Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход

Любое обслуживаемое той или иной кредитной организацией лицо (неважно, юридическое или физическое) должно быть в первую очередь уверено, что при использовании им СЭБ для получения какой-либо информации или выполнения банковской операции сеанс удаленного информационного взаимодействия организуется именно с ней. Так обычно и бывает, когда клиент, к примеру, сам вводит в адресную строку своего браузера адрес информационного или операционного web-сайта этой кредитной организации. Однако, как известно, это не единственная возможность организации сеанса, так как открытые системы компьютерной связи подвержены атакам со стороны разного рода «компьютерных мошенников» (кстати, не обязательно хакеров). Например, в случае атак типа фишинга клиент может быть введен в заблуждение относительно того, что он имеет дело с известной ему кредитной организацией, с последующей «выдачей» данных своей персональной идентификации или номера банковской карты, которые затем окажутся использованными мошенником для хищения финансовых средств или в каких-то других целях. По статистике на это попадается примерно 5 % клиентов [177] По информации с web-сайта www.antiphishing.org , на котором публикуются различные материалы, касающиеся распространения и угроз фишинга. (кажущаяся незначительность этой цифры не должна вводить в заблуждение — все зависит от того, какой именно клиент «клюнет»), тем более в мире действуют тысячи хакерских и фишерских web-сайтов, распространяющих потенциально опасное программное обеспечение.

Одна из атак этого вида инициируется фишером, который может воспользоваться доступными справочниками (базами данных) web-адресов для рассылки сообщений, в которых под упомянутым благовидным предлогом клиенту предлагается подтвердить персональную идентификационную информацию с помощью гиперссылки, через которую якобы инициируется соответствующий диалоговый интерфейс с кредитной организацией. На экран компьютера клиента при этом выводится изображение, практически идентичное тому, которое воспроизводится при работе с кредитной организацией через интернет-браузер, вот только адресная строка, которую видит клиент и которая ему знакома, представляет собой фальшивый элемент изображения, формируемый специальным JavaScript'oM и наложенный на изображение настоящей адресной строки, в которой фигурирует (но, понятно, не виден клиенту) адрес сайта фишера, с которым реально имеет дело клиент. При этом в адресной строке имитируется наличие защищенного соединения (https://), на изображении также присутствует программная кнопка «Переход» («Go»), а в фальшивой адресной строке при желании можно впечатать настоящий адрес, т. е. это не статичное изображение, а «живой» код Java. Усугубляет ситуацию то, что фишер получает еще и возможность «негласного отслеживания» всех web-сайтов, посещаемых клиентом в течение сеанса связи, так как адресная строка остается, так сказать, «установленной». В наихудшем случае фишер вслед за этим может организовать атаку типа «посредник», просматривая все отправляемое и получаемое через web-браузер, пока он не будет закрыт. Конечно, зачастую можно обнаружить признаки подделки, поскольку добиться идеального наложения изображений удается далеко не всегда, но по статистике мало кто из атакуемых об этом задумывается.

Не случайно и появление web-сайтов-подделок, которые оформляются аналогично настоящим web-сайтам кредитных организаций и предназначены также для «извлечения» персональной идентификационной информации, за чем далее следуют хищения финансовых средств. Поэтому Банк России сообщил об этом банковскому сообществу [178] Письмо Банка России от 25 июня 2009 г. № 76-Т «О рекомендациях по информированию клиентов о размещении на web-сайте Банка России списка адресов web-сайтов кредитных организаций». и начал размещать на своем web-портале сведения о настоящих адресах web-сайтов кредитных организаций, которые поступают в составе регламентной банковской отчетности.

Специалистам фактически атакуемых кредитных организаций уместно было бы не только иметь представление о том, каким неприятностям могут подвергаться их клиенты, щелкая мышью по гиперссылкам на экранных изображениях браузера, но и уведомлять клиентов ДБО о необходимости крайне внимательного отношения к фишингу, информировать о мерах предосторожности и т. п., да и проектировать свои интерфейсные изображения таким образом, чтобы максимально затруднить их подделку и использование в мошеннических целях. Тем самым может быть исключен целый ряд компонентов большинства из упоминавшихся выше банковских рисков. Прежде всего будет поддержано доверие клиентов к ДБО (а за ним скрыты компоненты репутационного и стратегического рисков), конечно, при сохранении функциональности СЭБ. Далее клиенты не будут иметь оснований для предъявления претензий по поводу того, что «введению» их в заблуждение способствовала сама предложенная кредитной организацией и, «как оказалось, ненадежная» ТЭБ. Наконец, не возникнет обвинений кредитной организации в неплатежеспособности (невыполнении финансовых обязательств в установленные интервалы времени).

Однако в «зоне риска» клиента многие факторы риска возникают и по причинам, связанным с недостатками в обеспечении и поддержании информационной безопасности. Необходимо помнить, что клиенты кредитных организаций, являющиеся «всего лишь людьми», весьма склонны к нарушению даже общеизвестных правил и требований соблюдения мер предосторожности при работе с компьютеризованной конфиденциальной информацией. Типичными являются ошибки при использовании и хранении кодов персональной идентификации, несоблюдение правил использования и смены паролей доступа к функциям ДБО, невнимательность при заполнении полей данных в интерфейсных изображениях, утрата средств персональной идентификации или их компрометация в случае хищений (физических и компьютерных с помощью вирусных программ, сканирования при банкоматном обслуживании и т. п.) и др. Соответственно в тех случаях, когда какие-то кодовые комбинации, персонифицирующие клиента или аутентифицирующие его операции, оказываются похищены (в том числе перехвачены), после чего клиент теряет «живые деньги» или же нарушается конфиденциальность его информации, либо она оказывается искаженной или уничтоженной и т. п., претензии такой клиент предъявит прежде всего к кредитной организации (даже если на самом деле проблема была связана с недостатками в деятельности каких-либо провайдеров). Поэтому во избежание реализации связанных с подобными ситуациями компонентов типичных банковских рисков специалистам кредитной организации целесообразно заранее проработать возможные сценарии неправильного поведения клиента ДБО, составить модели связанных с этим потенциальных угроз (и для кредитной организации и для клиента) и их развития, предусмотреть соответствующие меры и средства защиты, «обкатать» их в ходе проведения ПСИ СЭБ и, наконец, отразить в документе, регламентирующем порядок претензионной работы с клиентами ДБО, или его аналоге. Все это может быть реализовано как процедуры процесса УБР.