Стремительно развивающийся в России интернет-банкинг все более притягателен не только для клиентов и самих банков, но и для преступников. Клиенты Банка Москвы утверждают, что в результате
Благодаря бурному развитию Интернета дистанционное обслуживание клиентов становится для банков едва ли не самым перспективным направлением бизнеса. Преимущества интернет-банкинга очевидны: для клиентов это прежде всего экономия времени, ведь необходимые операции, будь то оплата коммунальных услуг, перевод денег или открытие вклада, можно провести, сидя за своим домашним компьютером. Банкам это тоже выгодно — можно сэкономить на содержании допофисов. Популяризация банковских операций через Интернет не могла не привлечь внимания мошенников, которые создают высококачественные вирусы для хищения персональных данных, а вместе с ними и денег клиентов.
В такой ситуации оказались некоторые клиенты Банка Москвы, в том числе вкладчик Александр, который
В конце июня на портале Банки.ру официальный представитель Банка Москвы заявила, что платеж был проведен на основании легитимных электронных платежных документов, подтвержденных корректной ЭЦП, принадлежащей клиенту. То есть банк не мог не выполнить данное поручение и провел операцию. «Скорее всего, ваш компьютер с хранящимися в нем данными подвергся хакерской атаке вследствие недостаточных принятых Вами мер безопасности, — говорится в ответе. — Данные о Вашем аккаунте в системе интернет-банкинга Банка Москвы вместе с инструментами доступа к нему могли быть похищены третьими лицами».
По словам директора департамента информационных технологий СДМ-Банка Олега Илюхина, мошенники преимущественно используют два вида вируса. Первый ворует пароль и логин клиента для входа в интернет-банк, а также похищает файл с ЭЦП. Второй вариант — запущенный вирус позволяет мошенникам получить удаленный доступ к компьютеру клиента. Соответственно, все операции злоумышленники проводят якобы с компьютера пользователя.
В Банке Москвы полагают, что не виноваты в произошедшем. «Согласно нашему с вами договору, вы несете ответственность за безопасность хранения ваших данных и средств доступа к счету», — говорится в официальном ответе кредитной организации на портале Банки.ру.
Этот же посыл содержится и в письме Александру за подписью управляющего директора блока «Розничный бизнес» Банка Москвы Кирилла Алтухова. Кроме того, в документе клиенту напоминают про пункт договора, согласно которому «вы признаете, что используемая система Internet-банкинг является достаточной для обеспечения надежной работы при приеме, передаче, обработке и хранении информации, а также для защиты информации, обеспечивающей разграничение доступа, шифрование, контроль целостности. Электронно-цифровая подпись достаточна для защиты от несанкционированного доступа, подтверждения подлинности и авторства электронных документов, а также для разбора конфликтных ситуаций по ним. При подписании договора вы доверяете программному обеспечению системы Internet-банкинга».
Несмотря на этот пункт договора, Александр не считает интернет-банкинг Банка Москвы безопасным для клиентов. Для того чтобы провести операцию, клиенту Банка Москвы необходимо подтвердить ее с помощью ЭЦП. В банке электронную цифровую подпись можно генерировать как с помощью USB-токенов (ЭЦП неизвлекаемого типа), так и с помощью обычных flash-накопителей (ЭЦП извлекаемого типа). ЭЦП, хранимая на обычных носителях, никак не защищен от действий вирусов. Если она хранится на USB-токене, то вирус никак не может ее скопировать.
Впрочем, USB-токены не обладают абсолютной защитой. Например, они не защищают от удаленных атак. В случае если USB-токен вставлен в USB-порт компьютера, мошенники могут, удаленно управляя компьютером клиента, прямо на нем сформировать платежный документ и подписать его ЭЦП. Однако вероятность реализации такой атаки существенно ниже, чем в случае формирования несанкционированных платежей с помощью украденных с обычных носителей ключей.
В Банке Москвы утверждают, что еще с 2008 года предлагают своим клиентам использовать USB-токены. Александр использовал ЭЦП извлекаемого типа, которая генерируется в Java-апплете на сайте банка и копируется клиентом на обычный flash-накопитель. Он утверждает, что не получал предложения приобрести USB-токен до хищения средств и даже не был уведомлен об этой услуге. По его словам, «лишь в конце июня банк разослал клиентам предложение использовать USB-токен, но не объяснил причин этого и не рассказал о рисках использования ЭЦП извлекаемого типа, хранящихся на обычных флешках».
«Банк не использует никаких других средств защиты, — утверждает потерпевший. — В частности, нет двойной авторизации или одноразовых паролей, как в большинстве банков. Также отсутствует своевременное информирование клиентов о движении средств по счету, нет механизма идентификации подозрительных платежей, что также позволило бы остановить перевод в Альфа-Банк по целому ряду его признаков. Наконец, нет фильтрации по IP-адресам, проводить которую рекомендует ЦБ. В моем случае это помогло бы избежать кражи, потому что я всегда пользовался интернет-банком со своего домашнего компьютера с провайдером «Стрим», а перевод был осуществлен с динамического IP-адреса Yota».
Поскольку Банк Москвы отказался возвращать списанные со счета деньги, Александр готов подать иск против кредитной организации за несанкционированное списание со счета и за предоставление небезопасной услуги.
«Прецедент с клиентом банка — несанкционированное списание денежных средств со счета в системе интернет-банкинга — является единичным случаем и неприятным исключением из практики банка», — говорится в официальном комментарии, присланном кредитной организацией в редакцию портала Банки.ру. — Единичный эпизод не может являться свидетельством недостаточной надежности мер безопасности, принятых в банке, в частности в системе интернет-банкинга. Стойкость системы определяется в том числе уровнем безопасности рабочего места клиента». Также банк указывает, что по результатам проведенного международной аудиторской компанией «Делойт и Туш» аудита информационных систем Банка Москвы уровень зрелости системы информационной безопасности банка оценен как «4 уровень» по методике Cobit.
Отметим, что случай с хищением денег Александра на самом деле не является единичным для Банка Москвы. Например, посетитель портала Банки.ру под ником finego в конце мая утверждал, что у него украли через интернет-банкинг более 1 млн рублей.
У другой потерпевшей, Людмилы Дороховой, в апреле со счета перевели почти 1,5 млн рублей, чуть более 500 тыс. рублей из этой суммы злоумышленники успели снять. Оставшиеся средства, направленные в Московский Кредитный Банк и банк «Уралсиб», Дорохова успела заблокировать. Основанием для возврата денег может служить заявление получателя об ошибочном зачислении либо соответствующее решение суда. Потерпевшая обращалась в Банк Москвы с просьбой разобраться в ситуации и принять меры к возврату похищенных денег. В середине мая банк прислал письмо, содержание которого практически полностью совпадает с ответом, данным Александру: «В соответствии с договором вы признаете, что используемая система «Internet-банкинг» является достаточной для обеспечения надежной работы…», а также «ЭЦП достаточна для защиты от несанкционированного доступа, подтверждения подлинности и авторства электронных документов…».
Весной клиентка банка обратилась с жалобой в ЦБ на действия банка, а также написала заявления в прокуратуру, ОБЭП и ОВД «Арбат». Информации о том, как проходит расследование в правоохранительных органах, у потерпевшей нет.
В конце июня Дорохова получила ответ на свою жалобу, направленную в Центробанк. В ответе регулятора говорится, что ЦБ не является вышестоящей организацией по отношению к коммерческим банкам и в соответствии со статьей 56 закона «О Банке России» не вправе вмешиваться в оперативную деятельность кредитных организаций. ЦБ, как орган банковского регулирования и надзора, осуществляет постоянный надзор за соблюдением кредитными организациями банковского законодательства и нормативных актов Банка России, а в случае их нарушения применяет принудительные меры воздействия в отношении банков-нарушителей, не затрагивая их отношений с клиентом. Также в своем письме регулятор указывает на право Дороховой защищать свои интересы в суде.
Такое решение в результате и приняла Людмила Дорохова, подав в суд на Банк Москвы. Предварительное слушание в Мещанском районном суде состоится 2 августа. По мнению юриста Общества защиты прав потребителей (ОЗПП) «Общественный контроль» Татьяны Кошкиной, которая будет представлять интересы Дороховой в суде, в результате того, что банк ненадлежащим образом исполнял условия договора, произошли несанкционированный доступ к счету клиента и несанкционированное клиентом списание денежных средств с его счета.
«Позиция банка, что клиент, подписывая договор, был согласен с системой «Интернет Банк-Клиент», несостоятельна, — считает Кошкина. — Поскольку, во-первых, в договоре, кроме упоминания названия системы, другой информации, позволяющей получить полное и детальное представление о работе этой системы, включая ее защитные функции, нет. Во-вторых, договор подписывался в 2006 году. Возможно, на тот момент эта система и отвечала требованиям защиты, но прошло уже четыре года, и программы, позволяющие несанкционированный доступ в любые системы, в том числе и в системы защиты, усовершенствуются каждый день».
По ее словам, в ОЗПП «Общественный контроль» за консультацией по факту несанкционированного списания денежных средств со счетов в Банке Москвы обращались четыре человека.
Дорохова считает, что интернет-банкинг Банка Москвы является небезопасным. Среди претензий потерпевшей — не используются одноразовые пароли, нет sms-уведомления при входе в систему, нет возможности установить лимит на операции через интернет-банк. Дорохова утверждает, что крупные платежи для нее нехарактерны: «Я никогда не перечисляла в другие банки суммы более 10 тыс. рублей». Кроме того, она указывает и на упрощенный алгоритм генерации ЭЦП (клиентка использовала обычный flash-накопитель). Наконец, по ее мнению, всю заботу о безопасности ключевой информации Банк Москвы возложил на пользователя.
У каждого российского банка, развивающего дистанционное обслуживание клиентов, свои предпочтения в организации безопасности операций. «Клиенты Альфа-Клика работают с такими мерами безопасности, как одноразовые пароли по sms, виртуальная клавиатура для ввода логина и пароля, sms-оповещение об операциях по счетам, информирование о смене номера мобильного телефона клиента, — рассказывает начальник отдела управления интернет-банком Альфа-Банка Дмитрий Каштанов. — В данный момент ЭЦП в Альфа-Клике не используется».
В ЮниКредит Банке заявили, что для совершения операций используют одноразовые пароли (сеансовые ключи). В Пробизнесбанке применяют одноразовые пароли, sms-информирование клиента о совершении операции, устанавливают фильтры по IP-адресу. Кроме того, клиент может «закрыть» для отображения через Интернет любой свой счет и определить лимиты по операциям. В ВТБ 24 используют карту переменных кодов, кроме того, с начала июля банк изменил требования к логину и паролю пользователей.
В СДМ-Банке прежде использовали фильтрацию по IP-адресам, однако решили от нее отказаться, поскольку она не защищает клиентов, если мошенники получили удаленный доступ к компьютеру. Как правило, клиенты банков легкомысленно относятся к антивирусной защите своих компьютеров, что облегчает жизнь злоумышленникам.
«С апреля мы ввели для наших корпоративных клиентов интернет-банкинга услугу sms-уведомления, кроме того, мы мониторим подозрительные операции», — говорит Олег Илюхин.
Отметим, что при организации информационной безопасности интернет-банкинга кредитные организации руководствуются рекомендациями ЦБ (письма № 36-Т, № 11-Т, № 197-Т). Строго говоря, эти рекомендации не являются обязательными для исполнения, в то же время банкиры утверждают, что четко исполняют рекомендации регулятора.
Наталья РОМАНОВА, Banki.ru
