Неудобные удобства
Фото: Inmagine.com

Как выяснил портал Банки.ру, клиентам ВТБ 24 для работы в «Телебанке» наряду с электронно-цифровой подписью (ЭЦП) приходится пользоваться картами с переменными кодами, придуманными еще на заре развития интернет-банкинга. Клиенты жалуются на неудобства. Однако эксперты считают, что любой дополнительный фактор при авторизации операции — это всегда хорошо.

Каждая кредитная организация стремится к тому, чтобы работа его клиента в системе интернет-банкинга была не только безопасной, но и удобной. Но совместить эти понятия удается далеко не всегда. Так, клиенты ВТБ 24 жалуются на то, что им до сих пор приходится пользоваться допотопными скретч-картами с одноразовыми паролями.

«Сделал сертификат электронно-цифровой подписи, но от карты переменных кодов никак не могу избавиться, в любом случае приходится вводить переменный код при проведении первой операции, — пишет в своем отзыве в «Народном рейтинге» пользователь под ником maekhv. — Карту невозможно всегда носить с собой. Часто бывали случаи, когда нужно было срочно провести операцию, естественно, карты под рукой нет». Клиент также обращает внимание на то, что карта часто теряется, ее восстановление — огромная проблема, так как за ней надо идти в отделение банка и стоять в очереди.

По мнению maekhv, ЭЦП имеет гораздо более высокую степень защиты, чем скретч-карта. «Суммируя вышесказанное, на мой взгляд, сегодня ВТБ 24 минимум на шаг позади в сфере дистанционного обслуживания», — делает вывод клиент.

В ВТБ 24 подтверждают, что до сих пор при совершении операций в системе интернет-банкинга «Телебанк» его клиентам приходится пользоваться картой переменных кодов, однако полагают, что ничего плохого в этом нет. «В ближайшее время российские банки вряд ли совсем откажутся от скретч-карт», — говорит начальник отдела дистанционного банковского обслуживания ВТБ 24 Елена Дегтева. Однако она обращает внимание на то, что в этом году кредитная организация начала предлагать клиентам альтернативные варианты — в частности, генератор одноразовых паролей, использующий банковскую карту клиента. «Этот инструмент позволяет свести вероятность мошеннических действий со счетами клиентов к минимуму», — уверяет Дегтева.

Она объясняет, что стопроцентную защиту от угрозы мошенничества гарантировать очень сложно и полностью ее обеспечить, пользуясь лишь ЭЦП, невозможно. «Таблицы одноразовых ключей и скретч-карты с паролями введены в обиход банками еще на заре развития российского интернет-банкинга, используются по сей день и являются достаточно надежным и сравнительно недорогим средством защиты при совершении операций через удаленные каналы обслуживания», — говорят в ВТБ 24.

Вместе с тем Дегтева подчеркивает, что ни один банк при выборе используемого средства безопасности не исходит только из уровня предоставляемой им защиты. «Также в расчет принимаются такие факторы, как стоимость приобретения и обслуживания, размер и структура клиентской базы, стратегия развития, технологические особенности», — добавляет она.

Эксперты в области расследования IT-инцидентов отмечают, что абсолютной защиты нет. «Существуют специализированные классы вредоносных программ, нацеленных на компрометацию логина и пароля от системы дистанционного банковского обслуживания, а также ЭЦП, — рассказывает заместитель руководителя лаборатории компьютерной криминалистики и исследования вредоносного кода компании Group-IB Сергей Никитин. — В случае использования банком одноразовых паролей программы данного класса не сработают. Однако существуют также классы вредоносного программного обеспечения, имеющие возможность интегрироваться в адресное пространство браузера, «Клиент — банка» и прочих приложений». По его словам, в такой ситуации клиент банка может подписать одноразовым паролем мошенническое платежное поручение, даже не заметив этого.

«Речь идет об атаке типа «автоподмена», — говорит эксперт. — Таким образом, проводится легитимный платеж, но вирус подменяет реквизиты, и в реальности, скрытно от вас, в банк уйдет мошенническое платежное поручение, подписанное и ЭЦП, и одноразовым паролем». Вместе с тем он подчеркивает, что любой дополнительный фактор при авторизации операции — это всегда хорошо.

По словам Никитина, ЭЦП является достаточно стойким криптографическим алгоритмом, что, впрочем, не мешает злоумышленникам использовать вредоносные программы, которые компрометируют компьютеры клиентов банков. «После чего прямо с этих компьютеров скрытно от пользователей можно подписывать и отправлять платежные поручения в банк», — указывает он.

Эксперты напоминают, что абсолютной защиты от мошеннических операций не существует, но необходимо соблюдать все известные правила, которые, возможно, и не добавят «мобильности» и удобства. Для работы с системами ДБО следует использовать отдельный компьютер. Строго запретить с него доступ к любым ресурсам, кроме банка, антивируса, обновлений операционной системы, обновлений приложений. Нужно регулярно обновлять операционную систему, антивирусы и прочее прикладное программное обеспечение и запретить использование флеш-накопителей. «Такой отдельный компьютер имеет значительно меньшие шансы быть зараженным вредоносным программным обеспечением», — утверждает Никитин.

Татьяна ТЕРНОВСКАЯ, Banki.ru