Как оплачивать счета карточкой и не отдать деньги мошенникам

Будьте внимательны

– Когда входите в систему “банк – клиент”, внимательно посмотрите на адресную строку вашего браузера. В интернет-банкинге к традиционному набору http добавляется буква S – это шифрованный канал OpenSSL для исключения перехвата данных клиентских карточек. Если канал защищен, то в адресной строке будет стоять знак замочка зеленого цвета. Уточнить, что вы входите в безопасный режим, можно нажатием правой кнопки мыши – после клика появляются данные о connection – соединении с банком. Если же замочек красного цвета и перечеркнут, это означает, что канал работает некорректно и с 99-процентной вероятностью взломан. А при нажатии мышки вам сообщают о соединении с какой-нибудь ассоциацией пиратов, – рассказал “КАРАВАНУ” эксперт по кибербезопасности.

Защищенный канал просмотра и работы данных в хоум-банк-системах позволяет оградить вас от вторжения хакеров, которые в этом случае видят лишь “тоннель”, но не имеют возможности заглянуть внутрь.

– Обратите внимание и на написание слов в адресной строке – здесь не должно быть никаких homebankk и прочих подмен названий с помощью добавления лишних букв. Если быть уже совсем параноидальным при работе с интернет-банкингом, то рекомендую не использовать учетные записи с правами локального администратора компьютера. Они являются раздольем для вирусов, – отмечает Виталий Ли.

Черные дыры и кровоточащие сердца

По понятным причинам банковские системы, в том числе в Интернете, всегда будут для хакеров мишенью номер один, а потому к системе защиты ресурсов финансовые институты подходят со всей ответственностью.

– Банки проходят массу сертификаций своей деятельности, тем более если банк публичный и участвует в программе IPO. Для банков, выпускающих пластиковые карточки, разработан стандарт безопасности данных PCI DSS, который включает совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платежных карт. Однако практика показывает: все банки, которые были взломаны, имели сертификат PCI DSS или ISO/IEC 27001 – международный стандарт по информбезопасности. То есть наличие сертификата не дает гарантии, что клиентов банка не взломают, – говорит Виталий Ли и вспоминает мировой скандал 2014 года под названием Неartbleed – “Кровоточащее сердце”, в который оказались втянуты и казахстанские банки, применяющие дистанционное обслуживание клиентов.

История связана с отчетом ведущего мирового исследовательского агентства, в котором было прямо заявлено: протокол OpenSSL не только уязвим, но и имеет явные дыры, которые использовались хакерами как минимум в течение полутора лет.

– Напрямую деньги вряд ли утекали – это четко подконтрольно, но по пользовательским данным масса вопросов. В истории с Неartbleed воровались первые 64 бита соединения сессии. В этих 64 битах содержались пароль входа и данные пользователя, – рассказывает эксперт по информационной безопасности.

Впрочем, в целом Виталий Ли считает, что в плане защиты данных казахстанские банки “довольно продвинуты”:

– За данное направление отвечают отдельно выделенные структуры. Хотя от постоянных взломов банки это опять же не спасает. Хотя до сегодняшнего дня ни один финансовый институт после таких хакерских атак еще не обанкротился – потерянные в результате взломов суммы покрывались рисками банка. К тому же пока на наши банки не совершались специальные атаки, связанные с листингами. Такое вторжение требует высокой квалификации хакеров. Большей частью они нападают на клиентов банков при их дистанционном обслуживании через интернет-банкинг. Физлиц взломать на порядок легче, чем сами банки. Сумма ущерба исчисляется от нескольких тысяч до нескольких миллионов тенге.

При этом наши банки юридически отгораживаются от жертв таких атак: мол, проблемы клиента – не наши проблемы, – констатирует Виталий Ли.

Напоследок еще один пример, почему важно соблюдать правила компьютерной гигиены. Недавно из российских банков второго уровня через поражение банковской информационной системы было выведено несколько миллионов долларов. Специальным вирусом заражался не сервер, а, например, компьютер секретаря директора банка. Через него находились компьютеры администраторов, которые также заражались, и далее – по цепочке – вирус передавался во все машины. И по традиционному сценарию таких хакерских атак похищенный банковский кеш, вероятнее всего, уже обналичен где-нибудь в далеких странах.