- •Противодействие мошенничеству в банковской сфере с применением высоких технологий
- •Реферат
- •Содержание
- •Обозначения и сокращения
- •Введение
- •1 Обзор информационной безопасности банка
- •1.1 Нормативные и правовые документы соответствующие отраслевым и международным стандартам
- •Отраслевые стандарты
- •1.2 Программно-аппаратное обеспечение и его соответствие отраслевым стандартам
- •1.3 Виды угроз для банков
- •Выводы по главе
- •2 Угрозы информационной безопасности для банков
- •2.1 Банковские трояны
- •Банковские трояны на смартфонах
- •Троян Eurograbber
- •Банковский троян Cridex/Dapato распространяется через WordPress-сайты
- •Троян для Android подслушивает номера кредитных карт
- •Троян oddjob перехватывает банковские сессии
- •Троян iceix и перенаправление телефонных вызовов
- •Троян-вымогатель Reveton обзавёлся звуковыми эффектами
- •2.2 Дистанционное банковское обслуживание: проблемы функционирования в российской банковской практике
- •Системы интернет-трейдинга и брокерского обслуживания под угрозой
- •2.3 Фишинг
- •2.4 Кардинг
- •Кардинг и его виды
- •Скимминг
- •Тепловизоры помогут скиммерам в чтении пин-кодов
- •Шимминг – новый вид мошенничества
- •Найден способ обхода методов авторизации чиповых банковских карт
- •Социальная инженерия при фишинге
- •Объединенные кардеры
- •2.5 Учет и анализ существующих рисков в дистанционном банковском обслуживании
- •Выводы по главе
- •3 Противодействие современным угрозам в банковской сфере
- •3.1 Антискимминг
- •Методы противодействия
- •Активное антискимминговое устройство CardGuard
- •3.2 Защита банкоматов и pos терминалов от троянов
- •3.3 Антифишинг Борьба с фишингом и фармингом
- •3.4 Рекомендации для пользователей
- •Общие рекомендации
- •Рекомендации при совершении операций с банковской картой в банкомате
- •Рекомендации при использовании банковской карты для безналичной оплаты товаров и услуг
- •Рекомендации при совершении операций с банковской картой через сеть Интернет
- •3.5 Юридическая защита держателей банковских карт
- •Проактивная защита в сети интернет для пользователей
- •3.6 Рекомендации для банка Обязательные средства защиты на предприятии
- •Мероприятия, позволяющие влиять на уровень существующих рисков
- •Организационные мероприятия
- •Технические мероприятия
- •Краткие выводы
- •Дистанционное банковское обслуживание
- •3.6 Интернет-банкинг: признаки защищенности
- •Надежный банкинг с помощью антилоггера
- •Выводы по главе
- •Заключение
- •Список использованных источников
- •Приложение а список прикладного программного обеспечения
- •Приложение b список сетевого программного обеспечения
Дистанционное банковское обслуживание
Большинство надежных банков совмещает систему постоянных паролей с добавлением элементов «onetimepassword» (OTP), одноразовых паролей. Одноразовые пароли чаще всего используются как дополнительный слой защиты при входе в личный кабинет в интернет-банке и при осуществлении дополнительных платежей. Одноразовые пароли либо выдаются пользователю в банке, либо высылаются на мобильный телефон в виде sms, либо генерируются специальным приложением в телефоне, либо генерируется специальными флешками, которые хранит у себя клиент. Мобильный телефон является наиболее оптимальным вариантом, в равной степени простым в использовании и надежным – вряд ли хакерам удастся заразить сразу два прибора, принадлежащих пользователю.
3.6 Интернет-банкинг: признаки защищенности
1. Используется система одноразовых паролей:
при каждом входе в личный кабинет или при проведении платежа пользователя просят ввести дополнительный пароль,
пароль для подтверждения платежа или входа в личный кабинет запрашивается через мобильный телефон или через специальный "токен",
пароль известен только пользователю и передается по защищенному каналу.
2. Между банком и пользователем устанавливается защищенный канал:
рядом с адресной строкой банка обозначен сертификат безопасности, подтверждающий защищенность канала,
банк использует протокол https,
банк отслеживает все действия, производимые в рамках защищенного канала, и сообщает пользователю о подозрительных переводах.
3. В банке введена система лимита на количество операций и система автоматического выхода из личного кабинета после короткого периода бездействия.
4. Система хранения паролей организована так, что сотрудникам банка не нужно знать ваш постоянный пароль.
5. Банк постоянно информирует клиента о типах мошеннических действий, которые могут ему угрожать.
Дополнительную безопасность онлайн-банку обеспечивает строгое регламентирование числа операций. Например, банк должен автоматически сбрасывать соединение, если пользователь какое-то время не производил никаких операций – таким образом никому не удастся воспользоваться открытым окном браузера в отсутствии владельца. На всех этапах перевода денег банк должен запрашивать у пользователя подтверждение, желательно привязанное к одноразовому паролю. Полезно будет также, если в определенный период банк будет напоминать пользователю, что он давно не менял свой постоянный пароль. В некоторых банках пользователям дается возможность ввести ограничение на определенные типы платежей.
Банку необходима полноценная система IDM (Identitymanagement), Если она внедрена, пользователям интернет-банка нет необходимости самостоятельно придумывать и устанавливать свои пароли доступа к приложениям: за них это своевременно сделает система в соответствии с заданными политиками безопасности. Изменения можно проводить хоть каждые 5 минут, автоматически записывая новые пароли в защищенную область памяти на токене пользователя. Пользователю не нужно заучивать эти пароли, достаточно иметь с собой сам токен и помнить PIN-код. Современная IDM-система заранее напомнит пользователю о том, что у него истекает срок действия сертификата и предложит удаленно обновить его, не дожидаясь часа "X", когда клиент просто не сможет войти в систему. Это не раздражает пользователя и разгружает службу поддержки от потока обращений по поводу "сломавшихся" токенов.
Одновременно современные IDM-системы решают острую "проблему системного администратора", который, предоставляя права доступа, знает пароли пользователей и может ими воспользоваться. Теперь пароли доступа к приложениям генерируются и хранятся в IDM-системе, их не знает никто, а PIN-коды к токенам печатаются в PIN-конверты (как при выдаче кредитных и дебетовых карт). И никто, включая администратора, узнать их не может [31].