его паспортные данные хранятся в базе данных оператора. Как правило, в случае кражи мобильника его хозяин сразу же просит оператора связи заблокировать номер и перевыпустить "симку" — эта процедура занимает несколько минут, и для ее проведения нужен паспорт.

Кроме того, чтобы взломать чужой банковский счет, мошеннику недостаточно просто воспользоваться его sim-картой — необходимы еще и постоянные коды доступа. Поэтому вероятность ограбления с помощью мобильного телефона сводится к минимуму. Однако, как известно, техническая защита порой не срабатывает при подключении "человеческого фактора".

Как поясняет программист компании Destiny Sphere Даниил Иванов, с технической стороны используемые сегодня системы интернет-банкинга обеспечивают достаточную степень защиты, что подтверждается сертификатами ФСБ РФ. Уязвимость, как правило, кроется в пренебрежении людьми мерами безопасности. Именно так и случилось с "Альфа банком", считает эксперт. Причем "человеческий фактор" в данной ситуации сработал дважды: сначала мошенник получил доступ к основным логину и паролю жертвы, а затем — и к одноразовому паролю, высланному в виде SMS.

"Это говорит либо о том, что клиент банка не позаботился о безопасном хранении логина и пароля, либо - что пароль оказалось слишком легко подобрать. Именно для защиты от такого рода махинаций и высылается SMS-кой одноразовый пароль для совершения платежа. Однако в данном случае и эта защита не сработала — с помощью поддельных документов мошенник смог перевыпустить SIM-карту жертвы", — поясняет Иванов.

По мнению эксперта, сотовые операторы в данном случае не виноваты. Ведь если документы выглядят подлинными, почему их должны перепроверять? Кроме того, процесс проверки документов на подлинность (например, звонок в выдавшую их организацию) значительно удлиняет все бизнес-процессы, и в итоге потребители будут недовольны.

Впрочем, расследование по факту пропажи денег со счетов клиентов "Альфа-банка" еще только началось. Возможно, эта история получит продолжение, а "банкиры" и "связисты" сделают соответствующие выводы — операторы будут более внимательно относиться к предъявляемым документам, а банки внедрят новые средства технической защиты. Однако все равно никто не может дать 100-процентную гарантию безопасности управления деньгами через Глобальную сеть.

Мария Коваценко