журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
ИТОГИ И ТЕНДЕНЦИИ

Международные банки

Новые рыночные страны

Банковские отделения

БАНКОВСКИЕ ПРОДУКТЫ

БАНКОВСКИЙ МАРКЕТИНГ

МОБИЛЬНЫЙ БАНКИНГ

БАНКОВСКИЙ МЕНЕДЖМЕНТ

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №8, 2008

БАНКОВСКАЯ БЕЗОПАСНОСТЬ

Темная сторона Интернета

Атаки мошенников на клиентские данные нарастают, а банки ищут пути
для борьбы с ними

Технический прогресс дает банкам возможность непрерывно расширять ассортимент предлагаемых ими финансовых продуктов и услуг и улучшать качество обслуживания клиентов. Однако преступный мир тоже не стоит на месте и постоянно изыскивает новые методы наживы за чужой счет. В последние годы участились случаи использования электронной почты для совершения финансовых преступлений. Распространение фишинга дорого стоило многим банковским клиентам во всем мире. Тем не менее, практика показывает, что четкий контроль со стороны банков, информированность клиентов и совершенствование технологий безопасности способны минимизировать негативные последствия преступной деятельности либо же и вовсе избежать их.

Под угрозой –

безопасность данных

С развитием электронных банковских каналов обслуживания стали прогрессировать и новые виды финансовых преступлений. Так, еще в 2003 году многие клиенты британского банка Halifax оказались жертвами криминальных элементов, оперирующих через электронные каналы обслуживания. Тогда правонарушители обманным путем завладели конфиденциальными финансовыми данными клиентов банка. Руководство финучреждения даже приняло решение о приостановке обслуживания через Интернет. Это произошло после того, как клиенты банка в массовом порядке начали получать электронные письма, якобы, от сотрудников Halifax, в которых содержалась просьба перейти на указанную в них интернет-ссылку для подтверждения деталей счета.

В результате доверчивость многих клиентов привела к тому, что мошенникам стала известна их персональная финансовая информация. От действий аферистов тогда же пострадали (правда, в меньшем масштабе) и клиенты британских банков Barclays, Lloyds TSB и NatWest. Представители Halifax заявили о том, что их клиентам будут возмещены все убытки, однако в целом проблема безопасности финансовых данных в Интернете постепенно приобретала все более массовый характер.

Последствия распространения данного вида электронного мошенничества, известного как фишинг, в первой половине 2000-х годов ощутили на себе клиенты многих крупных розничных финучреждений в США, Австралии и Европе. Аналитики начали призывать банкиров к пересмотру политики безопасности, принятой в их структурах, на предмет соответствия современным требованиям, что способствовало бы уменьшению масштабов отрицательных последствий каких-либо противоправных действий.

Фишинг представляет собой лишь часть арсенала интернет-аферистов. Другой распространенный вид противоправной деятельности – «нигерийские письма». Соискателю предлагается посредничество при осуществлении крупного международного перевода денежных средств за определенный процент от суммы перевода. Так, например, представители Barclays заявляли о том, что значительное число их вкладчиков стали жертвами таких объявлений.

Самый большой обман

Детально разработанную аферу, жертвами которой не так давно оказались клиенты австралийского Westpac Bank, эксперты называют наиболее грандиозной за все время существования интернет-банкинга в стране. Клиентам банка были разосланы специальные электронные письма, для того чтобы ввести в заблуждение излишне доверчивых лиц и выманить у них конфиденциальную финансовую информацию. Как правило, такая корреспонденция приходит клиентам с адреса их банка и содержит ссылку, которая направляет на ложную версию сайта банка, а также инструкции по входу на сайт и сверке персональных данных с финучреждением.

Роб Форсайт, управляющий директор компании Sophos, специализирующейся на антивирусных разработках, заверяет: «Методы, которые преступники применили в случае с Westpac Bank, свидетельствуют о том, что электронные аферы становятся все более совершенными». По данным компании Sophos, мошенники постоянно совершенствуют технические и психологические методы воздействия на своих жертв, применяя в тексте подобных электронных рассылок все более совершенные формулировки. Таким образом, они подстраиваются под стиль деловых писем финучреждения и пытаются создать у клиентов впечатление, что они действительно имеют дело с электронным документом от администрации банка. Например, клиенты того же Westpac Bank получали от аферистов тексты, содержащие такую фразу: «Администрация банка никогда не запрашивает у вас никаких персональных финансовых данных через электронную почту»… А по смыслу обращения адресату предлагалось совершить именно такое действие...

Создатели современных противоправных схем овладели довольно совершенной техникой переадресации ссылок в Интернете, с которой специалисты Sophos ранее не сталкивались. Активация ссылки, приведенной в электронном письме аферистов, не только приводит пользователя на фальшивую версию сайта, но и открывает копию настоящего сайта в еще одном, скрытом окне браузера. Фальшивый сайт запрашивает у пользователя данные для доступа к его счету, но, когда он пытается передать эту информацию, то получает сообщение об ошибке. После этого жертва автоматически перенаправляется на настоящий сайт и не подозревает о совершенном обмане.

Роб Форсайт опасается, что фи­-шинг может стать привычным явлением в обществе. Он подчеркивает, что общая схема таких «комбинаций» должна быть доведена до сведения каждого банковского клиента. «Электронное мошенничество должно быть признано тяжким преступлением, все, кто идет на такой шаг, должны понести суровое наказание», – провозглашает он.

Андреас Баумхоф, технический директор компании Microdasys, которая разрабатывает программное обеспечение для защиты интернет-данных, специализируясь на технологии SSL (спецификация протокола для передачи через сеть зашифрованных аутентифицированных сообщений), также озабочен проблемой безопасности электронной информации банковских клиентов. Он считает, что советы по противодействию мошенникам, которые даются клиентам, часто малоэффективны. В качестве примера Баумхоф называет количество жертв недавнего крупномасштабного фишинга в США, когда клиенты банков, пользующиеся услугами интернет-провайдера Earthlink, тоже были обмануты. Незадолго до совершения данной аферы американская федеральная комиссия по торговле выпустила рекомендации для пользователей систем интернет-банкинга с указанием, что пользователь при работе с конфиденциальной информацией должен четко проверять, есть ли в окне его браузера специальная иконка в виде замка, наличие которой означает, что передаваемые данные шифруются по протоколу SSL. Таким образом, в соответствии с рекомендациями комиссии SSL-технология гарантирует безопасность передачи данных.

Баумхоф же утверждает, что давать пользователям такой совет изначально было грубой ошибкой. Кроме того, именно это могло существенно повлиять на последствия инцидента с Earthlink. Дело в том, что мастера мошеннических схем действительно использовали защищенное соединение SSL для прямой связи с пользователями, но, при этом, для идентификации интернет-страниц ими применялись поддельные цифровые сертификаты. А вот жертвы аферистов из-за этого были убеждены в правильности своих действий. «Можно знать, что соединение зашифровано по протоколу SSL, но это не дает права быть уверенным в том, что пользователь действительно работает с официальным, а не с поддельным сайтом. Для того чтобы установить идентичность, необходима проверка сертификатов», – подчеркивает Баумхоф.

Чешские клиенты

пострадали от аферистов

В нынешнем году сотни тысяч банковских клиентов в Чехии были атакованы массовыми хакерскими рассылками. Это было наиболее крупномасштабное преступление за всю историю электронных банковских услуг в стране. Рассылка проводилась, якобы, из крупнейшего банка Чехии Ceska Sporitelna. В электронных письмах содержалась просьба к клиентам сообщить реквизиты своего счета и кредитной карты. Последствия данной аферы, впрочем, были незначительны, но весьма показательными. Быстрая реакция специалистов банка на противоправные выпады и вовремя проведенная ими информационная кампания позволили существенно сократить число пострадавших (их могло быть сотни и даже тысячи).

«Фишинговые атаки не представляют собой новый феномен. В Чехии несколько лет тому назад мы уже сталкивались с подобной проблемой, но, конечно, не в таких масштабах. Но наш банк пострадал от аферистов впервые, так что быстрая реакция сотрудников свидетельствует о том, что все меры предосторожности, которые применяются в банке, были задействованы правильно», – говорит Клара Гайдушкова, представитель пресс-службы Ceska Sporitelna.

К сожалению, у банка нет никакой возможности остановить незаконные нападки преступников. Руководство Ceska Sporitelna лишь предупреждает клиентов о том, чтобы они не выполняли указаний поддельных электронных писем.

Мировой опыт показывает, что фишинговые атаки имеют цикличный характер, поэтому рано или поздно сойдут на нет. Банкиров радует то, что лишь несколько десятков клиентов Ceska Sporitelna раскрыли мошенникам личные финансовые данные: ничтожное число по сравнению с количеством разосланных преступниками писем... Масштабная информационная кампания по борьбе против атаки аферистов, вовремя начатая специалистами банка, сделала свое дело.

Ceska Sporitelna, по мнению специалистов, был не случайно выбран мишенью для фишинговой атаки: это крупнейший банк страны, да и, кроме того, количество его клиентов, пользующихся финансовыми услугами через Интернет, здесь наибольшее в Чехии.

Ситуация

в Великобритании

Международная консалтинговая компания KPMG недавно распространила информацию о том, что в Великобритании количество случаев противозаконного вмешательства в работу банковского сектора выросло на 50% за первое полугодие текущего года. Это произошло, в основном, за счет увеличения числа мошеннических операций в сфере ипотечного кредитования. В исследовании подчеркивается, что ущерб, нанесенный банковской системе страны в 2008 году, составил 630 млн. ф. ст., причем, участились случаи афер со стороны сотрудников банков.

«Это тревожные показатели. Финансовые махинации, к сожалению, остаются весьма распространенным в Великобритании явлением. Кстати, более двух третей ущерба банкам нанесли организованные преступные группы, – отмечает Хитеш Пател, один из партнеров в KPMG. – К основным видам финансовых преступлений следует отнести манипуляции в инвестиционной и розничной сфере, махинации с платежными карточками и отмывание денег. Банки напряженно работают с целью обеспечения своей безопасности и клиентов, защиты от афер, однако мы видим, что организованная преступность по-прежнему преуспевает».

В сфере ипотечного кредитования Великобритании за первое полугодие 2008 года было зарегистрировано девять случаев противоправного вмешательства с нанесением финучреждениям суммарного ущерба на более чем 20 млн. ф. ст. (для сравнения: за весь 2007 год их было десять, а банки пострадали «лишь» на 3.7 млн. фунтов). «Рост этих показателей происходит на фоне общей слабости сектора ипотечного кредитования вследствие кредитного кризиса. Недавно оправившиеся от удара банки уже сейчас должны уделить самое пристальное внимание операциям с ипотекой, которые они осуществляют в данный неблагоприятный период», – считает Пател.

Британская компания ClearMyMail занимается разработкой антиспамовых программ. На сегодняшний день она гарантирует своим клиентам полную защиту от спама. Ее специалисты выявили десять банков Велико­британии, работающих в розничном направлении, которые были наиболее популярны в преступной среде. Злоумышленники осуществляли фишинговые атаки против клиентов финучреждений во втором квартале 2008 года. На первое место вышел Royal Bank of Scotland (RBS): в его адрес было направлено 42.78% всех рассылок аферистов. На втором месте – Abbey National с 18.28% спама, за ним идут Halifax – 9.77%, Natwest – 7.06%, PayPal – 6.79%. Шестым стало британское подразделение американского Citi, который мошенники избрали целью своих атак в 4.75% случаев

«Статистические данные вызывают у нас все большее беспокойство. Количество писем в фишинговых рассылках увеличилось в четыре раза за второй квартал 2008 года, а это означает, что необходимо предпринимать самые решительные действия, для того чтобы взять ситуацию под контроль, – говорит Дэн Филд, управляющий директор компании ClearMyMail. – С другой стороны, есть и положительные результаты, ведь многие банки, которые серьезно работают над этой проблемой, смогли существенно снизить потоки спама и фишинговых рассылок в адрес своих клиентов».

Управление

электронной почтой

Электронная почта стала повсеместно распространенным и, пожалуй, одним из основных средств связи для бизнес-структур. В банках электронные почтовые системы используются для внешних и внутриорганизационных контактов. К сожалению, этот канал связи пока мало защищен, вследствие чего фишинговые атаки через электронную почту часто приводят к неприятным последствиям как для клиентов, так и для финучреждений. Кроме того, возрастающий с каждым годом объем электронной корреспонденции ставит перед банковскими служащими все новые задачи по ее эффективной обработке, а от клиентов требуется понимание возможных опасностей.

Для предотвращения противозаконного использования канала электронной почты банки, по мнению экспертов, должны внедрять новые идентификационные протоколы, инновационные технические стандарты и методы шифрования. Чтобы помочь своим клиентам в борьбе против преступных действий, финучреждениям нужно обеспечить их всей необходимой информацией и дать возможность самостоятельно контролировать и регулировать потоки корреспонденции между ними и банком. В банковском деле уже многое сделано в части предупреждения клиентов о возможных схемах действия мошенников (необходимая информация размещена на официальных сайтах большинства банков). Полезно также дать клиентам возможность сообщать сотрудникам банка о получаемых подозрительных электронных письмах.

На сегодняшний день имеется два основных метода идентификации отправителя письма: Sender ID Framework (SIDF), разработанный Microsoft и AOL, а также Domain Key Identified Mail (DKIM) от Yahoo и Google. Оба они с успехом применяются для распознавания легитимности электронных писем с отфильтровыванием подозрительных сообщений. Кроме того, существует множество разработок других компаний, которые имеют строго определенные цели по снабжению цифровыми сертификатами отправляемых сведений. Общим для них является то, что все они в наглядной визуальной форме демонстрируют получателю письма источник, откуда оно было отправлено.

Для достижения максимальной эффективности управления каналом электронной почты банкам важно регулярно проводить тренинги для сотрудников, совершенствовать свою политику безопасности в отношении этого канала связи, применять спам-фильтры на уровне серверов, чтобы снизить спамовую нагрузку на персонал.

Методы борьбы

с фишингом

Эксперты считают, что каждый банк должен определить наиболее реально угрожающий ему и его вкладчикам вид мошенничества, а затем выбрать и внедрить технологии, способные минимизировать данную угрозу либо помочь вообще избежать ее. Сегодня банкирам еще предстоит ответить на множество вопросов, связанных с использованием электронной почты и применением новейших технологий безопасности.

Из-за постоянно растущего объема электронной корреспонденции никогда нельзя быть полностью уверенным в том, что этот канал связи надежно защищен от преступных действий. Однако следует помнить и о том, что наибольший вред часто наносят именно те, кто имеет полный доступ к информационным системам финучреждения, т.е. его персонал. Поэтому меры предосторожности должны быть приняты и внутри самой организации. Главными задачами специалисты считают фильтрацию спама и отсев подозрительной почты, для чего имеется масса всевозможных программ от разных разработчиков. Известны также системы, которые могут находить и учитывать ключевые слова или их комбинации, содержащиеся в тексте письма, что повышает эффективность процесса идентификации, правда, такие системы мало распространены из-за их дороговизны. Поэтому наилучшими приемами противостояния мошенникам, как и прежде, остаются четкий контроль и немедленное реагирование в крайнем случае. Для банков первостепенное значение приобретает правильная организация полного цикла работы с почтой: от получения корреспонденции непосредственно с почтового сервера – до архивирования сообщений и обеспечения их компактного хранения и легкого доступа к ним при необходимости. Кроме того, никак не обойтись и без хорошо обученных кадров, гибкой политики в отношении контроля поступающей электронной почты и реалистичного подхода к проблеме в целом.

Применение программных средств для архивирования электронной корреспонденции может помочь банкам обнаружить недостатки в системе безопасности, а также внедрить новые правила в области обработки и проверки почтовых сообщений. Подобные системы позволяют оперативно архивировать весь объем входящей и исходящей корреспонденции, сохранять ее. Таким образом, банкиры могут быть уверены в отсутствии постороннего вмешательства во внутриорганизационную переписку либо во взаимоотношения с клиентами. Почтовый архив как система, которая автоматически получает сообщения, приложения к ним и информацию о сообщениях с почтовых серверов, своевременно индексирует и сохраняет данные в специальном формате на определенное время, предусмотренное политикой организации или отрасли в целом. Архивная система также предоставляет сотрудникам банков возможность поиска конкретных сообщений, учитывает, кто и когда имел доступ к какому-либо письму либо создавал его. Пользователи программы имеют доступ к собственным почтовым архивам и могут восстанавливать нечаянно удаленные почтовые сообщения. Такая организация работы лишает персонал необходимости руководствоваться в своей работе интуитивными методами, так как специалисты всегда имеют дело с конкретным и четким набором данных, которые в любой момент могут быть проверены. Она также сильно ограничивает возможности недобросовестных сотрудников в использовании служебного положения в корыстных целях.

Андрей Мамонтов,
по материалам BBC News Online, silicon.com, radio.cz,

 
© агенство "Стандарт"