ртних варіантах: атака на ключ електронного цифрового підпису (далі - ЕЦП) користувача (копіюється ключ із незахищеного сховища (flash-накопичувач, жорсткий диск і т.д. - 70% випадків розкрадання) або оперативної пам'яті комп'ютера (5%), атака на криптографічні можливості токена (15%), дії внутрішнього зловмисника на стороні клієнта (інсайд - 10%), підміна документа в момент його підписання ЕЦП (менш ніж у 1% випадків розкрадань).
Крім того, серйозний мінус застосування банківських карт в Мережі - важка спадщина offline у ??вигляді операцій типу MOTO (mail order telephone order). Будь-яка людина, що довідався номер вашої картки, може заплатити вашими грошима практично в будь-якому інтернетсервісе. Реквізити вашої картки можуть бути вкрадені коли і де завгодно. Вони крадуться безпосередньо в банках або магазинах (злом баз даних хакерами, звільнення співробітника магазина або банку або його пряму змову зі зловмисниками). Офіціант ресторану або бару, на пару хвилин взяв прокатати вашу карту, може переписати собі її реквізити. Нарешті, щоб вкрасти реквізити, досить підглянути їх, стоячи поряд з власником кредитки біля банкомату або в магазині.
Як захищається від кіберзлочинців фінансово-банківський сектор?
Проблема стала настільки актуальною для російського банківського співтовариства, що Банк Росії випустив спеціальне Лист від 30.01.2009 № 11Т «Про рекомендації для кредитних організацій щодо додаткових заходів інформаційної безпеки при використанні систем інтернет-банкінгу», в якому містяться опис шахрайських схем та перелік заходів протидії цим загрозам.
Вже зараз деякі банки - емітенти карток підтримують захищену технологію передачі даних користувача 3D Secure.
Цілий ряд банків та ЕПС пропонують клієнтам для вимушених платежів по карті в Інтернеті отримання віртуальної карти. Дана карта прив'язана до рахунку клієнта, але її не існує фізично, а є тільки її номер. Поповнювати карту потрібно з рахунку в банку або платіжній системі за допомогою ЕЦП сумою, необхідною для поточної покупки, так, щоб залишок на карті завжди був близький до нуля.
На жаль, дійсно серйозно до проблем інформаційної безпеки і оцінки пов'язаних з нею ризиків в Росії підходять лише найкрупніші банки та ЕПС, для невеликих же фінансових інститутів це не пріоритетне завдання. Найчастіше банки просто не вміють забезпечувати ефективність своїх витрат на інформаційну безпеку, і тоді реальні заходи безпеки підміняються імітацією захисту, створюючи у клієнтів ілюзію захищеності. Боротися з високотехнологічними злочинцями треба постійно і послідовно, а це недешево.
Існують різні методи для боротьби з фішингом. Це в першу чергу навчання користувачів, браузери, що попереджають про загрозу фішингу, ускладнення процедури авторизації, боротьба з фішингом в поштових повідомленнях, послуги моніторингу (деякі компанії пропонують банкам та іншим організаціям, потенційно схильним фішингових атак, послуги цілодобового контролю, аналізу та допомоги у закритті фішингових сайтів), юридичні заходи.
Так, успішно діє схема співпраці антивірусної компанії ESET з Банком ВТБ24 з нейтралізації шахрайського ПЗ: банкіри надають співробітникам ІТ-компанії посилання на сайти, після переходу на які клієнти фіксували розкрадання грошових коштів зі своїх рахунків, а ті у свою чергу допомагають банкірам розслідувати злочини в системах ДБО.
Найбільша американська ЕПС PayPal з 2007 р запустила Програму моніторингу платежів (Payment Review program). Ця програма - система раннього виявлення - допомагає захистити аукціонних on-line-продавців від шахрайських платежів. Виявивши сумнівний платіж, PayPal тут же пошле продавцеві тривожне сповіщення по e-mail. Продавцю порекомендують помістити платіж у статус «майбутнього», в той час як PayPal протягом доби проведе розслідування. Якщо PayPal вирішить, що платіж ймовірно законний, то повідомить продавця, що він може відправити товар, замовлений покупцем. Якщо PayPal вирішить, що платіж ймовірно шахрайський, він буде автоматично скасовано.
У ЕПС WebMoney з квітня 2010 р набули чинності нові вимоги для обмінних пунктів: не здійснювати обміни на користь третіх осіб. Клієнт повинен вводити/виводити кошти в електронній валюті тільки на/зі свого імені, свій банківський рахунок і т.д. У свою чергу Сбєрбанк у вересні 2011 р попередив клієнтів про часті випадки отримання шахрайських sms-повідомлень з інформацією про блокування картки, зміні ПІН та ін. «Сітібанк» з червня 2011 р надав собі право за новими договорами блокувати або припиняти використання банківської карти у разі порушень з боку клієнта.
При цьому деякими експертами відзначається, що банки часто неохоче йдуть на співпрацю з правоохоронними органами в розслідуванні кіберзлочинів, по...
