Выбрать главу

Данный список неполон. Однако названные типичные проблемы и ошибки предоставляют злоумышленникам хорошую возможность, заразив сеть банка или используя уязвимости систем интернет-банкинга, получить доступ к управлению денежными средствами с целью их кражи. Только вовлеченность руководства кредитных организаций и риск-ориентированный подход позволят изменить ситуацию и повысить уровень безопасности ЭБ.

3.7. Проблемы обеспечения информационной безопасности на стороне клиента

Если слепой, споткнувшись о камень, упадет на дороге, всегда ругает камень, хотя виною его слепота.

Генрик Сенкевич, польский писатель, лауреат Нобелевской премии

Концептуальная схема, выработанная российским банковским сообществом, предполагает, что большую часть рисков при использовании систем интернет-банкинга несет сам клиент.

Нередки случаи, когда банки навязывают средства безопасности, которые фактически не выполняют свою функцию. В том числе это касается различных токенов, которые не в состоянии защитить от подмены платежа в момент подписания, а SMS могут быть перехвачены. К сожалению, в России очень медленно внедряются технологии типа Mobile ID[77], которые в ЕС в настоящий момент доступны за символическую плату.

Банковские системы по противодействию мошенничеству также могут быть обойдены злоумышленниками с помощью имитации повседневного платежа, постепенного вывода денег, использования всех данных самого клиента и т. д.

Сами клиенты часто пренебрегают правилами безопасности:

1) сообщают пароль и данные банковской карты незнакомым лицам, в том числе по телефону;

2) переходят на поддельные веб-сайты, не обращая внимания на оформление и адрес веб-сайта;

3) размещают в свободном доступе паспортные данные, что позволяет злоумышленникам подделать доверенность и выпустить новую SIM-карту для подтверждения платежей;

4) не заботятся об антивирусной защите, поэтому мошенникам не составляет труда получить доступ к СЭБ.

Данный список также неполон, однако демонстрирует слабую осведомленность клиентов о мерах безопасности. Отсутствие у банков жесткой обязанности предоставлять клиентам безопасный сервис ведет к тому, что мошенники и по сей день имеют возможность наращивать капитал, полученный преступным путем.

Обеспечение безопасности СЭБ в России требует комплексного подхода. Отсутствие большого числа ИТ-систем собственного производства, широкое распространение «теневого интернета», нежелание банков обеспечивать информационную безопасность на местах, низкая осведомленность обычных пользователей, в первую очередь граждан и представителей малого бизнеса, создают плодотворное поле для процветания мошеннического контингента.

Предстоит большая работа для того, чтобы изменить ситуацию. Однако в России есть люди, которым небезразлично состояние информационной безопасности как на их рабочих местах, так и в стране в целом. При поддержке Банка России и силовых ведомств, а также правильном законодательном фоне возможно обеспечить защищенный ЭБ и создать качественно новый интернет-продукт для клиентов кредитных организаций и не только для них.

4. Характеристика хищений денежных средств с использованием вредоносных компьютерных программ неправомерного доступа к информации

Наибольший соблазн преступления заключается в расчете на безнаказанность.

Марк Туллий Цицерон, древнеримский политический деятель

4.1. Вредоносные компьютерные программы как средство совершения хищений денежных средств

Не пренебрегай врагами: они первыми замечают твои ошибки.

Антисфен, древнегреческий философ

История рассматриваемых преступлений сравнительно коротка. Появление и массовое распространение вредоносных программ, специально предназначенных для совершения хищений денежных средств в системах платежей, впервые стали отмечаться специалистами в 20052006 гг.[78] В 2007 г. была обнаружена ставшая впоследствии самой массовой и по-своему знаменитой троянская программа «Зевс» (Zeus, Zbot). В 2009 г. появился SpyEye, в 2010 г. – «Карберп» (Carberp, «Цербер») и HodProt (Origami). Некоторые из этих программ до сих пор используются преступными группами – прежде всего вредоносные программы, являющиеся новыми версиями «Зевса» или созданные на его основе[79]. Кроме того, в последние годы появилось большое количество новых специализированных вредоносных программ. В настоящее время актуальны такие банковские троянские программы (или их модификации более широкого назначения), как Corkow, Ranbyus, Lurk, Shiz, BifitAgent. Отдельно и очень активно развиваются троянские программы, специально предназначенные для работы на мобильных устройствах.

вернуться

77

URL: https://moscow.megafon.ru/corporate/productsandsolutions/products/ mobile_id.html#description.

вернуться

78

Как сообщается в статье ООО «Доктор Веб» «История развития преступной отрасли создания банковских троянцев», троянская программа GoldSpy предназначалась для хищения электронных денег в уже не существующей в настоящее время американской платежной системе E-Gold. URL: http://antifraud. drweb.com/bank_trojs/history/?lng=ru.