Интервью по понедельникам. Банки заботятся о нас больше, чем мы думаем

Источник материала:

Число крупных и мелких мошенников, желающих незаконно использовать деньги с чужого банковского счета растет, как и число самих счетов. Системы безопасности банков ежедневно обновляются, следуя за неиссякаемой "творческой" фантазией хакеров. И все-таки многие попадаются на их удочку. 



Кто чаще всего становится жертвой мошенников? Как обеспечить безопасность онлайн-платежей? Что делать, если избежать атаки не удалось? Эти и другие вопросы мы обсудили в "Интервью по понедельникам".

Наши гости: Сергей Ромашко - директор департамента банковских карточек ОАО "БелВЭБ", Дмитрий Филимонов - заместитель директора ЗАО "СОФТКЛУБ - Центр Разработки", Владимир Комиссаренко - заведующий сектором Государственной системы управления открытыми ключами электронной цифровой подписи РУП "Национальный центр электронных услуг".

Внимание! У вас отключен JavaScript, ваш браузер не поддерживает HTML5, или установлена старая версия проигрывателя Adobe Flash Player.

Скачать аудио (21.83 МБ)

Внимание! У вас отключен JavaScript, ваш браузер не поддерживает HTML5, или установлена старая версия проигрывателя Adobe Flash Player.

Открыть/cкачать видео

Что вы подразумеваете под дистанционным банковским обслуживанием?
Дмитрий Филимонов: В понятие дистанционного банковского обслуживания можно вложить обслуживание, как физических, так и юридических лиц. Дистанционное банковское обслуживание - это все, что связано с самообслуживанием клиента: банкоматы, мобильные приложения, инфокиоски, интернет-банки, смс-банкинги.
Какие угрозы чаще всего встречаются на пути физических лиц при пользовании банковскими услугами дистанционно?
Сергей Ромашко: Одним словом эти угрозы можно назвать несанкционированным использованием денег на счете клиента. У банков есть множество систем, призванных бороться с ними.
Насколько я понимаю, в цепочку между сервером, к которому обращается пользователь, вклинивается мошенник.
Дмитрий Филимонов: На текущий момент во всех банках существует однофакторная или двухфакторная идентификация. Однофакторная – это логин и пароль, который выдается в банке. Удостовериться в том, что этот логин и пароль использует клиент, достаточно сложно. Поэтому банки используют двухфакторную идентификацию: подтверждение переводов с помощью сеансовых ключей, смс-кодов и других способов. Использование средств электронной цифровой подписи (ЭЦП) на сегодня дорогостоящий. Но для произвольных платежей мы рекомендуем использовать ЭЦП.
Владимир Комиссаренко: Мошенник может атаковать везде: как на стороне клиента, в канале связи, так и на сервере банка. Мошенники могут быть и среди сотрудников банка. Акцент на ЭЦП делается потому, что он наиболее безопасный: ключ подписи находится у клиента, и только у него.У нас есть замысел сделать универсальную единую пластиковую карту, которую можно было бы использовать как платежную, но чтобы на чипе этой карты было средство ЭЦП. С его помощью можно будет осуществлять доступ в систему "клиент-банк". Но это система дорогая, однако реальная.
Сколько будет стоить такая система защиты?
Владимир Комиссаренко: Себестоимость самой карточки будет около 5 долларов, и картридер будет стоить 10 долларов. Это абонентская часть, а за ней стоит вся система безопасности, она дороже.
Сергей Ромашко: Карточка и картридер – это только малая часть. Надо говорить о комплексе мер, программных и технических средствах по защите от мошеннических операций. И цифры достаточно крупные.
Дмитрий Филимонов: На самом деле в стоимости безопасность банка уже может существовать. Система ЭЦП уже может быть приобретена. Но клиенту должен предоставляться выбор услуг, которые он хочет получать, и стоимость может быть разная, так как система защиты разная.
Каждый хотя бы раз встречался со сбоем программного обеспечения. Кто несет в таком случае ответственность: банк, разработчик или клиент?
Дмитрий Филимонов: У клиента, конечно, есть ответственность. Ему при заключении договора дается инструкция, как использовать систему. Правообладателем системы является банк, который несет ответственность перед своим клиентом. Но разработчик отвечает за ошибки, которые возникли в программном обеспечении. При возникновении таких ситуаций клиент обращается в банк, а банк выясняет, чья это ошибка и исключает ее в дальнейшем.
Сергей Ромашко: Клиенту важно не нарушать условия договора, который он подписывает. Все остальное – взаимоотношения банка и разработчика. Банки всегда стоят на стороне клиента. Самая большая часть вопросов, которые возникают у клиентов, связана с деньгами, отправленными не на тот номер телефона или с лишним нолем. Банк принимает все меры, чтобы вернуть деньги или внести их на правильный счет.Вторая проблема: когда сервис не доступен. Но клиент при этом не несет никаких убытков.
Дмитрий Филимонов: Мы все время рассматриваем системы, которые используются при заключении договора с банком. Но есть системы, которые используются без заключения договора с банком: системы самообслуживания, которые позволяют, используя номер карты и срок действия, переводить деньги куда угодно. Тогда возникает вопрос угроз. В сервисах, которые предоставляет банк по договору, все проще.
Как обеспечить безопасность при совершении онлайн-платежей, при оплате покупок в онлайн-магазине? На что стоит обращать внимание при совершении таких операций?
Дмитрий Филимонов: Первое – внимательно смотреть, куда вы идете, на какой сайт. Он должен обладать системой защиты, вверху должна появиться защищенная зона https. Если ее нет, лучше не ходить на сайт и ничего не платить. Надо смотреть, на тот ли сайт вас отправили: все ли логотипы, инструкции верны. Надо проверять ссылки, потому что самая простая мошенническая операция – это перенаправление на чужой сайт. Если такая ситуация произойдет, банк не поможет. Банк всегда старается защищать сторону клиента, этому способствует международные системы Visa и Master Card. Они же внедряют свои системы защиты.
Владимир Комиссаренко: Когда вы заходите на сайт, и сталкиваетесь с какой-то проблемой, высока вероятность, что вас атакуют. Если вас просят зайти еще раз, выдают ошибку, есть все основания задуматься о своей безопасности. Надо внимательно смотреть на цифры, которые вы вводите. Те, кто беспокоятся, могут сохранять чеки, потом зайти в интернет-банк и проверить платежи. Иначе потом сложно вспомнить, где и за что вы платили.
Сергей Ромашко: Многофакторные операции используют другой канал доставки и подтверждения личности клиента. 3D Secure (3 Domain Secure) проверяет данные самой карточки, потом по независимому каналу держателю карты направляется код подтверждения операции. Клиенты “БелВэб”, совершая операцию на любом сайте в мире, перенаправляются на страницу банка, где они должны ввести одноразовый пароль. Этот пароль приходит им посредством смс-сообщения на их мобильные телефоны. Дальше включается операционное правило платежных систем между банком, который обслуживает карточку, и банком, который обслуживает тот или иной интернет-магазин.
Дмитрий Филимонов: Но я рекомендую использовать смс-оповещение, которое предоставляют все банки Республики Беларусь. Каждый платеж подтверждается смс-кодом или оповещением на телефон. Если клиент понимает, что это не его операция, он тут же может позвонить в банк, заблокировать карту и попросить начать сразу же разбираться. По прошествии большего времени сложно разобраться, банк будет не виноват в том, что деньги были списаны.
Сергей Ромашко: Важно как можно скорее обратиться в банк, потому что если мошенники поняли, что они что-то могут взять с карты, они делают это очень быстро: скорость может достигать нескольких операций в минуту. Поэтому чем быстрее клиент дозвонился, тем больше шансов, что он не потеряет свои деньги.
Владимир Комисаренко: Но есть атаки, в которых мошенник ворует маленькие суммы, которые ты не замечаешь.
Сергей Ромашко: Этот вопрос сразу решает смс-оповещение.
Как сейчас выглядят основные угрозы? Что завтра будет угрожать?
Дмитрий Филимонов: Будут новые технологии, и разработчики к этому готовятся постоянно. Мы должны сегодня понимать, какие риски возникнут завтра, чтобы их предотвратить. Все разработчики используют передовые технологии.
Чего больше всего стоит опасаться пользователям?
Сергей Ромашко: Самые большие потери в операции с карточками идут от операций электронной коммерции непредставленных карточек. Поэтому клиенту удобнее всего работать в системах дистанционного банковского обслуживания, и только при необходимости использовать электронную коммерцию.
Дмитрий Филимонов: Как вариант: использовать специальные карты для электронной коммерции. Можно заключить отдельный договор на карту для электронной коммерции, тогда риск минимален. Можно положить сумму, которую необходимо потратить, и мошеннику нечего будет забирать.
Хотелось поговорить о кардинге. Эта проблема будет актуальна до тех пор, пока будут использоваться банкоматы и инфокиоски.
Сергей Ромашко: Основное решение проблемы – переход на чип. В Европе более 90% карточек является чиповыми, и Республика Беларусь активно движется в этом направлении.От мошенников защищает использование лимитов на совершение операции. Банки устанавливают лимиты, и это делается не для того, чтобы минимизировать операции по карте, а чтобы минимизировать потери клиента, в случае если его карточку начинают использовать мошенники. Клиенты могут управлять своими лимитами: по заявлению они могут устанавливать лимиты на регионы, виды операций, суммы операций. Когда карточка используется для оплаты коммуналки, покупки продуктов в Республике Беларусь, можно установить большие лимиты, а на международные операции практически закрыть. Наоборот, при выезде в командировку или на отдых за границу лимиты можно увеличить, а вернувшись, закрыть. Таким образом, не используя другую карточку, можно минимизировать риски.
Дмитрий Филимонов: И старайтесь не снимать деньги в банкоматах. Используйте безналичную оплату.
Что делать, если все-таки клиент стал жертвой мошенника? Он позвонил в банк и заблокировал карту. Что ему делать дальше?

Сергей Ромашко: Первое действие – обращение в банк с заявлением о выяснении правомерности списания средств. Дальше банк проводит свою работу. Единственный вопрос: клиент должен постараться предоставить все чеки и подтверждающие документы по операциям. Когда банк сам замечает мошенничество, он блокирует и заменяет карту. Технологии движутся вперед, и уже создают бесконтактные карты. Один из белорусских банков уже принял такие платежи.Действенная мера защиты – хранение реквизитов своей карточки и ее реквизитов при себе. Не надо передавать карточку кому-то. Естественно, не надо писать пин-код на самой карточке. Совершая операции в интернете, не передавайте свои пароли и логины другому лицу. Бывали случаи, когда люди писали заявление, потому что не заходили на указанные сайты и не совершали таких покупок. Потом оказывалось, что ребенок в тайне от родителей, брал карточку и, зная пароли, оплачивал товары в интернет, переводил деньги.