Реферат: Мошенничество в сфере электронного банкинга
Реферат: Мошенничество в сфере электронного банкинга
Московский Государственный
Университет Экономики Статистики и
Информатики (МЭСИ) Тверской филиал
Кафедра информационных технологий
Реферат по предмету «Электронный
банкинг»
На тему: «Мошенничество в сфере
электронного банкинга»
Тверь, 2010
План
Введение
1.
Причины
интернет-мошенничеств в сфере интернет-банкинга
2.
Виды
и методики осуществления мошенничества в сфере интернет-банкинга
3.
Меры
безопасности
4.
Современные
технологические инновации, способствующие противодействию
существующим криминальным угрозам в сфере интернет-банкинга
4.1 Компании Diebold и ЛАНИТ:
многоуровневая безопасность сети банкоматов
4.2 Компания NXP Semiconductors:
производство бесконтактных защитных микросхем
4.3 Платежная система PayPal
4.4 WebMoneyTransfer
Заключение
Список использованных ресурсов
Введение
Электорнному банкингу уже
более двадцати лет, однако в данный момент этот сервис развивается небывалыми
темпами, связанно это прежде всего с массовой доступностью всемирной паутины,
управление своими счетами не выходя из дома или офиса является очень удобным
решением в сумасшедшем ритме жизни современного человека. Естественно,
интернет-банкинг является приманкой для злоумышленников и в связи с этим банки,
предоставляющие данную услугу неустанно совершенствуют свои системы защиты
интернет-банкинга. В отечественном интернет-банкинге широкое распространение
получили такие виды защиты как SSL-протокол, USB-token, ЭЦП, скретч-карты с
одноразовыми паролями и ввод логина с паролем, крупные иностранные банки более
развиты в отношении безопасности. В их системах защиты наряду со стандартными
схемами присутствуют такие параметры как виртуальная клавиатура, встроенные
модули защиты в браузер, SiteKey (эффективен против фишинг атак) и др.
Выше перечисленные
параметры защиты доказали свою высокую эффективность в использовании. Однако,
ни одна технология защиты на данный момент не может дать 100% гарантию
безопасности вводимых персональных данных, например, от вредоносных программ.
Количество случаев кражи средств через Интернет только за прошлый год возросло
более чем в два раза, несмотря на то, что на рынок выходят все новые средства
защиты.
По данным МВД РФ, число
мошенничеств с использованием интернет-технологий в 2009 году возросло на 30%.
Размер украденных сумм увеличился в три раза, то есть каждое мошенничество
стало в несколько раз эффективнее. Число привлеченных к уголовной
ответственности по этим случаям, к сожалению, в процентном соотношении к
количеству мошенничеств продолжает падать. Поймать преступников сложно:
действуют цепочки профессионалов, каждый из которых в отдельности закон не
нарушает.
По данным ФБР, ущерб от
онлайн-мошенничества в США 2009 году составил 560 млн долларов, а общее число
финансовых онлайн-преступлений превысило 336 тысяч (годом ранее их было 275
тысяч). Больше всего преступлений было совершено с проведенными через Интернет
предварительными платежами - 16,6% от общего числа. Второе место занимают
инциденты, связанные с оплатой товаров, - 11,9%.
1.
Причины интернет-мошенничеств в сфере
интернет-банкинга
Основные причины
резкого возрастания числа интернет-мошенничеств можно разделить
на две группы:
1.
субъективные,
связанные с недостаточной осведомленностью участников информационных отношений
в области защиты своих интересов,
2.
объективные причины,
связанные с применяемыми программно-техническими средствами.
Несмотря на
многочисленные предупреждения и в договорах, и на сайтах банков, а также в СМИ,
клиенты недостаточно глубоко и точно понимают, где и как у них могут украсть
деньги и что делать, чтобы этого не произошло. Пользователи уделяют слишком
мало внимания обеспечению собственной безопасности в Интернете. Например, для
многих из них до сих пор не является аксиомой, что нужно применять и
своевременно обновлять антивирусные средства.
Кроме того, среди
клиентов бытует мнение, что использование нелицензионного программного
обеспечения напрямую не вредит безопасности, а нарушает лишь авторские права.
Однако «пиратские» операционные системы не загружают регулярные обновления
безопасности, в то время как антивирусные средства рассчитаны на то, что
средства безопасности Microsoft будут обновлены и выполнят свою задачу. В итоге
из-за неправильного их взаимодействия в системах защиты остаются бреши.
Следующая причина - использование
неадекватных уровней безопасности в системах ДБО (дистанционного
банковского обслуживания). Уровень безопасности должен зависеть от сумм и типов
операций: операции между своими счетами, предопределенные операции с
ограниченными суммами требуют совершенно иного уровня безопасности, чем
операции в пользу третьих лиц без ограничения суммы. При упрощенной системе
безопасности можно разрешать только все операции по собственным счетам. Если в
системе нет запрета на платежи в пользу третьих лиц, необходима криптография на
компьютере пользователя и разовые пароли. Это позволяет хорошо защитить и банк,
и клиента.
Встречаются и чисто
технологические ошибки в разработке систем ДБО. Их должны создавать
профессионалы в области безопасности, иначе в системах могут возникать
алгоритмические «дыры». Например, в своем компьютере клиент вставляет
USB-токен и начинает работу. В момент подписания платежного документа троян
подкладывает фальшивое платежное поручение, которое подписывается правильными
подписями и отправляется в банк. Это технологическая уязвимость: в некоторых
системах существует незащищенный канал между микропроцессором шифрования и
процессором компьютера, который недостаточно контролируется. Такая уязвимость
закрывается профессиональными криптографами, так как простое применение
сертифицированных криптографических библиотек эту проблему не поможет решить,
потому что проблема в неверных алгоритмах применения библиотек.
Еще одна причина - использование
в системах ДБО несертифицированных средств криптографической защиты информации,
что создает условия правовой незащищенности участников информационных
отношений. Случаи взлома криптографии очень редки: зачем взламывать шифр, если
можно украсть ключи? Деньги пропадают с использованием собственных ключей
пользователя. Если клиент будет пытаться доказать свои права в суде, то во
внимание будут приниматься только сертифицированные средства.
Так же одной из важных
угроз систем ДБО сегодня является недостаточно проработанная
нормативно-правовая база отношений клиента с банком. Юридически
грамотный злоумышленник,знающий технологию применения электронной цифровой
подписи,может найти уязвимости в договорах и регламента, а затем используя
систему ДБО провести поддельную транзакцию, отказаться от нее и подать исковое
заявление в суд. Задача банка – доказать в суде обратное,т.е. доказать, что
банк действовал правильно.
В большинстве случаев
кредитная организация не несет юридической ответственности перед своими
клиентами в рамках заключенного между ними договора. Компрометация данных,
которые необходимы злоумышленникам, зачастую происходит именно по вине
клиентов. Тем не менее даже в таких случаях большинство кредитных организаций,
в случае обращения клиента стараются помочь ему вернуть утраченные средства, и
это часто удается сделать.
С другой стороны,
возможны ситуации, когда кредитная организация может понести юридическую
ответственность за убытки своих клиентов. Речь идет о случаях, когда клиент не
виноват в произошедшем, в том числе на основании решения суда, включая случаи,
когда к списанию средств клиента причастны сотрудники кредитной организации.
Именно на эти случаи и
распространяется действие полисов страхования от электронных и компьютерных
преступлений и страхования профессиональной ответственности финансовых
институтов, которые достаточно давно распространены на российском страховом
рынке. «Ингосстрах» предлагает такие виды банковского страхования уже более 10
лет.
Риски электронных и
компьютерных преступлений по отношению к банкоматам могут быть застрахованы
либо как расширение покрытия по полису страхования банкоматов и денежной
наличности в них, либо в рамках комплексного полиса страхования банка от
электронных и компьютерных преступлений.
Несмотря на то что
большинство банков в рамках договора с клиентами формально не несет
ответственности за утрату клиентами средств при использовании пин-кода
пластиковой карты, суды в большинстве случаев встают на сторону клиентов. Такие
риски могут быть застрахованы в рамках полиса страхования рисков эмитентов
банковских карт.
Любой банк обязан
выполнять требования по обеспечению защиты информации следующих внешних по отношению
к финансовой организации нормативно-правовых актов:
ü
Федеральный
закон РФ от 27 июля 2006 г. № 152-ФЗ "О персональных данных";
ü
Федеральный
закон РФ от 7 августа 2001 г. № 115-ФЗ "О противодействии легализации
(отмыванию) доходов, полученных преступным путем";
ü
Стандарт
межународной платежной системы VISA PA DSS (в контексте требований стандарта
PCI DSS для программного обеспечения процессингового центра);
ü
Рекомендации
ЦБ РФ, направленные циркулярным письмом Московского ГТУ Банка России № 33-00-18/3183
от 25.01.2010 г. "О рекомендациях для кредитных организаций по
дополнительным мерам информационной безопасности при использовании систем
интернет-банкинга".
Страницы: 1, 2, 3, 4 |