Электронные деньги: ключ к безопасности в руках клиентов

Наличные деньги сегодня постепенно уходят из повседневной жизни россиян, освобождая место пластиковым картам и электронным кошелькам. Этот процесс – неотъемлемая часть мирового прогресса, который сопряжен с определенными рисками. Особо остро стоит вопрос безопасности интернет-банкинга. Можно ли рассчитывать на сохранность своих денежных средств? Кто должен обеспечивать их защиту от мошенников? Готовы ли россияне к технологическому прогрессу и насколько уровень их грамотности и сознательности адекватен уровню развития киберпреступлений?

Интернет-мошенников становится больше

Рынок киберпреступности в России удвоился до 2,3 млрд долларов по сравнению с 2010 годом, что является «непропорционально высоким уровнем активности, учитывая скромные 143 млн населения страны», говорится в докладе, опубликованном русской исследовательская компания Group-IB. Согласно данным компании, мировой рынок киберпреступности составил около 12,5 млрд долларов. Причем, две трети это рынка приходятся на российских преступников. В докладе Россия обозначена, как «крупная цифровая сверхдержава преступлений».

Практически каждый день новостные программы пестрят сообщениями о фактах мошенничества в сфере электронных банковских услуг. Наиболее распространенной реакцией населения на такие случаи является обвинение банка в ненадежности. Безусловно, обязанности по максимальной защите средств лежат на банке. Ежегодно банковские структуры вливают огромные суммы в совершенствование технологий защиты электронных услуг и исследования механизмов работы мошенников. Но, как выразился заместитель председателя правления «Челябинвестбанка» Игорь Юдович, это как постоянная борьба брони и снаряда. «Три-четыре года назад электронные цифровые подписи (ЭЦП) были на дискетах и флешках. Возникла новая волна вирусов, способная копировать их и переправлять мошенникам. Тогда были разработаны специальные usb-устройства, извлечь ключи из которых невозможно. Мошенники в ответ реинкарнировали вирусы, способные эксплуатировать usb-порт удаленно. Тогда появился новый способ защиты – генераторы одноразовых паролей. И эта борьба будет продолжаться дальше», – пояснил Игорь Юдович.

Рост количества киберпреступлений обусловлен многими факторами. Во-первых, то, что денежная масса в большей степени присутствует в электронном виде, нисколько не уменьшает количество желающих получить легкую прибыль. «Наоборот, мошенники проявляют чудеса изобретательности и ищут новые пути незаконного получения денег», – считает начальник операционного офиса в Челябинске Банка 24.ру Александр Поляков. А начальник отдела дистанционного банковского обслуживания (ДБО) ВТБ24 Елена Дегтева полагает, что усиление активности мошенников в сфере электронных банковских услуг вполне логично. «Быстрыми темпами растет и сфера оказания банковских услуг через удаленные каналы обслуживания и, в первую очередь, через Интернет. Сервисы становятся более удобными, практически любую операцию можно осуществить моментально, не выходя из дома. Это привлекает все большее количество пользователей, а значит и мошенников», – добавляет Елена Дегтева. Получается, что рост числа активных пользователей как Интернета, так и электронных банковских услуг самым непосредственным образом провоцируют мошенников на совершение преступных действий: прогресс вывел преступников на новый уровень.

Но это еще далеко не все причины активного развития киберпреступлений. Основная, и, пожалуй, сама трудно поддающаяся искоренению причина – низкий уровень грамотности населения в сфере интернет-безопасности. «К сожалению, рост количества пользователей карт и систем ДБО не сопровождается пропорциональным ростом финансовой грамотности населения: большинство пользователей не соблюдает элементарных правил безопасности», – говорит директор департамента продаж и продуктов «Росгосстрах Банка» Ли Вилен.

Беспечность и невнимательность – лучший способ расстаться с деньгами

Интернетом умеют пользоваться все, а вот правила безопасности соблюдают немногие. «Проблема обеспечения доверенной среды на конечном компьютере пользователя стоит особенно остро. Ни один из клиентов не может с полной уверенностью сказать, что кроме программ, которые он установил на свой компьютер, на нем не действуют другие, разработанные и установленные с одной единственной целью – украсть деньги, – отмечает Игорь Юдович. – Опасность «случайно» заразить свой компьютер есть всегда. Наши компьютеры окружает рой вирусов, которые только и ждут момента, чтобы проникнуть в операционную систему. А когда это происходит, и деньги исчезают со счетов, клиент готов обвинить кого угодно, только не себя. И в первую очередь будет виноват банк. А почему же тогда, когда обворовывают квартиру, люди не обвиняют в этом производителя замка?»

«Большая часть мошеннических операций совершается вследствие невнимательности и излишней доверчивости самих пользователей, а также из-за несоблюдения правил безопасности при работе через Интернет», – добавляет Елена Дегтева. «Беспечность клиентов при оплате товаров и услуг с помощью банковских карт в Интернете, а так же при использовании систем дистанционного обслуживания, подталкивает мошенников к активным действиям», – уверен Александр Поляков.

Наиболее распространенным видом мошенничества, с которым сталкиваются пользователи электронных банковских услуг, являются действия, направленные на получения информации для распоряжения денежными средствами клиента от его имени. Мошенники выманивают личную информацию у пользователей разными механизмами. Социальный инжиниринг – одно из самых мощных психологических орудий преступников. Невнимательность и рассеянность уводит пользователей на поддельные страницы интернет-банков, где требуется ввод паролей. «Весьма распространено СМС-мошенничество, когда, например, клиенту приходит СМС якобы от имени банка с сообщением о том, что его карта заблокирована и о необходимости совершить ряд действий для ее разблокировки, в результате которых реквизиты карты оказываются в руках мошенников (так называемый «фишинг»)», – говорит Елена Дегтева.

Беспечность и излишнее любопытство толкает клиентов на посещение сомнительных сайтов, в том числе и новостных, которые содержат вредоносные программы, распространяющиеся массово. Кстати, социальные сети тоже являются потенциальным источником опасности. Как утверждает Игорь Юдович, практически любой сайт, на котором собирается много посетителей, в очень короткое время становится площадкой для распространения вредоносных программ, которые попадая на компьютер клиента, использующего интернет-банк, перехватывают управление и от имени клиента списывают средства в адрес злоумышленников. «Чаще всего клиент узнает об этом уже тогда, когда денежные средства уже похищены и получены соучастниками преступной группы», – говорит Александр Поляков. Возможны варианты физического похищения ключей ЭЦП или карт с одноразовыми паролями. Также весьма распространенным способом мошенничества является перехват информации о данных карты в Интернете. «Так, некоторые интернет-магазины сохраняют на своих серверах данные о банковских картах клиентов», – рассказывает Ли Вилен. Преступники даже распространяют вредоносное программное обеспечение через ДБО, высылая диски с якобы обновленным сертификатом системы, который на самом деле похищают компоненты ключа ЭЦП. И список подобных методов, которыми пользуются мошенники, можно продолжать бесконечно.

Банки: защита по-максимуму

Для обеспечения информационной безопасности в системах дистанционного банковского обслуживания кредитные организации применяют все возможные технические достижения: от паролей до многоуровневых систем безопасности. Банки сознательно усложняют процедуры доступа к управлению счетами, несмотря на то, что клиенты этим обычно не довольны. Однако все это может оказаться недейственным, если сам пользователь не принимает участия в создании безопасной среды. Каждый банк при заключении договора на услуги информирует клиентов о необходимых мерах предосторожности при работе с интернет-банкингом. Однако заставить или тем более проверить, насколько добросовестно они исполняются, банк может не всегда.

Варианты надежной защиты компьютера существуют, однако ими, по мнению Игоря Юдовича, мало кто пользуется – это требует навыков и определенных знаний. Также, по его мнению, необходимо активно прививать принципы информационной безопасности с малых лет. В развитых странах основы информационной безопасности начинают преподавать с детства. Школьникам рассказывают о том, что не нужно выкладывать в Интернет личную информацию: при грамотном подходе мошенников она может нанести существенный вред владельцу.

Осложняет ситуацию и несовершенство правоохранительных механизмов. Киберпреступники в большинстве своем работают группировками, и отследить их действия практически не возможно. Большую роль в этом играет территориальная разрозненность – перечисление средств произошло в одном регионе, а банк получатель находится в другом. Кто будет заниматься расследованием? Наибольшая вероятность вернуть или приостановить платеж возможна в первые полчаса после свершения операции. Учитывая то, что электронные переводы свершаются мгновенно, на другом конце страны деньги к этому моменту уже могут быть обналичены. Избежать подобных ситуаций помогает система смс-оповещения, но эффективна она только в том случае, если клиент сам проявляет ответственность при обращении с пластиком. Банк же в случае хищения денежных средств со счета практически не несет потерь. «Мы можем доказать, что сделали все возможное для безопасности счета, а также то, что уведомили клиента о необходимости соблюдения определенных правил», – говорит Игорь Юдович.

Закон толкнет банки на крайности

Однако все изменится, когда 1 сентября 2012 года вступят в силу поправки в Гражданский кодекс России. Банки будут обязаны компенсировать своим клиентам пропавшие со счетов денежные средства, если сами кредитные организации не сумеют подтвердить, что несанкционированная операция произошла по вине клиента. Принципиальное отличие от действующего порядка компенсации заключается в том, что клиенту не придется самостоятельно доказывать свою невиновность. Банкиры же в свою очередь не уверены в действенности новых мер. Зная заранее, что не придется доказывать свою непричастность к операции и что средства все равно вернут, клиент может легко воспользоваться этим в своих целях.

«С одной стороны, данная поправка может увеличить чувство защищенности клиентов банков и их заинтересованность в дистанционном банковском обслуживании. Предполагается, что клиент будет в курсе каждой операции, проведенной дистанционно от его имени. При этом стоит отметить, что за актуальность своих данных (адрес электронной почты, номер мобильного телефона) клиент несет ответственность сам и в случае их изменения должен оперативно известить банк, – говорит Елена Дегтева. – С другой стороны, если такой закон вступит в силу, скорее всего банками будут лоббироваться изменения в законопроект, предусматривающие ситуации, в которых с банков такая обязанность будет снята (в случаях несоблюдения клиентом соответствующих правил безопасности). Клиенты, зная, что банк в любом случае все компенсирует, могут стать еще менее бдительными, что может оказаться на руку мошенникам. Аналогичные ситуации, скорее всего, банки постараются отразить в договорах и клиентских правилах дистанционного обслуживания».

«Закон впервые вводит отзывность платежных поручений, – говорит Игорь Юдович. – Он устанавливает требование по информированию клиентов, но механизм доказательной базы информирования, увы, не прописан. А о том, как будут разворачиваться события, мы увидим только после 1 сентября. Однако уже сейчас можно сказать, что банки, в случае вступления закона в силу в том варианте, который представлен сейчас, будут вынуждены минимизировать свои риски». Возможен и другой вариант: законодатели учтут замечания банкиров и подкорректируют поправки, чтобы сделать законопроект поистине действенным для защиты клиентов.