Данный список неполон. Однако названные типичные проблемы и ошибки предоставляют злоумышленникам хорошую возможность, заразив сеть банка или используя уязвимости систем интернет-банкинга, получить доступ к управлению денежными средствами с целью их кражи. Только вовлеченность руководства кредитных организаций и риск-ориентированный подход позволят изменить ситуацию и повысить уровень безопасности ЭБ.
3.7. Проблемы обеспечения информационной безопасности на стороне клиента
Если слепой, споткнувшись о камень, упадет на дороге, всегда ругает камень, хотя виною его слепота.
Концептуальная схема, выработанная российским банковским сообществом, предполагает, что большую часть рисков при использовании систем интернет-банкинга несет сам клиент.
Нередки случаи, когда банки навязывают средства безопасности, которые фактически не выполняют свою функцию. В том числе это касается различных токенов, которые не в состоянии защитить от подмены платежа в момент подписания, а SMS могут быть перехвачены. К сожалению, в России очень медленно внедряются технологии типа Mobile ID[77], которые в ЕС в настоящий момент доступны за символическую плату.
Банковские системы по противодействию мошенничеству также могут быть обойдены злоумышленниками с помощью имитации повседневного платежа, постепенного вывода денег, использования всех данных самого клиента и т. д.
Сами клиенты часто пренебрегают правилами безопасности:
1) сообщают пароль и данные банковской карты незнакомым лицам, в том числе по телефону;
2) переходят на поддельные веб-сайты, не обращая внимания на оформление и адрес веб-сайта;
3) размещают в свободном доступе паспортные данные, что позволяет злоумышленникам подделать доверенность и выпустить новую SIM-карту для подтверждения платежей;
4) не заботятся об антивирусной защите, поэтому мошенникам не составляет труда получить доступ к СЭБ.
Данный список также неполон, однако демонстрирует слабую осведомленность клиентов о мерах безопасности. Отсутствие у банков жесткой обязанности предоставлять клиентам безопасный сервис ведет к тому, что мошенники и по сей день имеют возможность наращивать капитал, полученный преступным путем.
Обеспечение безопасности СЭБ в России требует комплексного подхода. Отсутствие большого числа ИТ-систем собственного производства, широкое распространение «теневого интернета», нежелание банков обеспечивать информационную безопасность на местах, низкая осведомленность обычных пользователей, в первую очередь граждан и представителей малого бизнеса, создают плодотворное поле для процветания мошеннического контингента.
Предстоит большая работа для того, чтобы изменить ситуацию. Однако в России есть люди, которым небезразлично состояние информационной безопасности как на их рабочих местах, так и в стране в целом. При поддержке Банка России и силовых ведомств, а также правильном законодательном фоне возможно обеспечить защищенный ЭБ и создать качественно новый интернет-продукт для клиентов кредитных организаций и не только для них.
4. Характеристика хищений денежных средств с использованием вредоносных компьютерных программ неправомерного доступа к информации
Наибольший соблазн преступления заключается в расчете на безнаказанность.
4.1. Вредоносные компьютерные программы как средство совершения хищений денежных средств
Не пренебрегай врагами: они первыми замечают твои ошибки.
История рассматриваемых преступлений сравнительно коротка. Появление и массовое распространение вредоносных программ, специально предназначенных для совершения хищений денежных средств в системах платежей, впервые стали отмечаться специалистами в 20052006 гг.[78] В 2007 г. была обнаружена ставшая впоследствии самой массовой и по-своему знаменитой троянская программа «Зевс» (Zeus, Zbot). В 2009 г. появился SpyEye, в 2010 г. – «Карберп» (Carberp, «Цербер») и HodProt (Origami). Некоторые из этих программ до сих пор используются преступными группами – прежде всего вредоносные программы, являющиеся новыми версиями «Зевса» или созданные на его основе[79]. Кроме того, в последние годы появилось большое количество новых специализированных вредоносных программ. В настоящее время актуальны такие банковские троянские программы (или их модификации более широкого назначения), как Corkow, Ranbyus, Lurk, Shiz, BifitAgent. Отдельно и очень активно развиваются троянские программы, специально предназначенные для работы на мобильных устройствах.
77
URL: https://moscow.megafon.ru/corporate/productsandsolutions/products/ mobile_id.html#description.
78
Как сообщается в статье ООО «Доктор Веб» «История развития преступной отрасли создания банковских троянцев», троянская программа GoldSpy предназначалась для хищения электронных денег в уже не существующей в настоящее время американской платежной системе E-Gold. URL: http://antifraud. drweb.com/bank_trojs/history/?lng=ru.