Интернет-Банкинг, Украина. Безопасность. Основные проблемы.

Что такое "безопасность в интернет-банкинге"?

Давно, лет тридцать назад, нам, молодым-зеленым пацанам-альпинистам, на вопрос "Насколько опасен альпинизм?" ответил уже немолодой инструктор, "Снежный Барс", мастер спорта. Ответил так: "Если вы будете продолжать ходить в горы - с каждым из вас за десять лет что-то случится. И с одним из ста это будет смертельно".

У меня было 30 лет и несколько сот знакомых альпинистов, чтобы убедиться - да, это короткий и точный ответ.

Сегодня я "перепишу" эту же фразу так:

"Если вы станете использовать интернет-банкинг в течении 5 лет, с каждым из вас что-то случится, какие-то финасовые потери. И с одним из тысячи - это будет полная потеря средств на текущем счете."

А что, собственно, может случиться? Что происходит такого, что заканчивается "несанкционированным доступом", "взломом", "фишингом" и, в конечном итоге, "похищением" средств со счета? Какие вообще бывают случаи "интернет-взлома", или, если брать шире - "несанкционированных потерь" с моего счета?

Примечание: Все случаи, приведенные ниже, мною придуманы. Любые совпадения с реальными событиями - случайны.

Группа 1. 60% "Мимими".

Страшилка №1: Небольшая фирма, клиент-банк. Несанкционированно перечислена (с действующими ключами и подписями) сумма порядка 50 тысяч долларов. Операции сделаны в "интернет-кафе" в городе "за 600 км" от места расположения фирмы. Заведено уголовное дело по факту воровства. Директор и главбух в один голос криком кричат на представителей Банка - "Это сделали ваши сотрудники! Это так плохо устроен ваш клиент-банк! Это все ваша работа!"

Что выяснилось через пару дней? Молодой студент, племянник главбуха, задолжал некоторую сумму "добрым людям", которые долг ему простили. Но попросили скопировать ключи программы "Банк-клиент" с фирмы... Дело прекращено. Заявления об ущербе отозваны. Ни в какую статистику, ни по линии МВД, ни по линии безопасности банка это не пройдет. А вот, уже и как бы — нет преступления. Нету!

Я считаю, что это - больше половины случаев "шахрайства". Племянник, коллега, муж, жена, дети, друзья, любовница, кум, сват.. "Она же такая няша!", "Он же такой ми-ми-ми!", "Да кто же мог такое предположить!". Практически во всех случаях - разборки "наружу" прекращаются мгновенно. Бабушка, требующая непременно найти и наказать (причем, непременно посадить!) того, кто снял с ее пенсионной карточки, "всю, всю пенсию!", как только видит на видеозаписи камеры банкомата своего любимого внука, мгновенно "разворачивает орудия" на 180 градусов.. Далее продолжать?

Ставлю 60%, хотя мне иногда кажется, что случаев таких все же больше.

Группа 2. 30% "Авось!".

Страшилка №2: Небольшая фирма, состоялся, скорее всего, фишинг, уведено около 30 тысяч долларов. Сотрудниками ИБ+ИТ Банка проведен скан компьютеров в оффисе фирмы. Выявлено 126 "троянов", "червей" и т.д., тысячи зараженных файлов. Нет никаких следов ни антивируса, ни файрволла. Тут ситуация интересна чем? Они все "передрались" за ключи, и тут уже гонка среди взломщиков - кто первый успеет прогнать "свои" платежки.

Примечание: Из википедии "Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом."

Нет никаких средств защиты. Заходи кто хочешь, бери что хочешь.. Фирма "экономит" на файрволле и антивирусе. Авось, пронесет?

Часть таких залетов попадает в "официальную статистику". Иногда даже находят и отлавливают умельцев-получателей. Иногда - нет.

Ставлю 30%, хотя это "наиболее видимая официально" часть "взломов".

Примечание: сюда же я отношу "хранить пин-код вместе с карточкой".

Группа 3. 5% "Один цент".

Один цент. Или евроцент. Или "10 копеек". Как правило, тут нет никаких преступлений вообще. Есть ошибочные платежи на мелкие суммы. Возвраты, зависание сумм на "транзитах", потерянная купюра в банкомате, остаток суммы от "нала" в терминале, - а куда их девать? Если вы обратитесь в банк, вам наверняка (+100%!) их вернут, и даже с радостью, и с облегчением. Но - ради "10 копеек" (вариант - "нескольких гривен") идти потратить несколько часов? На активно работающие транзитные счета (технические, не счета клиентов), за месяц "накапывает" от 3 до 5 тысяч гривен. И за ними никто не приходит! Если, теоретически, кому-то попытаться все это "разгрести" - потребуются десятикратно большие затраты. Никто и никогда не оценит "объемы" этих сумм. Это не преступление! Это мелкие невозвраты. Отношу сюда же "технические сбои", при которых возникают "задвоения операций" - а такое, увы, бывает. И какую бы совершенную платежную систему бы ни создали, так будет. По обращению в "поддержку" - это элементарно выявляется и сумма возвращается. Если, конечно, вы заметили это - и обратились.

Я проставил тут 5%, а сколько их реально?

А как часто вы мониторите свои расходы, чтобы выловить подобные "потери"?

Остальное. 5% "Прочее".

Просто поставил "прочее" на оставшиеся 5%. Можно еще найти 10-20-30 видов-типов потерь "менее 1%" от всего количества, включая "мой пин-код узнал экстрасенс-телепат!" и "мой интернет-банк был взломан хакером".

А теперь, когда цифры процентов проставлены, посмотрим на них стороны. "Специалисты по безопасности" могут (и вполне справедливо, со своей стороны) их оспорить, возразить, высмеять и привести иные данные, множество других "групп потерь" или "факторов риска". Вот если вы задаете СложныйПароль.. А если ПарольСреднейСложности.. Если вы используете ТакойФайрволл.. А если вы не используете ЭтакийКлюч..

Я не пишу это для "специалистов". Это иной взгляд. Полной статистики никто и никогда не соберет и не представит - большинство случаев "группы 1" и "группы 3" вообще не будут учтены нигде - из-за отсутствия претензий со стороны клиента, и я написал, почему. Кроме того, банкам это "себе дороже", публиковать и обсуждать подобные цифры. Нормальный уровень безопасности "интернет-банкинга" они, как мне кажется, все же обеспечивают, а как и насколько вы станете его использовать - это уже дело Ваше.

Итак, основных причин нарушения безопасности в интернет-банкинге, как я считаю, всего две. Это "человек рядом с вами" и "обыкновенное разгильдяйство". При этом они вместе занимают огромное большинство всех "потерь", и первая вдвое перевешивает вторую. Отсюда цифры 60%+30%=90% .

Из оставшихся 10% - половину я отвел на то, что превращается в "мелочь, за которой лень наклониться" и что потом становится в итоге "небольшой комиссией банку". К оставшимся 5% "все остальное" - может быть, когда-нибудь вернусь, позже.

Что делать? Какие меры принимать? А что вообще можно "предпринять"?

К следующей части      Общий взгляд.

При использовании материалов просьба указывать ссылку на блог:
http://internet-bank-ua000.blogspot.com/2013/11/blog-post.html