- •Противодействие мошенничеству в банковской сфере с применением высоких технологий
- •Реферат
- •Содержание
- •Обозначения и сокращения
- •Введение
- •1 Обзор информационной безопасности банка
- •1.1 Нормативные и правовые документы соответствующие отраслевым и международным стандартам
- •Отраслевые стандарты
- •1.2 Программно-аппаратное обеспечение и его соответствие отраслевым стандартам
- •1.3 Виды угроз для банков
- •Выводы по главе
- •2 Угрозы информационной безопасности для банков
- •2.1 Банковские трояны
- •Банковские трояны на смартфонах
- •Троян Eurograbber
- •Банковский троян Cridex/Dapato распространяется через WordPress-сайты
- •Троян для Android подслушивает номера кредитных карт
- •Троян oddjob перехватывает банковские сессии
- •Троян iceix и перенаправление телефонных вызовов
- •Троян-вымогатель Reveton обзавёлся звуковыми эффектами
- •2.2 Дистанционное банковское обслуживание: проблемы функционирования в российской банковской практике
- •Системы интернет-трейдинга и брокерского обслуживания под угрозой
- •2.3 Фишинг
- •2.4 Кардинг
- •Кардинг и его виды
- •Скимминг
- •Тепловизоры помогут скиммерам в чтении пин-кодов
- •Шимминг – новый вид мошенничества
- •Найден способ обхода методов авторизации чиповых банковских карт
- •Социальная инженерия при фишинге
- •Объединенные кардеры
- •2.5 Учет и анализ существующих рисков в дистанционном банковском обслуживании
- •Выводы по главе
- •3 Противодействие современным угрозам в банковской сфере
- •3.1 Антискимминг
- •Методы противодействия
- •Активное антискимминговое устройство CardGuard
- •3.2 Защита банкоматов и pos терминалов от троянов
- •3.3 Антифишинг Борьба с фишингом и фармингом
- •3.4 Рекомендации для пользователей
- •Общие рекомендации
- •Рекомендации при совершении операций с банковской картой в банкомате
- •Рекомендации при использовании банковской карты для безналичной оплаты товаров и услуг
- •Рекомендации при совершении операций с банковской картой через сеть Интернет
- •3.5 Юридическая защита держателей банковских карт
- •Проактивная защита в сети интернет для пользователей
- •3.6 Рекомендации для банка Обязательные средства защиты на предприятии
- •Мероприятия, позволяющие влиять на уровень существующих рисков
- •Организационные мероприятия
- •Технические мероприятия
- •Краткие выводы
- •Дистанционное банковское обслуживание
- •3.6 Интернет-банкинг: признаки защищенности
- •Надежный банкинг с помощью антилоггера
- •Выводы по главе
- •Заключение
- •Список использованных источников
- •Приложение а список прикладного программного обеспечения
- •Приложение b список сетевого программного обеспечения
1.2 Программно-аппаратное обеспечение и его соответствие отраслевым стандартам
Программное и программно-аппаратное обеспечение находящиеся в ОАО ,,Россельхозбанк” указанное в приложении A и приложении B соответствует ГОСТ Р МЭК61508-3-2007 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью» [8].
Так же работа с программно-аппаратными комплексами по шифрованию в связи с получением лицензий ОАО ,,Россельхозбанк” по следующим направлениям:
Лицензия на предоставление услуг шифрования информации (выдана Центром по лицензированию, сертификации и защите государственной тайны ФСБ от 27.04.2010 №8744У)
Лицензия на распространение шифровальных (криптографических) средств (выдана Центром по лицензированию, сертификации и защите государственной тайны ФСБ России от 27.04.2010 №8743Р)
Лицензия на техническое обслуживание шифровальных (криптографических) средств (выдана Центром по лицензированию, сертификации и защите государственной тайны ФСБ от 27.04.2010 №8742Х) [4].
1.3 Виды угроз для банков
Как и в любой сфере связанной с финансами, нельзя забывать про безопасность информационных и платежных систем которым могут угрожать злоумышленники. Рассмотрим угрозы используемые злоумышленниками в банковской сфере, которые с течением времени совершенствуются, а значит для которых требуются более эффективные способы защиты. К ним относятся:
Фишинг
Угрозы при использовании дистанционного банковского обслуживания
Банковские трояны
Кардинг
Фишинг— мошенники от имени банка связываются склиентом по электронной почте и просят его подтвердить некоторые конфиденциальные данные своей карты. Также распространеноиспользуется и телефонный фишинг (вишинг), когда держатель пластиковой карты получает телефонный звонок либо с информацией о том, что по его карте произведен платеж на некоторую сумму, либо с просьбой погасить просроченную задолженность по кредиту. В основном как правило, информирование происходит в автоматическом режиме («электронный голос»),а название банка, из которого пришел звонок, не уточняется. Для получения дополнительной информации рекомендуется следовать указаниям системы. Владелец карты соединяется с оператором и узнает, что является клиентом или заемщиком банка, с которым на самом деле никаких отношений не поддерживает, но оператор любезно предлагает свою «помощь» в прояснении ситуации, для чего просит сообщить конфиденциальные данные имеющейся у владельца карты для поиска в «межбанковской системе» [9].
Дистанционное банковское обслуживание – это одно из направлений, способствующих предоставлению клиентам максимального удобства в их работе, является дистанционное банковское обслуживание (ДБО), осуществляемое через сеть Интернет. Возможность полностью управлять своим личным счётом при условии простоты выполнения операций, комфорта и мобильности всегда привлекало, и будет привлекать клиентов.
Основными направлениями распределения рисков в области безопасности для систем ДБО являются:
- каналы связи используемые для транзакций;
- вопросы организации эксплуатации систем ДБО;
- клиенты, обслуживаемые через Интернет;
- глобальная сеть Интернет [10].
Банковские трояны к которым относятся вредоносные программы, предназначенные для похищения конфиденциальной информации и обеспечения несанкционированного доступа к системам дистанционного банковского обслуживания. Многие банковские трояны сочетают в себе функции бэкдора и шпионских программ [11].
Кардинг— вид мошенничества, при котором производится операция с использованием платежной карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Реквизиты платежных карт берут со взломанных серверов интернет-магазинов, платежных и расчётных систем, а также с персональных компьютеров (либо непосредственно, либо через программы удаленного доступа, «трояны», «боты» с функцией форм граббера (шпионская программа, служит для перехвата введённых паролей и логинов)). Самым распространённым методом похищения номеров платежных карт на сегодня является фишинг — создание мошенниками сайта, который будет пользоваться доверием у пользователя, например сайт, похожий на сайт банка пользователя, через который и происходит похищение реквизитов платежных карт [12].