Московский Государственный Университет Экономики Статистики и
Информатики (МЭСИ) Тверской филиал
Кафедра информационных технологий
Реферат по предмету «Электронный банкинг»
На тему: «Мошенничество в сфере электронного банкинга»
Тверь, 2010
План
Введение
1. Причины интернет-мошенничеств в сфере интернет-банкинга
2. Виды и методики осуществления мошенничества в сфере интернет-банкинга
3. Меры безопасности
4. Современные технологические инновации, способствующие противодействию существующим криминальным угрозам в сфере интернет-банкинга
4.1 Компании Diebold и ЛАНИТ: многоуровневая безопасность сети банкоматов
4.2 Компания NXP Semiconductors: производство бесконтактных защитных микросхем
4.3 Платежная система PayPal
4.4 WebMoneyTransfer
Заключение
Список использованных ресурсов
Введение
Электорнному банкингу уже более двадцати лет, однако в данный момент этот сервис развивается небывалыми темпами, связанно это прежде всего с массовой доступностью всемирной паутины, управление своими счетами не выходя из дома или офиса является очень удобным решением в сумасшедшем ритме жизни современного человека. Естественно, интернет-банкинг является приманкой для злоумышленников и в связи с этим банки, предоставляющие данную услугу неустанно совершенствуют свои системы защиты интернет-банкинга. В отечественном интернет-банкинге широкое распространение получили такие виды защиты как SSL-протокол, USB-token, ЭЦП, скретч-карты с одноразовыми паролями и ввод логина с паролем, крупные иностранные банки более развиты в отношении безопасности. В их системах защиты наряду со стандартными схемами присутствуют такие параметры как виртуальная клавиатура, встроенные модули защиты в браузер, SiteKey (эффективен против фишинг атак) и др.
Выше перечисленные параметры защиты доказали свою высокую эффективность в использовании. Однако, ни одна технология защиты на данный момент не может дать 100% гарантию безопасности вводимых персональных данных, например, от вредоносных программ. Количество случаев кражи средств через Интернет только за прошлый год возросло более чем в два раза, несмотря на то, что на рынок выходят все новые средства защиты.
По данным МВД РФ, число мошенничеств с использованием интернет-технологий в 2009 году возросло на 30%. Размер украденных сумм увеличился в три раза, то есть каждое мошенничество стало в несколько раз эффективнее. Число привлеченных к уголовной ответственности по этим случаям, к сожалению, в процентном соотношении к количеству мошенничеств продолжает падать. Поймать преступников сложно: действуют цепочки профессионалов, каждый из которых в отдельности закон не нарушает.
По данным ФБР, ущерб от онлайн-мошенничества в США 2009 году составил 560 млн долларов, а общее число финансовых онлайн-преступлений превысило 336 тысяч (годом ранее их было 275 тысяч). Больше всего преступлений было совершено с проведенными через Интернет предварительными платежами - 16,6% от общего числа. Второе место занимают инциденты, связанные с оплатой товаров, - 11,9%.
1. Причины интернет-мошенничеств в сфере интернет-банкинга
Основные причины резкого возрастания числа интернет-мошенничеств можно разделить на две группы:
1. субъективные, связанные с недостаточной осведомленностью участников информационных отношений в области защиты своих интересов,
2. объективные причины, связанные с применяемыми программно-техническими средствами.
Несмотря на многочисленные предупреждения и в договорах, и на сайтах банков, а также в СМИ, клиенты недостаточно глубоко и точно понимают, где и как у них могут украсть деньги и что делать, чтобы этого не произошло. Пользователи уделяют слишком мало внимания обеспечению собственной безопасности в Интернете. Например, для многих из них до сих пор не является аксиомой, что нужно применять и своевременно обновлять антивирусные средства.
Кроме того, среди клиентов бытует мнение, что использование нелицензионного программного обеспечения напрямую не вредит безопасности, а нарушает лишь авторские права. Однако «пиратские» операционные системы не загружают регулярные обновления безопасности, в то время как антивирусные средства рассчитаны на то, что средства безопасности Microsoft будут обновлены и выполнят свою задачу. В итоге из-за неправильного их взаимодействия в системах защиты остаются бреши.
Следующая причина - использование неадекватных уровней безопасности в системах ДБО (дистанционного банковского обслуживания). Уровень безопасности должен зависеть от сумм и типов операций: операции между своими счетами, предопределенные операции с ограниченными суммами требуют совершенно иного уровня безопасности, чем операции в пользу третьих лиц без ограничения суммы. При упрощенной системе безопасности можно разрешать только все операции по собственным счетам. Если в системе нет запрета на платежи в пользу третьих лиц, необходима криптография на компьютере пользователя и разовые пароли. Это позволяет хорошо защитить и банк, и клиента.
Встречаются и чисто технологические ошибки в разработке систем ДБО. Их должны создавать профессионалы в области безопасности, иначе в системах могут возникать алгоритмические «дыры». Например, в своем компьютере клиент вставляет USB-токен и начинает работу. В момент подписания платежного документа троян подкладывает фальшивое платежное поручение, которое подписывается правильными подписями и отправляется в банк. Это технологическая уязвимость: в некоторых системах существует незащищенный канал между микропроцессором шифрования и процессором компьютера, который недостаточно контролируется. Такая уязвимость закрывается профессиональными криптографами, так как простое применение сертифицированных криптографических библиотек эту проблему не поможет решить, потому что проблема в неверных алгоритмах применения библиотек.
Еще одна причина - использование в системах ДБО несертифицированных средств криптографической защиты информации, что создает условия правовой незащищенности участников информационных отношений. Случаи взлома криптографии очень редки: зачем взламывать шифр, если можно украсть ключи? Деньги пропадают с использованием собственных ключей пользователя. Если клиент будет пытаться доказать свои права в суде, то во внимание будут приниматься только сертифицированные средства.
Так же одной из важных угроз систем ДБО сегодня является недостаточно проработанная нормативно-правовая база отношений клиента с банком. Юридически грамотный злоумышленник,знающий технологию применения электронной цифровой подписи,может найти уязвимости в договорах и регламента, а затем используя систему ДБО провести поддельную транзакцию, отказаться от нее и подать исковое заявление в суд. Задача банка – доказать в суде обратное,т.е. доказать, что банк действовал правильно.
В большинстве случаев кредитная организация не несет юридической ответственности перед своими клиентами в рамках заключенного между ними договора. Компрометация данных, которые необходимы злоумышленникам, зачастую происходит именно по вине клиентов. Тем не менее даже в таких случаях большинство кредитных организаций, в случае обращения клиента стараются помочь ему вернуть утраченные средства, и это часто удается сделать.
С другой стороны, возможны ситуации, когда кредитная организация может понести юридическую ответственность за убытки своих клиентов. Речь идет о случаях, когда клиент не виноват в произошедшем, в том числе на основании решения суда, включая случаи, когда к списанию средств клиента причастны сотрудники кредитной организации.
Именно на эти случаи и распространяется действие полисов страхования от электронных и компьютерных преступлений и страхования профессиональной ответственности финансовых институтов, которые достаточно давно распространены на российском страховом рынке. «Ингосстрах» предлагает такие виды банковского страхования уже более 10 лет.
Риски электронных и компьютерных преступлений по отношению к банкоматам могут быть застрахованы либо как расширение покрытия по полису страхования банкоматов и денежной наличности в них, либо в рамках комплексного полиса страхования банка от электронных и компьютерных преступлений.
Несмотря на то что большинство банков в рамках договора с клиентами формально не несет ответственности за утрату клиентами средств при использовании пин-кода пластиковой карты, суды в большинстве случаев встают на сторону клиентов. Такие риски могут быть застрахованы в рамках полиса страхования рисков эмитентов банковских карт.
Любой банк обязан выполнять требования по обеспечению защиты информации следующих внешних по отношению к финансовой организации нормативно-правовых актов:
- Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ "О персональных данных";
- Федеральный закон РФ от 7 августа 2001 г. № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем";
- Стандарт межународной платежной системы VISA PA DSS (в контексте требований стандарта PCI DSS для программного обеспечения процессингового центра);
- Рекомендации ЦБ РФ, направленные циркулярным письмом Московского ГТУ Банка России № 33-00-18/3183 от 25.01.2010 г. "О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга".
2. Виды и методики осуществления мошенничества в сфере интернет-банкинга
Мошенничество с картами и мошенничество с ДБО, соединенные в один технологический «узел», дают синергетический эффект для мошенничеств. Потери от таких действий в десятки раз превосходят отдельно взятые воровство из интернет-банкинга и кражи денег из банкоматов. Интернет-банкинг позволяет воровать деньги с банковских счетов, а банкоматные сети дают возможность украденные деньги обналичивать.