В банковской среде растет озабоченность проблемами кибербезопасности, особенно при доступе к сервисам дистанционного банковского обслуживания, которые становятся все более массовыми. С 2010 года, по версии Департамента Казначейства США, по борьбе с финансовыми преступлениями атаки на системы дистанционного банковского обслуживания признаны наиболее опасными из всех компьютерных преступлений. До недавнего времени такие системы активно использовали юридические лица, сейчас их осваивают и частные клиентами банков.
Частники используют разные системы дистанционного сервиса, получая доступ к счетам не только через установленные на компьютеры системы клиент-банк, популярные у физлиц, но и через браузеры, а также производя мобильный доступ и оплачивая с карт товары в интернет-магазинах. Чем больше форм доступа – тем больше возможностей для мошенничества.
Онлайн-оплата с кредитных карт – при приобретении товаров в интернет-магазинах, покупке услуг, пополнении счетов у операторов сотовой связи, интернет-провайдеров и т.д. – очень удобно. Заполучив данные – логин с паролем для доступа к банкингу или реквизиты вашей пластиковой карты (номер, срок действия и код CVV2/CVC2 – три последние цифры кода на обороте карты) платежи с вашего счета, привязанного к карте, может совершить любой. И многие совершают.
Годовой оборот киберпреступности за прошлый год составил 12,5 миллиарда долларов, по данным Grpup-IB, причем рост более чем двукратный – годом ранее оборот составляет всего 5,5 миллиарда. Треть преступных доходов – 2,2 миллиарда – получили россияне: как граждане РФ, так и наши бывшие соотечественники, прирост по сравнению с 2010 годом составил миллиард долларов. В эту сумму входят доходы от рассылки спама (830 миллионов) и заказных DDoS-атак на сайты (130 миллионов), но доля хищений с банковских счетов оказывается наибольшей (942 миллиона). И хотя основная доля хищений пришлась на системы удаленного управления банковскими счетами юрлиц, у физлиц также похитили сотни тысяч долларов.
Масштабы киберпреступности впечатляют. Так, общий объем рынка антивирусного программного обеспечения в России составляет от 300 до 334,6 миллионов долларов, по данным компании Eset и аналитического центра Anti-Malware соответственно. Большинство вирусов и других вредоносных программ создается не из хулиганских побуждений, а для кражи информации, в том числе и данных для доступа к дистанционному банковскому обслуживанию.
Чтобы повысить защиту онлайн-банкинга, вводят двухуровневую систему аутентификации – для совершения платежа нужно ввести и данные карты, и некоторую дополнительную информацию. Двухфакторная аутентификация – суровая необходимость. В системах клиент-банк для бизнеса она давно стала нормой, а сегодня стала актуальна и для пользователей банковских карт.
Существует множество форм двухфакторной авторизации – от использования аппаратного электронного ключа, вставляемого в USB-порт компьютера, до контрольного вопроса, правильный ответ на который ранее указан пользователем. Но для частных пользователей наиболее популярен одноразовый пароль. Одноразовые пароли могут быть присланы в SMS – например, так поступают "Сбербанк" и "Ситибанк" – но трафик коротких сообщений, которые для банка не являются бесплатными, оказывается значительным. Чтобы исключить эту статью расходов, банки и предлагают другие решения, в частности, аппаратные генераторы ключей – устройства карманного формата со слотом для карты и цифровой клавиатурой, которые и предлагает своим клиентам ВТБ24. При этом часть расходов перекладывают на клиентов – за генератор им придется заплатить 250-300 рублей. Банку же нужно перевыпустить карту – на новой будет записана микропрограмма, используемая генератором для создания разового пароля.
Теоретически использование генератора позволит повысить безопасность операций, практически при двухуровневой аутентификации она и так вполне достаточная. Аппаратный генератор позволяет получить ключ моментально, а SMS может и задержаться, но задержка короткого сообщения случается крайне редко. Скорее всего, суть "инновации", которую ВТБ24 будет опробовать в пилотных проектах на клиентах Москвы, Петербурга и еще одного пока неназванного миллионника – перенести на клиентов хотя бы часть оплаты мероприятий по обеспечению безопасности. При этом использование аппаратного генератора не очень практично – телефон для приема разового пароля в SMS всегда при вас, а вот носить с собой повсюду еще и аппаратный генератор попросту неудобно.
Александр Маляревский, ПРАЙМ
