на главную страницу русский  английский
Как не стать жертвой мошенников. Клиенты Сбербанка в зоне повышенной опасности
2011-2012

   Часть 1. Общая

Текст основан как личном опыте - автор стал «жертвой» профессионального мошенничества с использованием персональных данных, ранее известного, но в последнее время не встречавшегося, в результате которого мошенникам удалось осуществить вход в систему Сбербанк Онлайн, так и на мониторинге в течении ноября случаев мошенничества в интернете вообще и на сайте банки.ру в частности, как наиболее информативном источнике информации «из первых рук». Автор в течение многих лет является клиентом Сбербанка (бывшим), Промсвязьбанка, Альфа-банка и пользователем систем дистанционного банковского обслуживания (ДБО) этих банков. Автор является профессиональным программистом, в том числе в течении последнего года – разработчиком клиентской части интернет-приложений. Все описанное ниже является личным мнением автора, сформированным в результате анализа приведенных и некоторых других, пока не указанных в настоящей статье фактов, и не является прямым руководством к действию.

• Факты:
o За первое полугодие 2011 года сумма мошеннических списаний по банковским картам выросла на 70%, в том числе, через банкоматы, на 250%. При этом международные преступные групировки облюбовали Россию во многом из-за полной безнаказанности вследствие бездействия со стороны как органов правопорядка так и служб безопасности самих банков. Источник: Российская газета: http://www.rg.ru/2011/10/18/bankomat.html
o В России открыто функционирует рынок вредоносного ПО и услуг, связанных со всеми этапами мошенничества в сфере банковских карт и систем ДБО. Например, страницы форума одного компьютерного журнала для «подростков» с характерным названием.
o Персональные данные граждан России не защищены и находятся в свободном доступе, например, на сайте rusleaks.net.
o Кредитные учреждения осуществляют активное продвижение банковских карт и систем ДБО в социальные слои граждан России, не обладающих знаниями не только об азах информационной безопасности, необходимых для использования данных услуг, но даже и о самих рисках, потенциально с этими услугами связаннымы.
o Операторы сотовой связи отдали на аутсорс операции по замене СИМ-карт
o Операторы сотовой связи не проверяют подлинность/действительность «нотариально заверенных доверенностей», предъявляемых для замены СИМ-карт номеров, принадлежащих физическим лицам
o Любой, знающий ваши паспортные данные, может через call-центр оператора сотовой связи заблокировать ваш телефон и тем самым предотвратить оперативное принятие вами мер по блокировке карты.
o СМС-сообщение от имени банка может быть подделано, т.е. получатель, вероятно, не сможет отличить отправителя-банк от отправителя-мошенника http://habrahabr.ru/blogs/eCommerce/131961/
o Вследствие особенностей некоторых систем ДБО, даже утечка одного номера банковской карты может привести к мошенничеству.
o Гарантированно защитить компьютер под управлением ОС Microsoft Windows, подключенный к интернет, от утечки информации, вводимой с клавиатуры либо сохраненной на файловой системе, невозможно
o Любая информация, введенная и обрабатываемая на компьютере пользователя, потенциально может быть перехвачена, как вследствие ошибок пользователя, так и вследствии ошибок программ ДБО, уязвимостей программной среды.
o Неизвестны случаи мошенничества в системе Сбербанк Онлайн с использованием фишинговой технологии и социальной инженерии, приведших к компрометации пользователем одноразового кода из списка кодов, распечатанного пользователем в банкомате.


• Выводы
o СБЕРЕГАЕМЫЕ (накапливаемые, не планируемые к расходованию с использованием системы ДБО или банковской карты в ближайшее время) денежные средства НЕ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ не должны быть доступны через банковские карты или системы ДБО, так как кредитные учреждения в общем случае не несут ответственности по операциям в системе ДБО и с банковскими картами (т.е. без сверки личности клиента с документом, удостоверяющем личность, сотрудником банка) совершенными третьими лицами с использованием правильных реквизитов доступа, принадлежащих клиенту, пусть и в результате доказанных мошеннических действий без участия клиента. Т.е. возврат денежных средств, утраченных клиентом в результате мошеннических действий третьих лиц непосредственно банком остается на доброй воле банка. В отсутствии это самой доброй воли, единственная надежда - профессионализм правоохранительных органов.
o Пользователю систем ДБО и банковских карт необходимо максимально тщательно отнестись с выбору банка с точки зрения практики данного банка по решению вопросов о спорных транзакциях, включая ошибки сотрудников банка, мошеннические действия третьих лиц, ошибки программного обеспечения систем ДБО и неисправность терминалов и банкоматов, а также обратить внимание на квалификацию сотрудников отделений и call-центров в процессе обращения. Крайне желательно, чтобы в «тяжелых» случаях клиенту был предоставлен персональный менеджер. Информация на сайте банки.ру представляется в этом плане достаточно репрезентативной и информативной, в том числе, необходимо обратить внимание на служебный рейтинг банков.
o СМС-подтверждение операций потенциально и неустранимо уязвимо – необходимо, по-возможности, использовать системы ДБО с подтверждением операций с кода, находящегося на физическом носителе. Подтверждение входа в систему с использованием одноразового пароля обязательно.

2003 - 2016 © Дмитрий Заморин
написать мне письмо
Rambler's Top100