Зовнішні електронні пристрої

Деякі банки пропонують користувачам он-лайн банкінгу придбати (або взяти в оренду) спеціальний пристрій - генератор одноразових паролів. Генератор підключається до комп'ютера через usb-порт і не вимагає спеціального програмного забезпечення.

Інші фінансові установи пропонують використовувати зовнішній електронний ключ, який генерується при першому підключенні до системи Інтернет-банкінгу, записується на зовнішній носій і потім використовується при проведенні операцій в системі (саме про такий варіант ЕЦП на флеш-карті йшлося трохи вище).

Такі системи, по суті, є спрощеною версією ЕЦП. Серед недоліків їх можна виділити те, що клієнт не зможе отримати доступ до свого рахунку, не маючи під рукою «ключа», а завжди носити його з собою може бути не дуже зручно і безпечно.

Крім перерахованого вище, банки найчастіше застосовують додаткові заходи для забезпечення безпечного користування Інтернет-банкінгом:

- обмеження використання особистого сертифікату - система деяких банків дозволяє використовувати електронний ключ (електронний сертифікат) тільки на тому комп'ютері, на якому він був згенерований. Таким чином, здійснювати платежі через Інтернет-банкінг ви зможете тільки зі свого особистого комп'ютера (хоча переглядати виписки по рахунку можна і на інших пристроях);

- віртуальна клавіатура - призначена для того, щоб шахраї не могли «зчитати» ваші реєстраційні дані при введенні їх зі звичайною клавіатури за допомогою комп'ютерних вірусів («троянів»);

- обмеження тривалості сесії - у випадку неактивності користувача, сесія в системі Інтернет-банкінгу через певний час (зазвичай 10-15 хвилин) буде закрита (в Приват24 через 15 хвилин). Після цього для відновлення роботи потрібно заново пройти аутентифікацію;

- історія підключень - за допомогою цієї функції користувач Інтернет-банкінгу дізнається, якщо хтось крім нього підключався до системи, а також зможе відстежити всі несанкціоновані операції, якщо вони були зроблені (в Приват24 зберігається список IP, з яких були спроби невдалих підключень з невірним паролем).

Експерти відзначають, що найчастіше причиною шахрайського доступу до рахунку користувача Інтернет-банкінгу є неуважність і необережність самого користувача. А тому, щоб уникнути можливих проблем, власникові облікового запису слід берегти дані доступу до неї. По-перше, експерти радять періодично змінювати паролі для доступу в систему, бажано робити це раз на місяць і не використовувати Інтернет-банкінг на неперевірених комп'ютерах (наприклад, в Інтернет-кафе).

По-друге, слід дотримуватися обережності при роботі в Інтернеті. Шахраї широко використовують прийоми «соціальної інженерії» для того, щоб виманити аутентифікаційні дані (логін, пароль і т.д.) клієнтів. Найбільш старий метод - «фішингові» листи електронної пошти, які провокують одержувачів відправити свої аутентифікаційні дані зловмисникам або пропонують пройти за посиланням на шахрайський сайт. З ростом популярності соціальних мереж («Однокласники», Twitter, Facebook) шахраї тут же почали використовувати для «фішингу» повідомлення соціальних мереж. Також зловмисники створюють підроблені копії сайтів для Інтернет-банкінгу з іменами, дуже схожими на справжні (в Росії, наприклад, було вже кілька гучних конфліктів, причому копії створювалися для сайту Ощадбанку та інших великих банків). І якщо клієнт введе на такому сайті дані свого облікового запису, то вони тут же потраплять в руки до шахраїв. При цьому СМС - пароль, як правило, виманює у клієнта по телефону під приводом того, що оператор (насправді зловмисник) з його допомогою скасує останню помилкову операцію (насправді переведе всі кошти з усіх рахунків клієнта себе). Треба знати, що паролі на скасування операцій в Інтернет-банках ніколи не приходять, тільки на виконання. На помилкові операції клієнт повинен складати спеціальну заявку, і вони будуть не скасовані, а повернуті кошти за помилковим транзакцій через час, і то при наявності можливостей (якщо транзакція фізособі, необхідна її згода). Під час роботи з сайтом Інтернет-банку необхідно також звертати увагу на адресний рядок в браузері. Якщо це дійсно адресу Інтернет-банку, то робота йде по захищеному SSL протоколу, і адреса повинна починатися з префікса HTTPS. Якщо ж сайт підроблений (при цьому доменне ім'я може збігатися), то, швидше за все, адреса буде починатися з префікса звичайного TCP / IP протоколу - HTTP. Однак і тут не варто втрачати пильність, оскільки на сьогодні є сервіси, що дозволяють захистити сервер будь-якому користувачеві за допомогою протоколу SSL, і, отже, і сервер шахраїв теж може бути захищений.

Якщо в клієнта виникли побоювання, що шахраї отримали доступ до його рахунку через Інтернет-банкінг, експерти радять зробити наступні дії:

- відключити комп'ютер від Інтернету;

- звернутися до контакт-центру (а при необхідності - у відділення) банку, викласти проблему і попросити заблокувати обліковий запис;

- перевірити комп'ютер на предмет зараження шкідливим програмним забезпеченням;

- відновити роботу з системою он-лайн банкінгу тільки тоді, коли підтверджено, що загроза відсутня;

- змінити пароль від облікового запису.

Якщо підозри клієнта виправдалися, і з рахунку були списані несанкціоновані їм платежі, слід скласти заяву про події в банк і в правоохоронні органи. В цьому випадку не рекомендується робити ніяких дій на комп'ютері (встановлювати або видаляти програмне забезпечення тощо) до прибуття співробітників правоохоронних органів або фахівців банку, оскільки будь-які зміни можуть перешкодити розслідуванню інциденту.

Системи безпеки Інтернет-банкінгу, що використовуються найбільшими українськими банками, представлені в таблиці 1.2.

Таблиця 1.2 - Системи безпеки Інтернет-банкінгу, що використовуються найбільшими українськими банками

Оцінити системи Інтернет-банкінгу в цілому можна за допомогою критеріїв та питань, наведених в таблиці 1.3.

Таблиця 1.3 – перелік критеріїв та питань для аналізу систем Інтернет-банкінгу в Україні

Продовження таблиці 1.3