«Клиент-Банк»: правила безопасности

«Атака на банк-клиент…». Взгляд со стороны работника банка

«Клиент-Банк»: правила безопасности

Меня очень заинтересовала статья Атака на банк-клиент или Охота на миллион в связи с тем, что я явлюсь непосредственным участником процесса дистанционного банковского обслуживания (далее — ДБО) со стороны банка.

Чуть позже появилась статья Кому я нужен?, поэтому мыслей на эту тему накопилось очень много и хочется поделиться со всеми (а еще я давно хотел зарегистрироваться, но подходящего момента не было).

По возможности буду краток и не буду сыпать научными терминами.

Виды клиент-банков

Давайте для начала отделим мух от котлет.

Есть два основных направления дистанционного (да и не только) банковского обслуживания (далее — ДБО) — обслуживание физических лиц (интернет-банкинг (далее — ИБ)) и юридических лиц (системы типа Интернет клиент-банк (далее — ИКБ)).

В статье Атака на банк-клиент или Охота на миллион разбирается вопрос обслуживания юридических лиц, а статья Кому я нужен?, написанная под влиянием первой и комментариев к ней, касается систем ДБО для физических лиц.

В чем отличие? В объемах производства и продукции! Дневной оборот среднего предприятия, отправляющего платежи в банк, равен примерно сумме операций обычного физического лица за пол года-год. Отсюда мы получаем необходимость совсем разных систем для совершения операций там и там. Думаю, я не ошибусь, если скажу, что 99% систем ИБ построены на Java. От них требуется совершение небольшого количества операций в секунду…, простите, сутки. Второе требование — не взорвать мозг клиенту и потенциальному покупателю каких-нибудь еще продуктов банка в будущем (ну кто же ему кредит даст с дырой в башке!? Отсюда — уже готовые формы оплаты различных услуг, незамысловатый и простой интерфейс, совершение операций без использования систем шифрования. Всё, что нужно клиенту — браузер с поддержкой SSL, Java Script и установленная на ПК Java RE. В качестве средств защиты могут быть использованы дополнительные факторы аутентификации, таких как мобильный телефон, ввод PIN-кода, одноразовые аналоги собственноручной подписи (коды АСП).

Программ типа «Клиент-банк», а в нашем случае Интернет Клиент-банк (далее — ИКБ) на рынке присутствует пара-тройка десятков, я думаю.

Часть из них представляет собой ПО, устанавливаемое, на ПК клиента, часть — web-клиенты, причем за вторыми будущее, а первые отживают своё, так как использование и сопровождение их — дело ужасно неудобное и небыстрое (это я про установку ПО на месте, настройку и т.д. ).

Если вы хотите в месяц подключать порядка 100-200 клиентов, а сотрудников у вас целых 1 человек (как в моём случае), то без web-клиента вам не обойтись.

Главное отличие систем ИКБ от ИБ — использование систем шифрования (обязательно сертифицированных ФСБ!). Это, например, платная CryptoPro или бесплатная и открытая IPRIV. С другими не сталкивался, врать не буду. Второй нюанс — несколько видов платежных операций в различных валютах, обмен с банком файлами, сообщениями, взаимодействие с бухгалтерскими программами, возможность многоуровневой подписи документов и интерфейс — не для блондинок.

Азы банковского дела и хакерского мастерства, точнее воровства

Как видим, различия в системах ДБО — коренные, поэтому и способы несанкционированного доступа к счетам клиентов различны для каждой системы. Коротко и ясно они описаны в упоминаемых выше статьях, за что авторам большое спасибо. Получить доступ к счёту — это пол дела. Получить деньги — вот цель злоумышленников.

Давайте, не будем называть их хакерами и прочими «красивыми» словами. В русском языке для таких людей есть простые обозначения — вор и мошенник. Неприглядно, зато правда.

Итак, вор получил доступ к счету клиента.

При краже данных физлиц он может пойти двумя путями — воспользоваться данными банковской карты для покупки в Интернет-магазинах (оплаты услуг) или перевести деньги на другую карту (или счет). При покупке в магазине средства со счета сразу не списываются. Они резервируются для последующей передачи получателю.

В этом состоянии они могут болтаться до 30 дней, если оплата не произошла и средства не затребованы, они возвращаются из резерва в доступный остаток на счете (они всё это время были на счёте!). Поэтому здесь спасти может СМС-информирование, которым пренебрегают некоторые недальновидные товарищи. Первым делом необходимо позвонить в свой банк и заблокировать карту.

Параллельно с первым делом необходимо писать заявление в банк о несогласии с транзакцией, в большинстве систем ИБ это можно сделать прямо на сайте. В случае, если в вашем банке работают понимающие, законопослушные и ответственные сотрудники (начиная с руководства!), транзакцию отменят и деньги вы вернете.

При переводе средств на другой счет (карту) тоже не всё плохо. Средства тоже уходят не мгновенно. Сперва платеж должен проконтролировать операционный работник (плюс-минус 15-30 минут). Далее деньги уходят в расчетно-кассовый центр Центрального Банка РФ. Потом уже оттуда они придут в банк получателя и там, скорее всего, их уже ждут и стоят около банкомата, чтобы сразу же снять. Хозяин карты затем заявит, что карту потерял, а кто ей воспользовался — он не знает. В этом случай так же может спасти СМС-информирование. Не пожалейте 50 рублей в месяц и пусть вам приходят эти СМС-ки, которые однажды бросят вас в холодный пот, а потом позволят расслабиться вечером с холодным пивом. Еще один способ вернуть средства — застраховать свою карту. Стоимость страховки, например, в моём банке от 300 до 500 рублей в год (сумма возврата — до 30 тысяч рублей). При совершении операций через Интернет и в обычных магазинах — это очень простой способ избавиться от головной боли. Помимо возврата средств на счет страховая компания оплатит до 2000 рублей на восстановление документов в случае их утери. Так что узнавайте в своих банках об этой услуге. Береженого сами знаете кто бережет.

На этом я заканчиваю рассказ про системы для физических лиц. Я специально не рассматриваю способы борьбы с воровством вашей информации, потому что об этом подробно написано на сайте каждого банка, сотрудники Сбербанка здесь об этом тоже подробно написали.

Прочитав некоторые комментарии о банковской системе в нашей стране хотелось бы внести ясность в некоторые вопросы. Наши банки, к счастью — это не швейцарские банки (которые уже тоже не те, что раньше). Банковская система в России прозрачна. Все всё знают и все всё видят, куда и откуда идут средства. По запросам органов внутренних дел им передается вся информация об операциях какого-либо лица или организации. Уничтожением платежек в РКЦ тоже никто не занимается. Уничтожать следы своей гадкой деятельности злоумышленникам не нужно, да они это и не делают и не сделают. Система воровства работает просто. Средства переводятся на карточные счета физических лиц, после снятия их карта либо «теряется», либо они снимаются и не возвращаются. Заставить кого-то вернуть деньги можно, если будет доказана его вина. Если человек невиновен, то считается, что ему просто «повезло», когда на счёт упала манна небесная. Доказать вину очень сложно. Выводы делайте сами. Почему так — читайте чуть ниже при обсуждении вопроса касательно юридических лиц. В любом случае, если клиент банка попадает в странную ситуацию — ему приходят чужие деньги, то банк работать с таким клиентом больше не захочет. Второй раз злоумышленники на этот же счет деньги себе не переведут — перед лицом МВД они будут выглядеть уже не просто как «счастливчики». Поэтому воровство средств в системах ИБ для физлиц распространено не сильно — много мороки, а денег мало. На моей памяти был только один случай, когда у клиента система вдруг ни с того ни с сего запросила четырехзначный PIN-1 (при аутентификации в системах ИБ используется 16-значный PIN-2).

«Атака»

А теперь переходим к нашим баранам, точнее юридическим лицам. Как же происходит инфицирование компьютера? К большому разочарованию любителей детективного жанра никакие инсайдеры не нужны.

Зачем с кем-то делиться, когда 90% пользователей, сидя за компьютером, ничем не отличаются от валенков, кроме того, что валенки не могут сами давить на клавиши? Ссылки на сторонних сайтах, письма, отсутствие нормального антивируса и фаервола, беспечность администраторов, которым лень настроить хотя бы прокси, а в некоторых случаях и отсутствие таких сотрудников в штате, делают свое грязное дело. Да и сложно представить, как человек, сидящий в Рязани, Саратове или Москве, имеет инсайдеров в нескольких десятках организаций по всей России.

Активные атаки на нашу систему и клиентов и систему начались в конце 2009 года. За это время в нашем регионе было зафиксировано не более 10 случаев заражения, к сожалению 3 из них закончились летальным исходом — средства безвозвратно утеряны, 2 случая — со счастливым концом — средства не списаны из-за ошибки в платежном поручении или не дошли до банка-получателя и вернулись из РКЦ ЦБ РФ. Остальные случаи заражения были идентифицированы на ранних стадиях и клиентам была преподнесена «радостная» новость о том, что на компьютере кака, а админ — лох.

«Куда смотрят в банке!? Разве они не видят, что мои деньги пи…!?» моё

Общая стоимость ущерба не превысила 900 тысяч рублей (100+300+2х500 (один платеж успели вернуть)). Как видите, суммы не астрономические.

Что такое сто тысяч рублей для организации, у которой таких платежей — 90%, а в банке проходят платежи и в 10 и 100 раз большие? Такие суммы банки даже не обязаны контролировать! Контроль начинается с сумм, превышающих 600 тысяч рублей.

Поэтому вероятность успеха прохождения таких платежей намного выше, чем упоминаемые в статье 1 и 6 миллионов. Вообще, мне не понятен процесс контроля и исполнения платежа банком на такую сумму.

В этом случае контролер обязан связаться с организацией и не просто спросить по телефону, они ли их отправили, а потребовать предоставить документы, подтверждающие факт легальной отправки средств. Это требования закона о борьбе с отмыванием и легализацией средств.

В нашем случае троян только отсылал «хозяину» секретный ключ и пароль на вход в систему.

Злоумышленник уже сам регистрировался в системе, проверял остаток на счете и, если ему хватало, заполнял платежное поручение и отправлял средства на счет (не на свой!), а подставных лиц, которые, естественно его в глаза «не видели», но при получении столь приятного подарка, эти средства со счета снимали. Здесь многие могут мне сказать: «Ну вот же! Всё ясно! Вот они — негодяи и воры! Ловите их!» На что я вам, товарищи, спокойно отвечу: «Терморектальный криптоанализ в органах внутренних дел Российской Федерации не является законным способом добычи показаний, потому применяться не может, а в действиях граждан при операциях с их банковским счетом состава преступления не обнаружено.»

То есть, в принципе всё ясно, кто, куда и кому перевел деньги, никто это не скрывает, все всё знают, но сделать ничего не могут, так как при поступлении денег на счет и снятии их банк-получатель платежа никакой ответственности не несет. Заставить гражданина вернуть сумму может только совесть, в противном случае оснований для этого нет, вина не доказана. Доказать его причастность расспросами и мольбами — вообще невозможно, он же не дурак 🙂 Отследить злоумышленника по IP-адресам тоже не представляется возможным — они не из своего дома работают и используют для своих грязных дел взломанные компьютеры ничего не подозревающих пользователей, у которых разворачивается виртуальная машина, уже в ней осуществляется вход в систему и т.д. За два года никого никуда в суд не потащили, и не потащат. Поэтому мы переходим к третей части нашего повествования…

Спасение утопающих..

В 99,99% банках клиентам ДБО даются ценные указания, как и что нужно делать, чтобы избежать подобных ситуаций… Как вы понимаете, 99,99% клиентов плевать хотели на ценные указания банков А способы противодействия на самом деле просты и очень дешевы:

  1. Работайте с одного рабочего места.

    Желательно не использовать рабочее место для походов в интернет, по магазинам и к подружкам в социцальных сетях. Идеальный вариант — один ярлык на рабочем столе — это ваш Клиент-банк. 🙂 Дорого? 100 тысяч дороже.

  2. Работайте с одного IP-адреса.

    Если настройки Клиент-банка позволяют, жёстко привяжите этот IP к системе, чтобы с других адресов зайти было не возможно. Любите путешествовать? Тогда переходите к следующему пункту.

  3. Обязательно приобретите электронный идентификатор Rutoken или eToken. Лучше приобрести Rutoken ЭЦП или eToken ГОСТ.

    Это персональное средство формирования ЭЦП с неизвлекаемым закрытым ключом, т.е. для каждой последующей операции формируется новая ЭЦП. С такого ключа информацию извлечь уже будет невозможно. Стоимость одного ключа составляет порядка 1 тысячи рублей.

  4. Антивирусы, файерволы, безопасность… Вообщем, класика жанра. Но при несоблюдении пунктов 1-3 она вам не поможет

Заключение

Хотелось бы, чтобы большинство клиентов перестали надеяться на «авось» и считать, что если деньги в банке, то с ними ничего не случится, а ежели что случится, банк всё вернет.

По части ДБО банки полностью выполняют свою часть договора — предоставляют средства и способы клиенту быстро решать свои проблемы, заботятся о его безопасности, советуют, как себя вести в интернет-обществе.

К сожалению, многие клиенты не знают, что ответственность за сохранность ключей и чистотой дисков лежит прежде всего на них, а не на банке.

Наличие на жестком диске признаков инфицирования автоматически делает клиента виноватым (хотя так и есть на самом деле) и дальнейшая борьба за свои кровные в суде (если до него дойдет) не увенчается успехом. Да и стоит ли осуждать кого-то, если вы оставили дверь открытой настежь и ушли на работу?

  • информационная безопасность
  • антивирусы
  • дбо

Источник: https://habr.com/post/113836/

Правила информационной безопасности при работе с системой дистанционного банковского обслуживания

«Клиент-Банк»: правила безопасности

Анализ выявленных в Российской Федерации за последнее время попыток хищения денежных средств с расчетных счетов корпоративных клиентов, путем совершения платежей с использованием систем электронного банкинга показал, что хищения денежных средств с расчетных счетов осуществляются, как правило:

  • ответственными сотрудниками предприятия, имевшими доступ к секретным (закрытым) ключам ЭП, в том числе работающими или уволенными (директорами, бухгалтерами и их заместителями);
  • штатными ИТ-сотрудниками организаций, имевшими доступ к носителям с секретными (закрытыми) ключами ЭП (дискеты, флеш-диски, жесткие диски и пр.), а также доступ к компьютерам, с которых осуществлялась работа по системе «Интернет-банк»;
  • нештатными, приходящими по вызову, ИТ-специалистами, выполняющими профилактику и подключение к Интернет, установку и обновление бухгалтерских и справочных программ, установку и настройку другого программного обеспечения на компьютеры, с которых осуществляется работа по системе «Интернет-банк»;
  • злоумышленниками путем заражения компьютеров клиентов или взятия под контроль с использованием уязвимостей системного и прикладного ПО (операционные системы, Web-браузеры, почтовые клиенты и пр.) с последующим дистанционным похищением секретных (закрытых) ключей ЭП и паролей.

Во всех выявленных случаях злоумышленники тем или иным образом получали доступ к секретным (закрытым) ключам ЭП и паролям и направляли в банк платежные поручения с корректной электронной цифровой подписью.

В связи с этим Банк настоящим документом еще раз информирует Вас о необходимости строгого соблюдения приведенных в данном документе правил информационной безопасности.

2. Общие понятия

Информационная Безопасность – совокупность организационных и технических мер, направленная на повышение безопасности использования ИТ технологий. Далее по тексту ИБ.

Система Дистанционного Банковского Обслуживания – совокупность сервисов дистанционного обслуживания клиентов таких как: «Интернет-Банк», «Банк-Клиент», «Выписка OnLine» и т.п. Далее по тексту используется сокращение ДБО.

ПО – программное обеспечение.

Вредоносное ПО — это разного рода программы (в том числе троянские).

Такие программы могут регистрировать последовательность нажимаемых на клавиатуре клавиш, другие делают снимки экрана при посещении пользователем сайтов, предлагающих банковские услуги, третьи загружают на компьютер дополнительный вредоносный код, предоставляют хакеру удаленный доступ к компьютеру и т.д. Все эти программы объединяет то, что они позволяют злоумышленникам собирать конфиденциальную информацию и использовать ее в том числе для кражи денег у пользователей.

ЭП – электронная подпись — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) и которая используется для определения лица, подписывающего информацию.

3. Важные замечания

Важно понимать, что:

  • Банк не имеет доступа к секретным ключам ЭП и паролям Клиентов для доступа в систему дистанционного банковского обслуживания (далее ДБО).
  • Банк не может от имени Клиента сформировать корректную ЭП под электронным платежным поручением.
  • Вся ответственность за конфиденциальность секретных (закрытых) ключей ЭП полностью лежит на Клиенте, как на единственном владельце секретных (закрытых) ключей ЭП.
  • Банк не рассылает по электронной почте  и не озвучивает по телефону секретный ключ ЭП или пароль Клиента.
  • Банк не запрашивает по электронной почте  и по телефону секретный ключ ЭП или пароль, а также номер банковской карты Клиента и ПИН-коды.
  • Если  Клиент сомневается в конфиденциальности своих секретных (закрытых) ключей ЭП или есть подозрение в их компрометации (копировании), Клиент должны заблокировать свои ключи ЭП обратившись в Банк.

4. Меры ИБ

4.1. Организационные меры предприятия.

Для снижения риска неправомерного доступа к системе(ам) ДБО предприятия , необходимо определить:

• ограниченный перечень лиц имеющих доступ к системе ДБО и ЭП;

• правила хранения и использования носителей ЭП (п. 4.4.2. документа);

• перечень событий, наступление которых должно повлечь за собой немедленную замену или изъятие ключей ЭП (п. 4.5. документа).

Так же необходимо предупредить ответственных сотрудников об увеличении риска хищения и дальнейшего неправомерного использования ЭП при доступе к системе «Интернет-банкинга» с гостевых рабочих мест в местах общего пользования (например: интернет – кафе).

4.2. Правила безопасного использования сети Интернет.

  • На компьютерах, используемых для работы с системой «Интернет-банк», исключить посещение интернет сайтов сомнительного содержания, загрузку и установку нелицензионного ПО и т. п.
  • При регистрации на сайтах, нельзя указывать личную информацию, т.к. она может быть доступна незнакомым людям. Так же, не рекомендуется размещать свою фотографию, давая, тем самым, представление о том, как вы выглядите, посторонним людям.
  • Если пришло сообщение с незнакомого адреса (включая сообщения электронной почты; мессенджеров ICQ, Skype и т.п.; Социальных сетей), его лучше не открывать. Подобные письма могут содержать вирусы.
  • Нежелательные письма от незнакомых людей называются «Спам». При получении такого письма, не отвечать на него. В случае ответа на подобное письмо, отправитель будет знать, что данный электронный почтовый ящик активно используется, и будет продолжать посылать на этот адрес спам.
  • При скачивании контента надо внимательно читать условия использования сервиса, а также информацию, размещенную с символом «звездочка» (*)
  • Необходимо быть осторожным при всплывающих окнах и не переходить по неизвестным ссылкам и адресам.
  • Не отправлять SMS для разблокировки Windows и разархивирования файлов.

4.3. Доступ к компьютеру и его защита.

  • Необходимо ограничить доступ к компьютеру, на котором установлен Интернет-банк. Доступ к компьютеру должны иметь только уполномоченные сотрудники. Рекомендуется регулярно менять пароль на вход в операционную систему, на которой установлен Интернет-банк.
  • При обслуживании компьютера ИТ-сотрудниками – обеспечивать контроль за выполняемыми ими действиями.
  • Необходимо убедится, что компьютер с установленной системой ДБО не поражен какими-либо вирусами. Необходимо установить и активировать антивирусные программы, обеспечить возможность автоматического обновления антивирусных баз, а так же еженедельно проводить антивирусную проверку. Обратите внимание, что действие вирусов может быть направлено на запоминание и передачу третьим лицам информации о вашем пароле и ключах ЭП.
  • Рекомендуется установить и использовать персональный брандмауэр (firewall) на компьютерах с доступом в интернет, это позволит предотвратить несанкционированный доступ к информации на компьютере.
  • Необходимо использовать лицензионное программное обеспечение (в том числе антивирусное), межсетевые экраны и средства защиты от несанкционированного доступа.
  • При увольнении ИТ-специалиста, осуществлявшего обслуживание компьютеров, используемых для работы с системой «Интернет-банк», необходимо принять меры для обеспечения отсутствия вредоносных программ на компьютерах.
  • При увольнении сотрудника, имеющего доступ к паролям и ключам ЭП, необходимо произвести смену паролей, блокировать ЭП с которой работал старый сотрудник и получить ЭП для нового сотрудника.

4.4. Правила работы в системах ДБО.

4.4.1. Пароли.

  • Для ввода пароля необходимо использовать функционал «Безопасная авторизация». В этом случае на экране появится виртуальная клавиатура — пароль набирается не клавишами на клавиатуре компьютера, а кликами курсора мыши по картинкам с буквами и цифрами, что исключает возможность перехвата пароля программами-вирусами.
  • После первого входа в систему Интернет-Банк необходимо изменить пароль, используя правила защиты паролем:
  • Не использовать для защиты данных очевидные пароли, которые легко угадать: имя  супруга (супруги), ребенка, домашнего животного, номера телефонов, регистрационный номер машины, почтовый индекс и т.п.;
  • Не сообщать никому свой пароль. Если с вами связался (например, по телефону) представитель некой организации и попросил сообщить ваш пароль, не раскрывайте свои личные данные: вы не знаете, кто на самом деле находится на другом конце провода;
  • Не записывать логин и пароль на бумаге или в файлы на рабочем компьютере. В случае необходимости хранения параметров доступа на бумажном носителе, пароли необходимо хранить в запечатанных конвертах или в сейфе вместе с ключами ЭП. Недопустимо расположение паролей на бумажных носителях на рабочем столе, под клавиатурой и т.п.;
  • Не использовать функцию запоминания логина и пароля в браузерах;
  • Не вводить логин и пароль Интернет-банка на компьютерах, которые находятся в общедоступных местах (например: интернет кафе);
  • Регулярно менять пароли;
  • Не использовать одинаковые логин и пароль для доступа к различным системам;
  • При смене паролей не допускать повторяющиеся и схожие пароли (например : пароль1, пароль2, пароль3 и т.п.)
  • Если онлайн-магазин или веб-сайт присылает по электронной почте сообщение с подтверждением регистрационной информации и новым паролем, как можно скорее  надо зайти на соответствующий сайт и сменить пароль;
  • Не допускается хранить пароль для входа в систему «ДБО BS-Client» в файле на локальном диске, либо в любом другом легкодоступном месте. Необходимо убедиться, что только уполномоченные сотрудники могут получить доступ к паролю для входа в систему. Если  возникли подозрения, что кто-либо владеет информацией о пароле, необходимо самостоятельно сменить пароль или заблокировать его с помощью обращения в Банк по телефонам (495) 694-0098 или (495) 650-90-03. Так же заблокировать пароль можно в офисе банка, написав соответствующее уведомление.

4.4.2. Ключи Электронной подписи.

Необходимо серьезно отнестись к вопросу хранения ключей Системы «Клиент-Банк». Наличие ключа позволяет заверить от имени владельца документ и передать его на исполнение в Банк. Для повышения безопасности рекомендуется:

  • Не хранить ключи на жестком диске компьютера! Использовать для хранения файлов с секретными (закрытыми) ключами ЭП ТОЛЬКО отчуждаемые носители: флеш-диски и eToken, к которым исключен доступ третьих лиц.
  • Использовать устройства защищенного хранения закрытых ключей ЭП — E-Token PRO (безопасность обеспечивается наличием защищенного хранилища данных, доступ к которому возможно только владельцем E-Token PRO, знающим PIN-код ключа).
  • Не передавать ключи ЭП ИТ-сотрудникам для проверки работы системы «Интернет-банк», проверки настроек взаимодействия с банком и т.п. При необходимости таких проверок только владелец ключа ЭП, лично, должен подключить носитель к компьютеру, убедиться, что пароль доступа к ключу вводится в интерфейс клиентского части системы ДБО, и лично ввести пароль, исключая его подсматривание.
  • Выходить из Интернет-банка и отключать носитель ЭП, даже если надо отойти от компьютера на несколько минут.

4.4.3. Контроль подключения (для сервиса «Интернет-Банк»).

  • Необходимо проверять, что соединение действительно происходит в защищенном режиме. В этом случае адресная строка в браузере начинается с https://, а в адресной строке и  правом нижнем углу вэб-браузера InternetExplorer должен быть виден значок закрытого замка.
  • Необходимо убедиться в том, что соединение установлено именно с сайтом системы Интернет-Банк по адресу https://bk.gibank.ru/

Внимание!

В случае обнаружения подозрительных веб-сайтов, доменные имена и стиль оформления которых сходны с именами и оформлением, просьба сообщить об этом в Банк

  • Необходимо контролировать посещения системы, проверяя дату последнего посещения и IP-адрес,  отображаемые на главной странице
  • Регулярно проверять состояние счетов и движение документов по выпискам.
  • Не вводить конфиденциальные данные, если окно для ввода отличается от стандартных окон Системы «Клиент-Банк» (другие надписи, шрифт и тому подобное) или отображается не так как всегда (нарушен порядок работы в системе). О появлении подобных сайтов немедленно сообщите в Банк по телефонам (495) 694-0098 или (495) 650-90-03. Так же заблокировать доступ в систему ДБО можно в офисе банка, написав соответствующее уведомление.
  • После окончания работы в системе ДБО надо всегда использовать пункт меню «Выход».

4.5. Случаи, требующие немедленного обращения в банк.

ПРИМЕЧАНИЕ!

Обратиться в банк клиенты могут по телефонам (495) 694-0098 или (495) 650-90-03. Так же заблокировать ключ ЭП и/или доступ в систему ДБО можно в офисе банка, написав соответствующее уведомление.

https://www.youtube.com/watch?v=xCDoWcWLJS0

Незамедлительно надо обратиться в Банк, если:

  • Возникло подозрение, что пароль или секретные ключи были скомпрометированы, а также, если была обнаружена иная подозрительная активность в системе ДБО.
  • За сменой секретных ключей, в случае увольнения/ухода уполномоченных сотрудников или сотрудников IT клиента, которые имели доступ к ним.
  • При возникновении любых подозрений на компрометацию (копирование) секретных (закрытых) ключей ЭП или компрометацию среды исполнения (наличие в компьютере вредоносных программ). В случае выявления подозрительной активности на компьютере с установленной системой Интернет-банк (самопроизвольные движения мышью, открытие/закрытие окон, набор текста) немедленно надо выключить компьютер и сообщить в Банк о возможной попытке несанкционированного доступа к системе.

Заключительные положения

5.1. Настоящие Правила вступают в силу с момента их утверждения Председателем Правления Банка и действуют до их отмены.

5.2. В настоящие Правила могут быть внесены изменения, дополнения в установленном в Банке порядке.

Скачать: Правила информационной безопасности при работе с системой дистанционного банковского обслуживания

Источник: https://www.gibank.ru/RKO-cor-security/

Рекомендации по безопасному использованию системы «Банк-Клиент» — Банк Пермь (АО)

«Клиент-Банк»: правила безопасности
1. Обеспечьте сохранность ключевого носителя.

После регистрации в системе «Банк-Клиент» Вы получили ключевой носитель, который содержит ключи ЭП, базу данных, инструкции. Вы должны обеспечить его сохранность от посторонних лиц.

Ключи электронной подписи (ЭП) необходимо хранить на отдельном сменном носителе (флеш-карта, USB-флешка, дискета), не храните на нем другие данные. Используйте носитель с ключами ЭП только для работы c «Банк-Клиент», убирайте его в запираемый ящик (сейф) в остальное время.

Нельзя хранить копии ключевого носителя на жестком диске, в сетевых каталогах с общим доступом и на других общедоступных ресурсах.

Не передавайте ключевой носитель или его копию посторонним, не оставляйте его без присмотра.

Сделайте резервную копию ключевого носителя и храните ее в сейфе.

2. Ограничьте доступ к компьютеру с системой «Банк-Клиент»

Доступ к компьютеру, на котором установлен «Банк-Клиент», должны иметь только доверенные сотрудники.

Операционная система и все программы, устанавливаемые на компьютер, должны быть лицензионными, поступать из заслуживающих доверия источников. Не используйте взломанные программы.

Операционная система и установленные программы должны регулярно обновляться. В обновления системных и прикладных программ входят доработки, повышающие безопасность и надежность работы, предотвращающие распространение компьютерных вирусов.

Необходимо установить антивирусную программу и поддерживать её функционирование, регулярно обновлять, регулярно запускать. Незамедлительно удалять обнаруженное вредоносное программное обеспечение (вирусы, шпионские программы и т. д.).

Необходимо отключить «автоматическое выполнение» для подсоединяемых к компьютеру флеш-карт и компакт-дисков для исключения запуска вредоносных программ.

Необходимо предусмотреть невозможность установки посторонними лицами (гостями, посетителями, обслуживающим персоналом) на компьютер специальных «шпионских» программ. Хорошей практикой является работа на компьютере от имени пользователя, не имеющего полномочий администратора.

Нельзя устанавливать программу «Банк-Клиент» и работать в ней с чужих компьютеров.

Рекомендуем ограничить свой обмен через интернет только надёжными информационными порталами и проверенными корреспондентами электронной почты.

Не открывайте письма и вложения, полученные по электронной почте от неизвестного Вам отправителя, не переходите по подозрительным ссылкам. Часто в виде «интересной ссылки» в письме от якобы знакомого приходит вредоносная программа. Часто вредоносная программа скрывается под всплывающим окном рекламной ссылки на сайте.

Запретите удаленный доступ к компьютеру, на котором установлен «Банк-Клиент».

3. Контролируйте состояние денежных средств в банке

Регулярно проверяйте состояние Ваших счетов и документов в банке, выполняя запросы выписки и документов (ежедневно, обязательно утром и вечером, желательно в течение дня). Если Вы обнаружили документы, которые Вы не передавали — срочно звоните в банк с просьбой остановить обработку и разобраться.

При неожиданном «зависании» компьютера в момент работы с системой «Клиент-Банк», с последующим полным отказом в работе, необходимо позвонить в операционный отдел банка и убедиться, что по Вашему счёту от Вашего имени не отправлен платёж.

Позвоните в службу технической поддержки банка и сообщите, что до момента устранения неисправности Вы не будете передавать документы в банк по системе «Банк-Клиент». Подтвердите это письмом с печатью и подписью руководителя.

4. Меняйте (создавайте новые) ключи ЭП в следующих случаях

Срок действия ключа ЭП составляет 1 год, до окончания срока его действия Вы должны самостоятельно в программе «Банк-Клиент» создать новые ключи ЭП и зарегистрировать Регистрационную карточку в банке.

Ключи ЭП необходимо менять при смене специалиста (руководителя, программиста, системного администратора, бухгалтера), непосредственно работающего с ключами ЭП, или при подозрении в компрометации ключей. В частности, компрометацией является вирусная активность на компьютере, на котором установлена программа «Банк-Клиент».

При проведении ремонтных и любых других работ на компьютере с программой «Банк-Клиент» сторонними специалистами заранее звоните в банк и предупреждайте о запрете приема банком документов по «Банк-Клиент». После окончания работ — смените ключи ЭП на новые. Просьбу о запрете приема документов обязательно подтвердите письмом с печатью и подписью руководителя.

5. Используйте все возможности системы «Банк-Клиент»

Ограничьте суммы документов, передаваемых по системе «Банк-Клиент» (первоначально Вы установили эту сумму в Заявке, можно ее изменить по дополнительному соглашению).

Если Вы работаете в интернет с постоянного ip-адреса, можете установить его как единственный разрешенный, с которого можно принимать от Вас сообщения по системе Банк-Клиент. Сообщения с других ip-адресов не будут приниматься Банком

Можете установить период обмена (например с 08:15 по 19:30), в который банк будет принимать от Вас сообщения по системе Банк-Клиент в рабочие дни Банка. Сообщения, поступающие в другое время, не будут приниматься Банком.

Кроме стандартной ЭП сообщений (которой подписываются все сообщения системы «Банк-Клиент» при передаче через интернет), можете добавить дополнительные ЭП документов (ЭПдок).

В этом случае Вы указываете количество дополнительных ЭПдок, необходимых для передачи документа в банк и создаете необходимое число дополнительных ЭПдок. Передать документ в банк в этом случае можно будет только после подписывания его нужным числом ЭПдок.

Ключи дополнительных ЭП документов должны храниться на отдельных сменных носителях, отличных от ключевых носителей ЭП сообщений.

Подробнее о дополнительных ЭП документов можете прочитать в Инструкции по безопасности на Вашем ключевом носителе.

Включить данные механизмы можно по Заявке на дополнительные меры безопасности (ЭП Документов, ограничение ip-адреса или времени работы) в системе Банк-Клиент.

Заявка распечатывается, заполняется, подписывается руководителем, заверяется печатью и передается в банк.

Подключив услугу SMS-информирования, Вы сможете получать SMS-сообщения при поступлении документов по системе Банк-Клиент, регистрации новых ключей ЭП.

Соблюдение перечисленных простых правил позволит Вам существенно снизить риски, связанные с использованием систем «Банк-Клиент» и, в конечном итоге, предотвратить хищение своих денежных средств.

Настоящие рекомендации разработаны согласно Письму Банка России от 30 января 2009 г. № 11-т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга».

Источник: https://www.bankperm.ru/service/bank-client/security/

Защита систем дистанционного банковского обслуживания

«Клиент-Банк»: правила безопасности

Скачать статью в PDF

Защита систем дистанционного банковского обслуживания

(Интернет-Банк, Клиент-Банк)

Число преступлений, связанных с системами ДБО, за последние несколько лет выросло многократно. При этом используемые банками меры защиты не являются непреодолимым препятствием для злоумышленников. Практика показывает, что кибермошенники могут вмешаться в процесс обработки платежных операций на любом этапе.

1. С кем боремся?

За истекший год специалистами компании «Доктор Веб» было выявлено множество вредоносных программ, предназначенных для кражи пользовательской информации, в том числе данных для доступа к системам «Банк-Клиент» и электронным кошелькам.

Наиболее распространены и опасны Trojan.Winspy, Trojan.Carberp,  Trojan.PWS.Ibank,Trojan.PWS.

Panda, которые передают злоумышленникам данные, необходимые для доступа к банковским сервисам, умеет красть ключи и пароли от различных программ, отслеживать нажатия клавиш, делать снимки экрана, объединяться в сети, обрабатывать поступающие от удаленного командного центра команды и выполнять на зараженном компьютере,  перенаправлять пользователя на поддельные(фишинговые) сайты для кражи пользовательских паролей и ключей.

В настоящее время банковские троянцы существуют для ВСЕХ операционных систем.

Заражение компьютера может происходить различными способами:

·        Посещение зараженного сайта

·        Перенос вирусов на внешнем носителе(флешка, внешний диск, плеер, телефон и т.д.)

·        Заражение по локальной сети

·        Скачивание и запуск зараженных файлов из сети Интернет

·       Заражение через систему автообновления популярных программ

Для получения доступа к системам ДБО активно используются средства социальной инженерии.

Например, рассылка от имени банков  писем по электронной почте с требованием(под разными предлогами) перейти по предлагаемой ссылке, где требуется ввести логин и пароль от системы ДБО.

Ссылка ведет на поддельный сайт со схожим дизайном, а логин и пароль оказываются в руках злоумышленников. Зафиксированы и адресные атаки мошенников на конкретные предприятия.

2. Как это происходит?

После заражения компьютера и получения доступа к нему  производится поиск следов использования ДБО и сбор информации. Собранные данные передаются на управляющий сервер, где проверяются на полноту и достаточность для совершения мошеннической операции.

Если фальшивое платежное поручение не может быть отправлено с другого компьютера, то  используются средства удаленного администрирования, что позволяет отправлять платежные поручения непосредственно с компьютера бухгалтера. Троянами может производиться подмена легитимных платежных поручений на мошеннические при отправке их на подпись, при этом пользователь видит на экране и подписывает свое платежное поручение,

Как только мошенническая операция проведена, и платежное поручение отправлено, главная задача злоумышленников – ограничить доступ пользователя к системе ДБО. Для этого компьютер пользователя приводят в неработоспособное состояние путем удаления компонентов Windows или форматированием жесткого диска. Для дополнительного отвлечения внимания часто удаляются данные бухгалтерских программ.

3. На что следует обращать внимание?

·        необычно медленная работа компьютера, зависания во врем сеансов ДБО или при попытке входа,  произвольная перезагрузка

·        перебои с доступом в систему ДБО

·        невозможность авторизации в системе ДБО

·        несоответствие порядковых номеров платежных поручений

·        попытки авторизации в ДБО с других IP-адресов или в нерабочее время.

·        неоднократное удаление антивирусным монитором одного и того же вируса

·        выход из строя ПК, на котором установлена система ДБО

·        DDoS-атака на вашу ИТ-инфраструктуру

В случае обнаружении вирусов или сбоев в работе компьютера следует немедленно приостановить работу с ДБОи провести полную проверку компьютера антивирусным сканером.

Повторяющееся заражение одним и тем же или схожими вирусами может свидетельствовать о том, что вирус уничтожается не полностью, какая-то его часть продолжает функционировать  и загружает из Интернета обновленные вредоносные программные модули. В такой ситуации следует провести более детальный анализ вирусной активности.

Если самостоятельно не удается установить источник заражения, необходимо обратиться в Службу поддержки пользователей разработчика антивирусной программы.

При работе с системой ДБО следует исходить из соображений, что данный сервис должен функционировать абсолютно бесперебойно, поэтому всякое отклонение от нормальной работы следует воспринимать как сигнал тревоги.

К примеру, если Вы не можете войти в систему ДБО в течении 5- 10 минут, обязательно свяжитесь с банком и установите источник проблемы(в банке или в вашей сети). Если проблема в вашем оборудовании или программах и Вы не можете  её быстро разрешить или локализовать, обязательно свяжитесь с банком, проверьте последние отправленные поручения и сообщите сотрудникам банка об имеющихся проблемах.

4. Как с этим бороться?

Анализ происшедших инцидентов с ДБО позволяет сделать однозначный вывод о том, что успеху злоумышленников способствует пренебрежение пользователями (а иногда и сотрудниками банка) элементарных правил безопасной работы с  системами ДБО. Типичный пример такого поведения – хранение ключей ЭЦП на жестком диске или постоянно подключенных к компьютеру флешках, токенах, отказ от дополнительных мер безопасности, предлагаемых банком.

Основные правила безопасной работы с ДБО.

·        Хранить ключи ЭЦП на съемных носителях и извлекать их по окончании сеанса

·        Не оставлять включенным сеанс ДБО сверх необходимого времени.

·        На компьютере с системами ДБО ограничить работу в сети Интернет минимальным необходимым количеством сайтов.

·        Не использовать на компьютере с ДБО средств удаленного доступа и администрирования.

·        Доступ к ресурсам компьютера с системами ДБО из локальной сети должен быть закрыт, папок общего доступа быть не должно.

·        Не устанавливать без особой необходимости системы ДБО на мобильные устройства, которые могут покидать офис и подключаться к другим сетям.

·        На компьютере с системами ДБО желательно не использовать сетьWi-Fi. В случае необходимости – устанавливать максимально возможный уровень защиты сети.

·        Поддерживать систему антивирусной защиты в работоспособном  и актуальном состоянии

·        Не пользоваться ДБО в случае возникновения проблем с антивирусной защитой

·        Не пользоваться ДБО при повторяющихся сбоях в работе компьютера

Технические аспекты защиты

·        Должны быть установлены все актуальные обновления безопасностиWindows

·        Антивирусная защита должна включать, кроме обычных функций, модули проверки почты, входящего http трафика, Брандмауер, СПАМ фильтр и обновляться не реже одного раза в час. Желательно использовать Централизованное управление антивирусной защитой. Пользователь ДБО должен быть лишен возможности управления антивирусной защитой и возможности её отключения. 

·        На компьютере с ДБО не должно быть установлено программ не являющихся необходимыми на данном рабочем месте

·        Обновление программ(AdobeReader, браузеры и т.д)  должно проводиться только вручную с официальных сайтов. Автообновление необходимо отключить.

·        Пользователь не должен работать с правами Администратора

·        Исключить прямой доступ в Интернет без использования межсетевого экрана

·        Пользовательские пароли должны быть сложными и периодически изменяться

·        Доступ к ресурсам сети Интернет должен быть ограничен фиксированным списком доверенных сайтов, не допускать использование месседжеров типа ICQ, Skype и др.

·        Не допускать использования социальных сетей

·        Использовать только корпоративную почту через почтового клиента.

·        Использовать СПАМ фильтр с жестким ограничением

·        Отключить службы сервера, удаленного доступа и др.  связанные с удаленным администрированием.

·        Применение внешних устройств должно быть ограничен набором флешек (Токенов) с ключами ЭЦП.

В случае если требования безопасности не могут быть выполнены в полном объеме на компьютере бухгалтера, необходимо взвесить риски и, возможно, принять решение о выделении отдельного компьютера для работы с ДБО. Именно такой вариант рекомендуется многими банками.

Учитывая тот факт, что работники бухгалтерий не являются специалистами в области информационной безопасности, они бывают недостаточно информированы о рисках и могут недооценивать необходимость дополнительных мероприятий по защите систем ДБО.  Поэтому разъяснение правил безопасной работы является одним из важнейших составляющих общей системыбезопасности.

Для повышения уровня ответственности и дисциплины, общие правила безопасной работы с ДБО следует оформить соответствующим приказом руководителя предприятия.

5.  Если произошел инцидент

В случае обнаружения факта (или попытки) мошенничества необходимо максимально быстро сообщить о происшествии в банк с целью остановки платежа и  блокирования доступа к системе ДБО.

Компьютер с системой ДБО необходимо выключить. Если в компании имеется межсетевой экран или прокси-сервер, на котором ведутся логи, то необходимо сохранить их на внешнем устройстве.

В случае проведения самостоятельного расследования или привлечения для этих целей консультантов,  следует иметь в виду что работа с оригиналами носителей информации может повредить целостности доказательств, хранящихся на них.

Даже если мошенничество не было завершено, и вы успели остановить его, инцидент остается уголовным преступлением, которое попадает под ряд статей, начиная с создания и распространения вредоносного программного обеспечения и заканчивая попыткой хищения в особо крупном размере. Поэтому следует обязательно написать заявление в правоохранительные органы с требованием возбудить уголовное дело.

Подготовлено с использованием материалов Компании Доктор Веб.

Источник: http://www.dr-web.su/help/dbo.htm

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.