В редакцию Банки.ру обратилась клиентка Райффайзенбанка: с ее зарплатного счета через интернет-банк было несанкционированно переведено около 150 тыс. рублей. Поняв, что ограблена, москвичка Виктория Самсонова написала заявление в милицию. Пострадавшая уверена, что деньги со счета украдены по вине банка, и намерена, если потребуется, отстаивать свои права в суде.
Нет в мире совершенства
«Проще устроить переворот где-нибудь в Африке, чем украсть деньги с вашего счета», — оптимистично заявляет ведущий в презентации одного из крупнейших интернет-банков России. Однако не все так просто. Вопрос безопасности онлайн-расчетов всегда был краеугольным камнем дистанционного банковского обслуживания. Страх потерять свои средства удерживает многих россиян от приобщения к современному и уже давно ставшему повседневным на Западе способу управления счетами — «не вставая с дивана». И подобные опасения, к сожалению, порой небезосновательны. К примеру, системы Ситибанка и Альфа-Банка несколько лет назад подверглись массовым атакам взломщиков, а в 2008 году около 85,5 млн рублей в результате мошенничества потерял Банк Москвы.
Райффайзенбанк до сих пор ни в чем подобном замечен не был. Интернет-сервис Raiffeisen CONNECT существует с 2003 года и в настоящий момент считается одним из самых функциональных на рынке: с его помощью можно, в частности, переводить средства за рубеж и покупать ПИФы. Однако в феврале 2009 года москвичка Виктория Самсонова, имеющая в «Райффе» зарплатную карту, обнаружила, что ее интернет-аккаунт взломан, а со счета украдено около 3,7 тыс. евро. Вначале средства были конвертированы в рубли, а затем переброшены на счет незнакомого Самсоновой клиента Альфа-Банка.
Все когда-то происходит в первый раз
Чтобы совершить перевод в «Коннекте», нужно авторизоваться в системе, введя логин и пароль, а затем подтвердить операцию электронно-цифровой подписью (ЭЦП). Пострадавшая уверена, что никто не имел доступа к ее данным для входа в систему и всему виной уязвимость Raiffeisen CONNECT. «На моем компьютере установлен постоянно включенный и обновляемый антивирус, к работе которого у меня ни разу не возникало никаких претензий», — сообщила Самсонова. 10 февраля ею было подано заявление об ограблении в ОВД Мещанского района Центрального округа Москвы. В Райффайзенбанке же в ответ на официальный запрос Банки.ру сообщили, что по случившемуся инциденту проводится расследование, «банк сделает все возможное для того, чтобы разобраться в ситуации и помочь клиенту». В кредитной организации также заверили, что никогда ранее подобных жалоб от пользователей не поступало.
Кто виноват?
Что же произошло? Мошенникам удалось найти «дыру» в системе «Райффа» или пароли были каким-то образом украдены? Кто виноват — банк или клиент? За разъяснениями мы обратились к представителям банков, разработчикам антивирусных программ и независимым экспертам. «Электронно-цифровая подпись, которая применяется в системе Raiffeisen CONNECT, — это на сегодняшний день самый надежный способ защиты информации, но только если применять его правильно и понимать принцип действия, а он очень сложен и не до конца ясен даже многим IT-специалистам, — уверен руководитель управления информационных технологий Океан Банка Алексей Церех. — В рассматриваемом случае клиент просто хранил секретный ключ у себя на жестком диске, что недопустимо, и вредоносная программа отослала его злоумышленнику».
«Произошедшее может объясняться по-разному, — полагает Сергей Комаров, руководитель отдела антивирусных разработок и исследований компании «Доктор Веб». —
«Абсолютной безопасности в реальности не может обеспечить ни одна система. Поэтому ответственность за такие случаи лежит как на банке, который должен прилагать максимум усилий, чтобы обеспечить безопасность платежей, так и на клиенте, который должен придерживаться правил безопасности и «гигиены компьютера», — подчеркнул Владимир Урбанский, начальник управления развития каналов самообслуживания Альфа-Банка (того самого банка, куда ушли краденые деньги), комментируя ситуацию в горячей линии Банки.ру.
Что делать? — Долой ЭЦП!
Если поиск виноватого — весьма спорная задача в этой ситуации, то ответ на другой классический вопрос: «Что делать?» — практически не вызвал разногласий у экспертов. Они в один голос утверждают, что корень проблемы — использование банками неудобного и несостоятельного в обслуживании физических лиц механизма электронно-цифровой подписи. «При работе с частными клиентами можно обойтись и без ЭЦП, ее использование — это желание владельцев систем перестраховаться от рисков. На мой взгляд, для физических лиц разовые пароли в комплексе с шифрованием трафика намного понятнее и удобнее, а безопасность таких систем существенно выше», — считает Алексей Церех.
«Тщательнее надо!» — привел крылатое выражение доктор экономических наук, эксперт в области электронной коммерции Артем Генкин. «В одной популярной российской электронной платежной системе аналог собственноручной подписи реализован как сочетание четырех звеньев: логин + пароль + ключ + идентификация оборудования, с которого производится доступ. Заметьте, что ЭЦП в этой системе не применяется вовсе в целях недопущения открытия клиентской информации третьим лицам», — заявил ученый.
«ЭЦП — это довольно сложный механизм, который не обеспечивает абсолютной защиты. И логин с паролем, и сертификат можно украсть, даже если он хранится на съемном носителе», — отметил Владимир Урбанский.
Ждите отказа
Вернуть деньги при взломе интернет-банка весьма проблематично. Как правило, в подобных ситуациях расследование затягивается на долгие недели, а результат зависит от массы внутренних регламентов банка и нюансов договора. «Маловероятно, что Райффайзенбанк возьмет все грехи на себя, — сказал Артем Генкин. — В стандартном банковском договоре мы можем найти полное освобождение банка от ответственности, в том числе и в случае воровства данных для входа в систему третьими лицами. Впрочем, есть и более благоприятный для клиента случай, когда в договоре прописан перечень действий при компрометации пароля. Пользователь, обнаруживший вирус и подозревающий неладное, должен сразу обращаться в банк с типовым заявлением, и только с того момента он не отвечает за последствия. В первом сценарии вероятность «завиноватить» банк невелика — 10%, тогда как во втором шансы примерно равны».
«В данном случае денег на счете в Альфа-Банке, скорее всего, уже нет (если службы безопасности не успели
Пространство для роста
В настоящий момент Raiffeisen CONNECT в качестве средства аутентификации клиента не использует разовые пароли (с помощью SMS или скретч-карты) для подтверждения переводов, что в описанном случае могло бы сильно усложнить задачу мошенникам. Не применяется и схема, при которой банк дополнительно связывается с клиентом для уточнения правомерности платежа при сумме операции, скажем, от 100 тыс. рублей. Клиент же, в свою очередь, мог стать жертвой кибератаки, которая сработала благодаря каким-то недочетам в системе безопасности компьютера, хотя ни один рядовой пользователь не застрахован от подобных покушений. «Очень важно регулярно устанавливать обновления для операционной системы и иметь надежный антивирус. Но все это лишь инструменты в руках человека, главное и основное — не лениться и повышать свою грамотность в области информационной безопасности. Это как автомобиль, управление которым дает новые степени свободы, но этому надо учиться», — отметил Сергей Комаров из компании «Доктор Веб».
В официальном комментарии Райффайзенбанк также сообщил Банки.ру, что систему безопасности в Raiffeisen CONNECT планируется усовершенствовать. Словом, всем есть куда расти.
Маргарита СУВОРОВА, Banki.ru