Все говорят о том, что за дистанционным обслуживанием будущее. Действительно, это удобно и выгодно всем. Можно забыть об очередях и дороге по пробкам в отделение банка - услуга предоставляется круглосуточно 7 дней в неделю, достаточно добраться до любого компьютера. Положителен эффект от услуги и для банка: не нужно открывать огромное количество офисов и увеличивать штат операционного персонала, увеличиваются средние остатки на счетах клиентов. Государство приближается к воплощению своей мечты – перевести все платежи в безналичную форму и полностью взять их под свой контроль. И всё так красиво и хорошо, что даже не верится. Остаётся ощущение, что что-то очень важное скрывают от нас. А скрывают то, что при дистанционном обслуживании часто происходит несанкционированное списание денежных средств со счетов клиентов.
Времена фальшивомонетчиков завершаются. В век высоких технологий всё сложнее и дороже организовать оборот фальшивых денег. В банковских кассах их контролируют при помощи специальных детекторов, в том числе интегрированных с устройствами по пересчёту. В банкоматах, платёжных терминалах, электронных кассирах установлены приёмники купюр, которые также проверяют подлинность банкнот. В такой ситуации значительно проще, дешевле и легче с существенно большим размахом проводить мошеннические схемы, построенные на безналичных операциях. И с этой напастью вынуждены бороться все. Государство – на законодательном и исполнительном уровне. Пользователи должны заботиться о безопасности своих компьютеров и хранить в секрете персональную информацию для реализации платежей. Банки должны обеспечить защиту, препятствующую мошенническим операциям. Вроде бы все знают, что должны делать, только количество мошеннических операций не уменьшается, а наоборот – растет.
По информации А. П. Курило (заместитель начальника Главного управления безопасности и защиты информации ЦБ РФ), в тех странах, где на законодательном уровне запретили считывать ПИН-код с магнитной полосы кредитных карт (используется чип), кражи через скимминг упали на 90%. В результате чего скимминг-преступники вынуждены были переместиться в другие страны, в том числе и в СНГ. А тут ещё приняли 161-ФЗ, согласно которому оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения от него уведомления. И на российском ИТ-рынке, как грибы, стали появляться предложения по различным способам защиты. Только вот что и как они предлагают защищать?
На форуме «Информационная безопасность в банках» в 2012 году приводились такие данные: 49% хищений денежных средств происходит по причине недостаточной защиты клиентских терминалов, а 30% - из-за утери клиентами паролей, ПИН-кодов, электронных ключей, стретч-карт с одноразовыми кодами доступа. Пользователи возвращают операторам сотовой связи номера телефонов (SIM-карты) с привязанными к ним услугами SMS-информирования (в том числе и предоставления одноразовых ключей доступа) без отключения этой услуги и т. д. Но остальные 21% хищений происходят по независящим от клиента причинам! Из них 6% - из-за недостаточной защиты системы ДБО на стороне банка, 3% - по причине сговора сотрудников банка с преступниками, 3% - из-за недостаточной защиты каналов связи и 9% - по другим причинам. Даже если полностью изолировать «клиентский фактор», 100% безопасности при дистанционном обслуживании обеспечить не удастся. А что при этом скажут клиенты? Не разбегутся ли они из банков в результате чрезмерно суровых защитных мер? Уверен, что найдётся достаточное количество клиентов, желающих максимально обезопасить себя. Но как к этому отнесутся остальные? Как будет чувствовать себя клиент, когда он по системе ДБО обслуживается в нескольких банках? Он будет вынужден иметь несколько устройств создания доверенной среды? Несколько стретч-карт? Как в них не запутаться и обеспечить выполнение всех требований по безопасности? Выходом из этой ситуации может стать создание единого центра аутентификации пользователей и обработки информации о киберпреступлениях для всех участников расчётов. Центр, которому будут доверять как финансовые организации, так и их клиенты. Примером такого центра может служить общий Европейский центр по борьбе с киберпреступностью.
Надо сказать, что и наш ЦБ не оставляет без внимания обеспечение безопасности проведения операций ДБО. С 1 июля 2012 года вступило в силу Указание Банка России № 2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств". Смысл его в организации контроля за несанкционированными операциями по переводу денежных средств. В дальнейшем необходимо организовать качественный анализ полученной информации, а также её распространение среди всех участников платёжной системы России. Вопрос противодействия мошенническим операциям настолько важен, что прорабатывается возможность создания специального подразделения при МВД России по борьбе с киберпреступностью. В настоящее время его функции частично выполняет подразделение «К».
Кто победит в такой борьбе – клиенты, банки или мошенники? Единственного и идеального решения нет. Опыт сотрудничества «Техносерва» с банками говорит, что наиболее верен комплексный подход. Имея компетенции по многим продуктам, мы предлагаем банкам несколько вариантов решений, которые позволяют заказчикам повысить безопасность выполнения финансовых операций при дистанционном обслуживании. Предлагаемые решения отличаются не только стоимостью и функционалом, но и степенью защиты операций ДБО. «Техносерв» реализует практически все способы защиты ДБО, в том числе основанные на эксклюзивных решениях от наших зарубежных партнеров. Мало кто задумывается, но защита от DDoS-атак также является важной составляющей при организации защиты ДБО. Клиент может понести убытки не только от несанкционированного списания с его счёта денежных средств, но и от невозможности своевременного выполнения перевода денежных средств. Успех реализации такого сложного проекта, как ДБО, может быть достигнут в гармоничном сочетании степени защиты реализованного решения, удобства использования клиентами банка и стоимости внедрения и поддержки. В некоторых случаях для обеспечения приемлемого уровня защиты будет достаточно использовать токены, а в других потребуется применение доверенной среды. На наш взгляд, банк должен обеспечить для клиента комфортную и безопасную работу с ДБО, реализовав у себя несколько различных систем, в том числе и систему мониторинга трансакций (антифрод). Такое решение в минимальной степени отражается на удобстве работы конечного пользователя, при этом достаточно надёжно выстраивая преграду на пути несанкционированных финансовых операций. Некоторые банки уже приступили к реализации таких систем и добились ощутимых успехов. Одни реализует такие решения собственными силами, другие доверяют эти работы внешним компаниям. Важно, чтобы у клиентов банка всегда был выбор.
Комментарии 74
Если не можешь победить - значит, нужно возглавить
"Град обреченный" вспомнился, как там за орангутангов ответственных назначали
Только что в обсуждаемом тексте рекламируется? Компания "Техносерв"?
Так название этой компании есть в моём профиле. Название других продуктов, которые наша компания может предложить или прорекламировать - не указаны.
Блог авторский и профессиональный (иначе там не было бы моей должности). Логично, что здесь я отражаю темы, которые близки мне по работе.
И как эти темы могут быть не связаны с компанией, в которой я работаю?
Правила ведения блога мне хорошо известны
http://www.banki.ru/blog/terms/
Ни одно из них не было нарушено.
Что касается замечания про общие слова, то начни я обсуждать конкретные продукты - это точно была бы прямая реклама.
Блоги для того и существуют, что бы обсуждать различные мнения, чтобы, возможно, даже найти какие-то решения. В том числе и про роль ЦБ в организации противодействия мошенническим операциям. Буду рад прочитать и обсудить конкретные предложения на эту тему, которые будут полезны читателям этого форума.
В чем смысл этого поста, изобилующего общими местами - "банки должны обеспечить защиту", "количество мошеннических транзакций растет", "необходим комплексный подход" и "клиента жалко"? Редкая статистическая инфа на поверку оказывается пустым трепом: "На форуме приводились данные...", чьи данные, одна баба сказала? Остальной текст НИ О ЧЕМ: "Некоторые банки делают то, а другие се, некоторые банки делают эдак, а другие разэдак". Ну ладно, поняли мы, что с Техносервом хорошо, без нее же плохо, и что дальше? Нам, клиентам, что делать, организовать пикеты: "Требуем сотрудничество банков с Техносервом", выбирать банки по принципу приближенности к Техносерву, срочно устраиваться на работу в банк, стать топ-менеджером и бегом к Техносерву с договором?
Или автор полагает, что представители банковского лагеря прочитают этот пост и проникнутся?
P.S. информация от туда же, с форума "информационная безопасность....", кусок выступления "спеца".....
Есть доводы, прошу их в студию.
P.S. "информация от туда же, с форума "информационная безопасность...." Уверены?) Да, вот не с того, и не с форума. На форуме у Андрея была абсолютно другая тема. а данную статистику он привел уже в июле... в Москве, в рамках круглого стола "ДБО".
Если уж сомневаетесь в компетенции конкретного человека, приводите Конкретные доводы...!!!
У Курило на форуме было 2 темы:
1. Общие вопросы обеспечения информационной безопасности НПС.
2. О деятельности технического комитета 122 «Стандарты финансовых операций».
В июле на круглом столе "АРБ отжигали" совсем иные персонажи, чего стоит зажигательный спич вице-президента ВТБ...............
Вы ещё о идее Конявского, широкой публике расскажите, вместе посмеёмся, НОИ 12 млн. прибыли в день....расскажите?
У нас с Вами разговор уходит немного не в ту сторону. Я предлагаю, все-таки не обсуждать профессиональные качества представителя ЦБ, по крайней мере, это даже неэтично...
А что Конявский?! ) СМИ любит очень выдернуть слова из контекста, по-моему везде был перепост, что перед проведением операций надо выключить компьютер, а потом включить. Вы наверное про этот прием пишите?! )
Решение по доверенному сеансу связи, которое предлагает его НИИ не лишено практического смысла. Конечно, это еще тот вопрос, удобно ли оно пользователю. Но люди на месте не стоят, работают над усовершенствованием. Я все-таки хочу верить, что когда-нибудь буду пользоваться интернет-банкингом и не "трястись" над безопасностью.
НОИ это национальный оператор идентификации, по словам обсуждаемого, в состоянии иметь порядка 12 млн. дохода В ДЕНЬ, не отвечая за качество процедуры идентификации... "Выключить и включить" это суровый "прием".
А это далеко не для всех приемлемо. Однако есть и положительные моменты, которые можно будет обсудить в одной из следующих тем.
Но это все технология, если проект будет развиваться, то многие неудобства и недоработки возможно будут решены.
Очень большой.
Но у его решения есть и достаточно значимый плюс, а это централизованное управления устройствами по созданию доверенной среди и доверенного сеанса связи.
Единственно с чем я не соглашусь, так это с тем, что данное решение будет панацеей от всех бед.
К сожалению философского камня не существует.
Могу сказать, что вопрос безопасности там поставлен не везде хорошо.
Особенно меня порадовал терминал duty free, аналогичный Ашановскому.
Если по чиповым картам они ПРЕДЛАГАЮТ вводить PIN код (т.е. можно расчеты выполнять и без него), то по обычным картам (как и в Ашане) предлагают оставить электронную подпись.
Кто и как будет эту подпись проверять, а так же при необходимости оспаривать?
А учитывая, что подпись на листе бумаги и на пластике несколько отличаются из-за качества материала и положения руки (на терминале она обычно висит в воздухе несколько выше привычного стола), то говорить о подтверждении трансакции просто смешно.
Хотя в целом соглашусь - чиповые карты защищены лучше.
http://www.plusworld.ru/daily/page1_23840.php
А идея создания единого центра борьбы с киберпреступностью в России живет не только в голове Валерия Аркадиевича
Подводя итоги обсуждению, Тимур Аитов отметил, что говорить об успехах еще рано. «Идет война, и в ней есть жертвы», – заметил банкир. Однако он подчеркнул, что для эффективной борьбы с кибермошенниками необходимо создание единого информационного центра, который позволит банкам обмениваться опытом и отслеживать как сомнительные операции, так и самих мошенников.
Конявский предлагает так же на стороне клиента обеспечивать создание доверенной среды.
Не хочу обсуждать решение Конявского, хорошее оно или плохое, удобное или нет.
Но реализацию на клиентском месте решения по доверенной среде и доверенному сеансу связи можно проконтролировать, а предложение Касперского - нет.
Как проверить - была какая-то защита у клиента или нет?
Думаю, что прозвучавшее здесь мнение, что защита должна быть комплексной - организационной, технической, методологической и юридической.
Это позволит обеспечить снижение рисков противоправных инцидентов в области информационных технологий и ДБО в частности.
20 июля 2012 г. на очередном заседании Экспертной АТМ Группы АРЧЕ рассмотрен и утвержден отчет о банкоматном мошенничестве в России за 2-й квартал и первое полугодие 2012 г.
В то же время количество зафиксированных случаев установки на банкоматы несанкционированного считывающего оборудования (скимминговых устройств) сохраняет тенденцию к росту. Так, по сравнению с 1-м кварталом 2012 г. этот показатель увеличился на 30%. Если в начале года сведения о таком виде мошенничества поступили из 40 городов и населенных пунктов, то во 2-м квартале – уже из 49 городов. При этом около 65% всех выявленных случаев по-прежнему приходится на Москву и Московскую область.
Предлагаю познакомиться с ним.
http://banks.cnews.ru/reviews/index.shtml?2013/02/05/517975
Статистику по хищениям, например от ЦБ, дай бог, получим через год. 2831-У вступило в силу только 1 июля.... А данные цифры, озвучил крупный банк из ТОП-5, на основе собственных (внутренних) исследований. Просто, если бы автор указал название этого банка, уважаемый Sterh_fb заявил: "Ага, опять реклама!!!"
Я, например, из данной публикации вынес следующее: каждый банк - это отдельная "песочница", со своими способами защиты ДБО, со своими правилами и инструкциями. И проблема, не в способах защиты, а в том, что банки не общаются между собой. Допустим, на банк была совершена кибер-атака, это так и останется внутренним делом "Конкретного" банка. Нужен единый центр по обработке таких сведений. ЦБ вроде двинулся в этом направление, банкам это стало интересно, может и заживем в счастливом будущем!)))
А нам с Вами - Марина, как простым обычным клиентам банков, пока самим придется заботиться о безопасности платежей. Ну а дальше.... все и так все знают: обновлять вовремя антивирус, не качать контент с неизвестных ресурсов. Быть "аккуратным" при проведении платежей по карте через интернет и т.д. и т.п.
Вообщем - бдить!!! Только все ли так поступают???? Вопрос.... Судя по статистике, приведенной автором, только половина пользователей.... имхо.
Вообщем - бдить!!! Только все ли так поступают????
По-моему, честнее было бы не заставлять каждого клиента "бдеть" над картой, а предоставить возможность вовсе отключать интернет-операции или устанавливать по ним лимиты. Только все ли банки так поступают???? Пока что ни один российский банк не начал выпускать чисто чиповые карты, даже для "зарплатников", зато банки регулярно повышают премии членам правления, так что жаловаться на клиентов не вижу смысла. Из своего глаза банкирам сначала надо бревна вытаскивать.
Банки тоже должны заботиться со своей стороны о безопасности платежей: вводить лимиты, анализировать поведенческую модель Каждого клиента, дополнительно подтверждать крупные операции и т.д.
Ну, а пока имеем то, что имеем.... )
Вот где раздолье для мошенников!
Другое дело, когда банк просит вводить пароль, одноразовый код с карты и присланный по SMS.
Сложно - согласен, но надо предоставлять каждому клиенту возможность выбора той степени защиты, которую он считает для себя приемлемой, вплоть до устройств доверенной среды и электронных ключей.
Да?
Хотя, чему я удивляюсь.... Сбербанк ОнЛ@йн запоминает, например, "идентификатор пользователя". Через свойства обозревателя можно отключить "запоминание", это может и должен сделать сам клиент.
А где, как правило, хранятся одноразовые коды с карты/чека?!
Предлагаю познакомиться с ним.
http://banks.cnews.ru/reviews/index.shtml?2013/02/05/517975
И вот нашёл ту информацию, которую можно не только сравнить, но и оценить:
Генеральный директор Group-IB Илья Сачков представил годовой отчет о российском рынке киберпреступности.
Согласно приведенным им данным, ущерб от киберпреступлений в России, совершенных резидентами РФ, составил сумму около 2,3 млрд долларов, в то время как мировой ущерб от киберпреступлений превысил 12,3 млрд долларов.
Надо что-то добавить, или и так всё очевидно?
Теперь о том, "Нам, клиентам, что делать"?
А клиенты должны выбирать банк с которым будут сотрудничать исходя из того, как он осуществляет защиту клиентских платежей через ДБО.
Или молиться, что минует участь хищения денежных средств.
Статья тому послужила, или не статья, но некоторые банки стали у себя внедрять промышленные решения по защите ДБО.
К сожалению не все, но внедряют.
Надо ЦБ так же, как со страхованием вкладов подготовить списки кредитных организаций, которые внедрили у себя решения по защите дистанционных платежей и провели сертификацию такого внедрения. Тогда вопросов и хищений станет на порядок меньше
О статистике. Больше вопросов, чем информации. Это по украденным суммам или по числу краж безотносительно к суммам похищенных денежных средств? Это по физическим лицам или по юридическим (по юрлицам количество краж намного меньше, а по суммам несоизмеримо больше)? Это по возбужденным уголовным делам, по информации от банков или на основе выборочного опроса клиентов?
Соглашусь с автором, что самой актуальной задачей является использование последних достижений в сфере защиты. Характерный пример, приводимый уважаемым Господином Горшковым - карта с магнитной полосой или с чипом.
Но сегодня есть много и других инструментов. Скажем, онлайновое установление лимитов с возможностью блокировать самим клиентом по завершению сеанса работы все без исключения счета. Причем эта процедура должна быть простой и удобной.
Комбинирование разных систем одноразовых паролей (предположим на вход интернет-банка ставятся наряду с многоразовым паролем также одноразовый пароль получаемый через СМС-сообщение, а на подтверждение транзакции может быть использована таблица паролей, генерируемых в интернет-банке. Можно установить и обратный порядок следования паролей). Те же самые технологии могут быть применены и для мобильного банка.
Технология ограниченного ключа, когда мастер ключ в сейфе, а клиент работает с ограниченным ключом, получая СМС-информирование настраиваемое через мастер ключ.
Использование виртуальной карты вместо обычной.
При использовании современных подходов уже не столь фатальна потеря карты, флешки или токена.
Перечисленные мной технологии это не теория, а уже реально работающие на рынке инструменты.
Автором статьи абсолютно не отражено то обстоятельство, что проведение платежей по бумажным носителям более рискованная технология чем ДБО. Не говоря уже о потерянных кошельках и карманниках.
Спасибо Господину Горшкову за актуальную дискуссию!
У вас есть статистика? При проведении по бумажным носителям нужно присутствие мошенника в банке с фальшивым паспортом или доверенностью. Он рискует тем, что его лицо попадет в видеозапись или что паспорт может не понравиться сотруднику банка и он вызовет полицию. В случае ДБО в банке присутствовать не надо и соответственно риска попасться куда меньше.
То же касается и карманников. Через ДБО некоторые клиенты проводят сотни тысяч - миллионы рублей за операцию, а теперь представьте, много ли людей носят такие суммы в кошельке.
Официальной информации практически нет.
http://www.plusworld.ru/daily/page1_23961.php
Эксперты в области информационной безопасности совместно с рядом крупных российских банков почти за полтора года тестирования экспериментальной централизованной системы сбора данных по мошенничествам в интернет-банкинге сумели предотвратить 18 тыс. попыток хищения денежных средств, рассказал журналистам Илья Сачков
По предварительным данным компании, за первые шесть месяцев текущего года из систем дистанционного банковского обслуживания российских банков только у юридических лиц было похищено около 474 млн долл.. За 2011 г. киберпреступникам удалось похитить более миллиарда долларов
Глава Бюро специальных технических мероприятий (БСТМ) МВД России Алексей Мошков на международной конференции, посвященной борьбе с мошенничеством в сфере высоких технологий, «Antifraud Russia – 2012» сообщил, что общий ущерб от действий злоумышленников, занимающихся хищениями денег с банковских счетов граждан и организаций в России, в 2012 г. превысил 70 млн рублей.
Как я понимаю, это только физ.лица.
У юр.лиц этот ущерб может быть больше.
Думаю, что пока нам не представят официальную статистику, заявляемые цифры будут очень сильно расходиться.
И причин тут две:
1. Банкам не выгодно показывать крупные потери, так как это ухудшит их имидж
2. Поставщикам услуг выгодно оперировать к крупным суммам, так как это предоставит обоснование возможности внедрения более дорого решения.
Моё мнение, что истина где-то по середине
Директор департамента регулирования расчетов Банка России Роман Прохоров сообщил, что в начале 2013 г. ЦБ уже планирует опубликовать статистику по банковским мошенничествам. «Мы сейчас собираем текущую статистику в рамках закона «О национальной платежной системе», в т. ч. по мошенническим операциям. Мы собираем ее последние два месяца и уже в конце года хотим сделать некий свод и выдать эту статистику на рынок»,
Надеюсь, что скоро мы узнаем реальное положение вещей.
Но есть полу официальная:
По данным компании Group-IB, в 2011 году российские киберпреступники похитили около 2,3 млрд долл. из российских систем дистанционного банковского обслуживания, а за первые полгода 2012 года – еще около 474 млн долл.
По данным «Лаборатории Касперского», объемы хищений из систем интернет-банкинга продолжают расти. В 2012 году было обнаружено и предотвращено 31 489 попыток заражения персональных компьютеров пользователей антивирусных продуктов «Лаборатории Касперского» одним только вредоносным ПО Trojan.Win32.VkHost.
Конечно, есть много способов организации защиты.
Карты с чипом являются не единственным решение, они предлагаются не всем клиентам и не всеми банками. Бумажные платежи или мобильный банк, так же требуют организации защиты.
«Альфа-банк» и «Русский стандарт» проверяют не телефонный номер, с которого осуществляется подключение, а по идентификационному номеру.
Надеюсь, что тема не только интересна, но и полезна всем читателям блога.
Как минимум мне известно, что такую услугу предоставляют в Альфа-Банке и в банке "Русский Стандарт".
Google предлагает свою систему, Apple анонсирует выпуск своей системы в сентябре.
Представленные в Швеции банки Danske Bank, Handelsbanken, Länsförsäkringar, Nordea, SEB, Swedbank и сбербанки Sparbankerna намерены представить свое приложение Swish осенью. Предполагается, что в будущем его можно будет использовать также для оплаты товаров в небольших магазинах.
Всё больше банков присоединяется к системе HandyBank.
Конечно проще тестировать, использовать и защищать одно решение, чем множество.
Возможно через какое-то время я вернусь к теме защиты ДБО.
У каждого решения есть свои сильные и слабые стороны.
Сбербанк планирует приступить к выпуску карт с дисплеями до конца текущего года.
На дисплее будет отображаться сгенерированный одноразовый пароль.
Это хорошо или плохо?
Да, хорошо.
Удобно, пароль нельзя перехватить.
Нет лишних устройств.
Таблицу с одноразовыми паролями не забудешь и не потеряешь.
А что если потеряется сама карта?!
Входи в ДБО, а пароли - вот они, уже сами на карте сгенерировались.
Хотя, для VIP пользователя, который достаёт карточку для выполнения операций ДБО из сейфа - возможно это и приемлемое решение.
Например, большинство банкоматов кредитных организаций Японии оборудованы специальным устройством, позволяющим идентифицировать клиента по рисунку вен ладони.
На сегодня это один из наиболее надёжных способов идентификации.
Так как в случае прекрощения циркуляции крови происходит выравнивание температуры и идентификация не производится.
Михаил, со своей стороны и вы внимательно перечитайте мой пост. Я нигде не задавала вопрос, какие в целом меры принимать клиентам для безопасности своих счетов (сами с усами). Мой вопрос был о другом, какой именно месседж, кроме откровенной и топорной рекламы, несет сообщение автора, в том числе и для клиентов. Что он имел в виду?
Владимир, если вы желаете обсудить вопросы безопасности на ДБО, на форуме очень много подобных тем (гораздо более содержательных).
Как клиент банкиру - у меня есть счета как в России, так и заграницей, все банки с использованием ДБО. Скажите мне, как банкир, можно без указывания источника, чьи клиенты более страдают от банковских мошенников?
А я, как клиент, признаюсь, что меры по защите в российских банках носят по сравнению с буржуйскими параноидальный характер. Я, например, не являюсь фанатом банковских операций, и не ловлю кайф от бесконечных изменений лимитов, смен паролей, получения смсок после каждого действия и так далее. В буржуйских банках управление счетами через ДБО крайне ненавязчивое, в одном банке у меня токен, в другом логин+пароль+контрольный вопрос, и эти банки, несущие гораздо более высокую ответственность перед клиентом за убытки от мошеннических транзакций, вроде не страдают от хакерских атак.
Почему у нас банк вынуждает клиента во время каждого сеанса строить из себя Алекса, Юстаса и радистку Кэт одновременно, а количество фрода не уменьшается?
И почему российские банки, задолбавшие всех тридцатью степенями защиты ДБО, не перейдут повсеместно на чип с установкой банкоматой, читающих чипы? В чем логика?
ЦБ обещает опубликовать первую открытую статистику по мошенническим операциям только в начале 2013. И пожалуй соглашусь с Вами: Что данная статистика будет отражать? Захотят ли банки, как говорится, "выносить сор из избы".
Просто, смотрите, с 01 января российские банки обязаны будут по письменному заявлению вернуть деньги за операцию, которую Вы не проводили. А потом уже разбираться: мошенническая она была или нет. Поэтому и трубят про "защиту ДБО" на каждом углу: форумы, конференции проводят. И вроде банки наконец-то засуетились, кто же хочет по такой схеме работать...
Но ведь эта нормальная международная практика, (поправьте, если я не прав) сначала вернуть деньги клиенту, а потом разбираться.
Только "у них - там", все налажено, ну или почти все, тот же Антифрод, например. А в России? не тот все-таки уровень защиты...
А у нас в России? Вся шумиха-то вокруг 161-ФЗ. Банки ждут часа Х (01 января): и, как мне видится, для них есть два пути выхода. Первый, "подковаться" юридически, то что любой закон или статью закона можно обойти, к сожалению, в России это факт. И, второй, все-таки усовершенствовать защиту ДБО. Не переложить на плечи своих клиентов заботу об этом, а вложиться... рублем!
И если зарубежные системы Антифрод работают и защищают нас простых клиентов, почему бы не внедрить их в Российских банках.
А нам, как клиентам банков, надо будет выбирать где и в каком объёме хранить денежные средства.
Вот! Золотые слова. Просто не хотелось бы возвращаться к "матрасному" способу хранения...
Александр, а может ближе к январю, напишите какие шаги предприняли банки в защите ДБО, если такая информация у Вас будет?
Я, например, готов платить больше за обслуживание, в том банке, который наиболее эффективно защищает ДБО, ну и своих клиентов в частности.
НПС предложил возложить ответственность за пропажу денежных средств с чиповых карт на их владельцев. А как будет учитываться ЦИП при совершении платежей не через устройства, а через интернет? Чем в этом случае они будут отличаться от не чиповых карт?
Возник вопрос. Как считали? По случаям или по суммам? Есть подозрение, что 3% сговора сотрудников с преступниками по сумме украденных денег превышает все остальное. Про 30% "из-за утери клиентами паролей, пин-кодов, электронных ключей, стретч-карт с одноразовыми кодами доступа" тоже как-то сложно понять. Ведь после события, заключающегося в потере пароля и т.д, кто-то должен этот пароль найти, догадаться, что с этим паролем делать и совершить само действие.
Статистика отражает не реальные причины фрода, а соотношение причин, определенных банками и по их банковской классификации.
О многочисленных случаях воровства при проведении платежа по платежкам на бумаге знаю от своих коллег банкиров. Да и Вы наверняка в курсе. Вспомните хотя бы случай как по бумажной платежке у пенсионного фонда из одного сверхкрупного банка украли более миллиарда. Вы мне скажите - но вернули же в конце-концов. И будете правы. Но только для возврата этих денег был поднят на ноги весь силовой блок РФ. А вот если бы украли у частной фирмы, то эти деньги растворились бы бесследно.
О схема воровства приведенной Вами. Поверьте мне что используют другие схемы. А вот какие - позвольте об этом не писать. Не думаю что надо обучать здесь мошенников.
Председатель совета директоров HandyBank Сергей Черноморов высказался однозначно, заявив, что отказаться от ДБО невозможно...для злоумышленников проще подделывать бумажные платежные документы. По мнению банкира, клиенты, полагающие, что «бумажка их спасет», ошибаются.
Информация с круглого стола «Дистанционные банковские услуги: под прицелом киберпреступников», полный текст статьи http://www.plusworld.ru/daily/page1_23894.php
"Крупное хищение денег произошло 9 августа. Мужчина предъявил в одном из банков Екатеринбурга подложное платежное поручение с подделанной печатью организации. Сотрудники банка не сразу выявили подделку и перевели со счета строительной компании на счет подставной фирмы-однодневки 33,58 миллионов рублей. Тем временем мошенник скрылся."
Подробно: http://www.e1.ru/news/spool/news_id-373790.html
"«Злоумышленником оказался гражданин 1984 года рождения, ранее не судимый, всю похищенную сумму он передал правоохранителям, которыми она возвращена законному владельцу. Возбуждено уголовное дело по части 4 статьи 159 УК РФ (мошенничество, совершенное в особо крупном размере)», - сообщает пресс-служба ГУ МВД России по Свердловской области."
А не поймали бы,- и новости не было
Формально вина <Банк> только в том, что он так спроектировал свой продукт. А то, что деньги украли - вина мошенников и самих клиентов.
Вообще, деньги можно украсть миллионом способов, не только сняв их в банкомате, а, к примеру, сфотографировав карту с двух сторон и расчитавшись в интернете, использовав данные карты.
Нет у пострадавших клиентов никаких перспектив высудить деньги именно у <Банк>. Только если <Банк> сам решит их отдать, чтоб замять скандал. "
Видите разницу, для меня как клиента? Я тоже вижу... Кто процитирован тоже помните?
"если вы простой обыватель и не заморачиваетесь хитрыми способами защиты."
Об этом и речь. Для различных целей, для разных клиентов требуются различные механизмы защиты.
Они могут отличаться по сложности использования, степени риска и цене.
И банки должны об этом позаботиться.
И ещё, всегда считал, что денежные средства списывают не с абстрактного или кор счета банка, а со счета клиента.
А вы говорите, что в случае с бумажными платежными документами ни кто не пострадал.
Странно:)
Нет не согласен с "ключевой" фразой цитаты, ключевая -"...А то, что деньги украли - вина мошенников и самих клиентов. " т.е. докажи, что не верблюд и может тогда и то не факт деньги вернуться....
"Для различных целей, для разных клиентов требуются различные механизмы защиты. " очень сомневаюсь в верности тезиса, простой продукт пластиковые карты, цели разные, клиенты с "цветовой дифференциацией" механизмы защиты едины.........
Если бы....
http://www.banki.ru/forum/index.php?PAGE_NAME=message&FID=61&TID=64841&MID=793558#message793558
Денег могут и не вернуть.
По поддельному паспорту мошенник снял деньги с депозита, его поймала служба безопасности, а деньги вкладчику банк не вернул. А суд решил, что вкладчику деньги должен возвращать мошенник.
Последняя запись 19.08.2012.
Явного ответа, что деньги вернули - нет.
Т.е. более 2-х лет, клиент банка пытается вернуть свои деньги и безрезультатно.
Точнее, 25% милиция нашла.
Ещё 25% вернули родственники обвиняемого.
Через полгода, когда был вынесен приговор, обвиняемый его обжаловал.
Сколько это всё продолжается и чем закончилось - не известно.
Если это называется ни кто не пострадал, то я с вами соглашусь.
Мошеннические операции с бумажными платёжными документами встречаются реже, но на значительно большие суммы, так как считается, что такие платежи более защищены и меньше уделяют внимание организации их защиты. Отмечу, что предлагаемое нашей компанией решение позволяет организовать комплексную защиту, в том числе и финансовых операций с применением бумажных платёжных документов.
http://deepapple.com/news/42571.html
Опасеость в доверии к видемой информаци.
Думаю, что и в других OS есть похожие ошибки.
В частности, неустановленными лицами посредством SMS-сообщений и email-рассылки в адрес клиентов различных кредитных организаций направляются сообщения о блокировке карты клиента и предложения перезвонить по указанным в сообщениях телефонным номерам. В качестве отправителя сообщений, как правило, указываются: Центробанк России, CentroBank, Служба безопасности Банка России, ассоциирующиеся с именем Центрального банка Российской Федерации.
Посмотрите сколько в народном рейтинге тем с подобной информацией
"Кибератаки на интернет-сайты крупнейших американских банков продолжаются пятую неделю подряд. В результате данных злонамеренных действий хакеров у клиентов кредитно-финансовых учреждений возникли проблемы с обработкой операций и интернет-банкингом.
Список из шести ведущих банков США, в числе которых Bank of America, JPMorgan Chase, Citigroup, U. S. Bank, Wells Fargo и PNCсо, пополнили на текущей неделе BB & T Corp, Capital One Financial Corp и Ally Financial Inc."
Этот вопрос поднимался в теме о непрерывности http://www.banki.ru/blog/technoserv/3150.php
"Бизнесу неважно, по какой причине не может быть предоставлен тот или иной сервис. Будь это ошибка в программном обеспечении, сбой в работе оборудования, выход из строя кондиционера, дизель-генератора или причиной остановки предоставления ИТ-сервиса послужила DDoS-атака. В любом случае банк не может предоставить своим клиентам финансовые услуги."
А в комментариях все свелось практически к одному - защите бедных банков.
А тема на самом деле более широкая.
Защищать надо клиентов.
Основные атаки производятся именно на них.
Для этого используют банковский троян Citadel, которая устанавливает на компьютере жертвы Reveton (клиент для вымогательства). Вирус блокирует рабочий стол компьютера, размещая на нем уведомление якобы от федеральных органов, в котором жертву обвиняют в незаконной активности, в частности – распространении детской порнографии. С целью пресечения преступной деятельности, ФБР, якобы, заблокировало компьютер нарушителя.
Сообщение также предостерегает, что активность компьютера записывается при помощи аудио-, видео- и другого оборудования.
Для того чтобы разблокировать доступ к устройству, пользователю необходимо заплатить штраф, используя одну из нескольких платежных систем, таких как MoneyPak или Ukash.
И ни чего не говорится о прекращении противоправных действий, полагаю, что запуганная жертва это и так осуществит
Так что опасность вокруг нас, как в открытом космосе или на чужой планете
Компании Check Point Software Technologies Ltd. и Versafe, опубликовали совместное исследование «Eurograbber: как 36 млн евро были украдены с помощью вредоносного ПО».
Отчет посвящен новой высокотехнологичной атаки, в ходе которой со счетов корпоративных и частных клиентов европейских банков были списаны значительные суммы.
Атака Eurograbber, использовала сложную комбинацию вредоносного ПО, поражающего компьютеры и мобильные устройства.
Вредоносная программа, поддерживаемая командно-управляющими хакерскими серверами, сначала внедрялась в компьютеры жертв, а затем– в мобильные устройства для перехвата SMS-сообщений и обхода выполняемой банком процедуры двухфакторной аутентификации.
Group-IB обнаружила сеть зараженных POS-терминалов.
Вредоносное ПО направлено на заражение компьютеров с подключенными к ним POS-терминалами, распространенными в сетях розничной торговли, ресторанах, магазинах.
Сбербанк с мая запустил специальный продукт, который позволяет банку зафиксировать и отследить все подозрительные операции по счетам пенсионеров, сообщил зампред правления Станислав Кузнецов.
По его словам, запуск данного продукта позволил банку предотвратить около 300 мошеннических операций на общую сумму более 30 миллионов рублей. "Таким образом, через сервис "Сбербанк Онлайн" все эти преступления в отношении пенсионеров силами безопасности банка мы свели к нулю", - подчеркнул Кузнецов.
Это какие же дыры в Сбербанк-Онлайн, если столько удалось предотвратить?