Банки ведут ожесточенную борьбу с интернет-мошенниками

Этот предмет — чуть больше чековой книжки, чуть толще пальца — является новейшим оружием в борьбе против онлайн-мошенников. Это портативное устройство считывания банковских карточек. Кредитные учреждения вооружаются ими и ведут сражение против краж паролей и интернет-грабежей — так званого «фишинга». Портативные сканеры и чипы с цифровой подписью (так называемые m-Tan) должны положить конец проискам преступников. А пока сберкассы по всей Германии обсуждают свои новые системы цифровой подписи, тяжеловесы банкинга Volksbank и Raiffeisenbank уже с конца ноября готовятся предложить своим клиентам мобильные считывающие устройства.
 
Суперзащита

Первый опыт с новой системой без-опасности успел получить Essener Nationalbank. Около 100 тыс. его клиентов должны перейти с 1 января 2007 года на использование либо m-Tan'а, либо портативного сканера. Оба новшества предоставляются банком бесплатно.

«Мы не потеряли клиентов, — сообщил уполномоченный представитель правления банка Хеннер Пуппель. — Наоборот, дела пользователей идут вгору».

Postbank предлагает использовать m-Tan в денежных переводах по желанию клиента. Но пока им пользуется только каждый десятый из 2,5 млн. интернет-клиентов.

Происки ов

Профессиональные мошенники также становятся хитрее.

Вчера были фальшивые интернет-сайты, а сегодня появились «трояны» — вирусы, которые пробираются в компьютер и «спят» там до того момента, пока клиент не свяжется со своим банковским счетом. Тогда вредоносные программы начинают действовать, записывая все, что печатает юзер. Они используют Pin и Tan, поддельных получателя и сумму, и так до того момента, пока пользователь не подтвердит трансакцию щелчком «мышки». Новейшие версии антивирусов в этой ситуации часто оказываются бесполезными.

«Сейчас только 10% преступлений в Интернете составляют успешные «фишинг»-атаки через поддельные веб-сайты. Причиной 90% являются «трояны», — сообщил Франк Фельцман, эксперт в области «фишинга» Федерального управления безопасности в информационных отраслях экономики (BSI).

Новые версии вирусов делают интернет-банкинг ненадежным и сулят большие потери кредитным учреждениям.

«Вначале банки недооценили проблему и занялись компенсацией убытков», — говорит Георг Боргес, юрист и представитель рабочей группы по защите личности в Интернете (т. зв. a-i3) при Рурском университете Бохума.

Но обязаны ли банки компенсировать деньги своим клиентам, остается неизвестным.

Жертвы прогресса

В то же время интернет-банкинг становится популярным. Около 40% немцев ведут свои финансовые дела через Интернет. В 2004 году существовало 33 млн. онлайн-счетов. Все объясняется простой выгодой, в первую очередь для банков. По данным консалтингового агентства Steria Mummert, по сравнению с открытием филиалов такие счета экономят до 75% средств.

Все бы хорошо, но рядовой потребитель может в любой момент потерпеть крах.

По данным BSI, только в 2005 году из-за «фишинга» пропало по крайней мере 9 млн. евро. Боргес считает, что эти убытки на порядок выше. Его рабочая группа a-i3 получает около 1,5 тыс. электронных «фишинг»-писем в день. Так что риску подвержены все банки, особенно крупные. Исследование отраслевого IT-объединения Bitkom показало, что каждый обманутый клиент теряет в среднем 4 тыс. евро. Нетрудно подсчитать, сколько могут составить суммарные убытки.

Часть вины лежит и на клиентах. Именно они позволяют заманивать себя на поддельные веб-сайты и вводят банковские реквизиты. Это они работают на устаревших операционных системах, отказываются от антивирусов и брандмауэра.

Уже появились первые недовольные: у столяра Гюнтера Клиппеля из городка Санкт-Августин мошенники украли 4,8 тыс. евро, выманив вдобавок Pin и Tan. Полиция обнаружила на его компьютере «трояна» и отследила направление перевода — след потерялся где-то в России. Тем не менее, Volksbank не собирается возмещать убытки.

«Наша система безопасности надежна. Банк в случившемся не виноват», — говорит представитель кредитного учреждения Вильгельм Вестер.

«Они предложили мне интернет-банкинг, но не предупредили об опасностях», — жалуется Клиппель.

Бедняге столяру осталось лишь пожаловаться омбудсмену и завязать с интернет-банкингом.

СЛОВАРЬ МОШЕННИКА

Pin: персональный идентификационный номер, дающий доступ к банковскому счету.

Tan: номер трансакции, служащий подписью банковского перевода.

i-Tan: индицированные Tan'ы пронумерованы. Генератор случайных чисел определяет, какой Tan из последовательности следует вводить клиенту. От вирусов система не спасает.

m-Tan: мобильный Tan посылается на сотовый телефон клиента после того, как последний прислал с помощью SMS все данные перевода. Он действует всего несколько минут. Так что «трояны» бессильны.

HBCI: клиент устанавливает специальное программное обеспечение на своем компьютере и подключает устройство считывания для электронной карточки. Данные о переводе каждый раз заново кодируются. Метод надежен, но не мобилен.

Key-Logger: программа, которая тайно записывает каждую нажатую клиентом клавишу и отсылает эти данные мошенникам.

Транзитные вмешательства: непосредственно во время банковского перевода тайно меняются реквизиты получателя и сумма перевода. Tan остается нетронутым.

Портативное устройство считывания: в него клиент вставляет свою электронную банковскую карточку перед подтверждением перевода. Имея все данные, устройство генерирует Tan, а банковский сервер делает то же самое. Если оба кода совпадают, трансакция совершается.

Карточка с цифровой подписью: похожа на HBCI. Функционирует как персональный ключ, кодирующий банковские переводы. Любые манипуляции сразу обнаруживаются.

«Фишинг»: клиентов заманивают на фальшивые банковские веб-сайты для того, чтобы выудить пароли доступа, Pin или Tan. После этого интернет-пираты обирают счета до нитки.

«Фарминг»: компьютерные вирусы незаметно перенаправляют клиентов на поддельные веб-сайты.

«Трояны»: вирусы, манипулирующие компьютером. Переносятся через электронную почту с помощью прикрепленных файлов или через такие вспомогательные программы, как Java-Script и ActiveX. Новые виды «троянов» дожидаются последнего клика, подтверждающего трансакцию, после чего прерывают соединение и молниеносно уводят деньги на другие счета.
 
Инф. delo