Центральная Научная Библиотека  
Главная
 
Новости
 
Разделы
 
Работы
 
Контакты
 
E-mail
 
  Главная    

 

  Поиск:  

Меню 

· Главная
· Биржевое дело
· Военное дело и   гражданская оборона
· Геодезия
· Естествознание
· Искусство и культура
· Краеведение и   этнография
· Культурология
· Международное   публичное право
· Менеджмент и трудовые   отношения
· Оккультизм и уфология
· Религия и мифология
· Теория государства и   права
· Транспорт
· Экономика и   экономическая теория
· Военная кафедра
· Авиация и космонавтика
· Административное право
· Арбитражный процесс
· Архитектура
· Астрономия
· Банковское дело
· Безопасность   жизнедеятельности
· Биржевое дело
· Ботаника и сельское   хозяйство
· Бухгалтерский учет и   аудит
· Валютные отношения
· Ветеринария




Реферат: Мошенничество в сфере электронного банкинга

Реферат: Мошенничество в сфере электронного банкинга

Московский Государственный Университет Экономики Статистики и

Информатики (МЭСИ) Тверской филиал

Кафедра информационных технологий

Реферат по предмету «Электронный банкинг»

На тему: «Мошенничество в сфере электронного банкинга»

 

 

 

 

 

 

 

 

 

 

Тверь, 2010


План

Введение

1.  Причины интернет-мошенничеств в сфере интернет-банкинга

2.  Виды и методики осуществления мошенничества в сфере интернет-банкинга

3.  Меры безопасности

4.  Современные технологические инновации, способствующие противодействию существующим криминальным угрозам в сфере интернет-банкинга

4.1 Компании Diebold и ЛАНИТ: многоуровневая безопасность сети банкоматов

4.2 Компания NXP Semiconductors: производство бесконтактных защитных микросхем

4.3 Платежная система PayPal

4.4 WebMoneyTransfer

Заключение

Список использованных ресурсов


Введение

Электорнному банкингу уже более двадцати лет, однако в данный момент этот сервис развивается небывалыми темпами, связанно это прежде всего с массовой доступностью всемирной паутины, управление своими счетами не выходя из дома или офиса является очень удобным решением в сумасшедшем ритме жизни современного человека. Естественно, интернет-банкинг является приманкой для злоумышленников и в связи с этим банки, предоставляющие данную услугу неустанно совершенствуют свои системы защиты интернет-банкинга. В отечественном интернет-банкинге широкое распространение получили такие виды защиты как SSL-протокол, USB-token, ЭЦП, скретч-карты с одноразовыми паролями и ввод логина с паролем, крупные иностранные банки более развиты в отношении безопасности. В их системах защиты наряду со стандартными схемами присутствуют такие параметры как виртуальная клавиатура, встроенные модули защиты в браузер, SiteKey (эффективен против фишинг атак) и др.

Выше перечисленные параметры защиты доказали свою высокую эффективность в использовании. Однако, ни одна технология защиты на данный момент не может дать 100% гарантию безопасности вводимых персональных данных, например, от вредоносных программ. Количество случаев кражи средств через Интернет только за прошлый год возросло более чем в два раза, несмотря на то, что на рынок выходят все новые средства защиты.

По данным МВД РФ, число мошенничеств с использованием интернет-технологий в 2009 году возросло на 30%. Размер украденных сумм увеличился в три раза, то есть каждое мошенничество стало в несколько раз эффективнее. Число привлеченных к уголовной ответственности по этим случаям, к сожалению, в процентном соотношении к количеству мошенничеств продолжает падать. Поймать преступников сложно: действуют цепочки профессионалов, каждый из которых в отдельности закон не нарушает.

По данным ФБР, ущерб от онлайн-мошенничества в США 2009 году составил 560 млн долларов, а общее число финансовых онлайн-преступлений превысило 336 тысяч (годом ранее их было 275 тысяч). Больше всего преступлений было совершено с проведенными через Интернет предварительными платежами - 16,6% от общего числа. Второе место занимают инциденты, связанные с оплатой товаров, - 11,9%.


1.  Причины интернет-мошенничеств в сфере интернет-банкинга

 

Основные причины резкого возрастания числа интернет-мошенничеств можно разделить на две группы:

1.  субъективные, связанные с недостаточной осведомленностью участников информационных отношений в области защиты своих интересов,

2.  объективные причины, связанные с применяемыми программно-техническими средствами.

Несмотря на многочисленные предупреждения и в договорах, и на сайтах банков, а также в СМИ, клиенты недостаточно глубоко и точно понимают, где и как у них могут украсть деньги и что делать, чтобы этого не произошло. Пользователи уделяют слишком мало внимания обеспечению собственной безопасности в Интернете. Например, для многих из них до сих пор не является аксиомой, что нужно применять и своевременно обновлять антивирусные средства.

Кроме того, среди клиентов бытует мнение, что использование нелицензионного программного обеспечения напрямую не вредит безопасности, а нарушает лишь авторские права. Однако «пиратские» операционные системы не загружают регулярные обновления безопасности, в то время как антивирусные средства рассчитаны на то, что средства безопасности Microsoft будут обновлены и выполнят свою задачу. В итоге из-за неправильного их взаимодействия в системах защиты остаются бреши.

Следующая причина - использование неадекватных уровней безопасности в системах ДБО (дистанционного банковского обслуживания). Уровень безопасности должен зависеть от сумм и типов операций: операции между своими счетами, предопределенные операции с ограниченными суммами требуют совершенно иного уровня безопасности, чем операции в пользу третьих лиц без ограничения суммы. При упрощенной системе безопасности можно разрешать только все операции по собственным счетам. Если в системе нет запрета на платежи в пользу третьих лиц, необходима криптография на компьютере пользователя и разовые пароли. Это позволяет хорошо защитить и банк, и клиента.

Встречаются и чисто технологические ошибки в разработке систем ДБО. Их должны создавать профессионалы в области безопасности, иначе в системах могут возникать алгоритмические «дыры». Например, в своем компьютере клиент вставляет USB-токен и начинает работу. В момент подписания платежного документа троян подкладывает фальшивое платежное поручение, которое подписывается правильными подписями и отправляется в банк. Это технологическая уязвимость: в некоторых системах существует незащищенный канал между микропроцессором шифрования и процессором компьютера, который недостаточно контролируется. Такая уязвимость закрывается профессиональными криптографами, так как простое применение сертифицированных криптографических библиотек эту проблему не поможет решить, потому что проблема в неверных алгоритмах применения библиотек.

Еще одна причина - использование в системах ДБО несертифицированных средств криптографической защиты информации, что создает условия правовой незащищенности участников информационных отношений. Случаи взлома криптографии очень редки: зачем взламывать шифр, если можно украсть ключи? Деньги пропадают с использованием собственных ключей пользователя. Если клиент будет пытаться доказать свои права в суде, то во внимание будут приниматься только сертифицированные средства.

Так же одной из важных угроз систем ДБО сегодня является недостаточно проработанная нормативно-правовая база отношений клиента с банком. Юридически грамотный злоумышленник,знающий технологию применения электронной цифровой подписи,может найти уязвимости в договорах и регламента, а затем используя систему ДБО провести поддельную транзакцию, отказаться от нее и подать исковое заявление в суд. Задача банка – доказать в суде обратное,т.е. доказать, что банк действовал правильно.

В большинстве случаев кредитная организация не несет юридической ответственности перед своими клиентами в рамках заключенного между ними договора. Компрометация данных, которые необходимы злоумышленникам, зачастую происходит именно по вине клиентов. Тем не менее даже в таких случаях большинство кредитных организаций, в случае обращения клиента стараются помочь ему вернуть утраченные средства, и это часто удается сделать.

С другой стороны, возможны ситуации, когда кредитная организация может понести юридическую ответственность за убытки своих клиентов. Речь идет о случаях, когда клиент не виноват в произошедшем, в том числе на основании решения суда, включая случаи, когда к списанию средств клиента причастны сотрудники кредитной организации.

Именно на эти случаи и распространяется действие полисов страхования от электронных и компьютерных преступлений и страхования профессиональной ответственности финансовых институтов, которые достаточно давно распространены на российском страховом рынке. «Ингосстрах» предлагает такие виды банковского страхования уже более 10 лет.

Риски электронных и компьютерных преступлений по отношению к банкоматам могут быть застрахованы либо как расширение покрытия по полису страхования банкоматов и денежной наличности в них, либо в рамках комплексного полиса страхования банка от электронных и компьютерных преступлений.

Несмотря на то что большинство банков в рамках договора с клиентами формально не несет ответственности за утрату клиентами средств при использовании пин-кода пластиковой карты, суды в большинстве случаев встают на сторону клиентов. Такие риски могут быть застрахованы в рамках полиса страхования рисков эмитентов банковских карт.

Любой банк обязан выполнять требования по обеспечению защиты информации следующих внешних по отношению к финансовой организации нормативно-правовых актов:

ü  Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ "О персональных данных";

ü  Федеральный закон РФ от 7 августа 2001 г. № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем";

ü  Стандарт межународной платежной системы VISA PA DSS (в контексте требований стандарта PCI DSS для программного обеспечения процессингового центра);

ü  Рекомендации ЦБ РФ, направленные циркулярным письмом Московского ГТУ Банка России № 33-00-18/3183 от 25.01.2010 г. "О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга".


2.  Виды и методики осуществления мошенничества в сфере интернет-банкинга

Мошенничество с картами и мошенничество с ДБО, соединенные в один технологический «узел», дают синергетический эффект для мошенничеств. Потери от таких действий в десятки раз превосходят отдельно взятые воровство из интернет-банкинга и кражи денег из банкоматов. Интернет-банкинг позволяет воровать деньги с банковских счетов, а банкоматные сети дают возможность украденные деньги обналичивать.

Как пластиковые карты вовлекаются в интернет-мошенничество? В первую очередь через расчеты за услуги через Интернет. Далеко не все онлайн-магазины предлагают защищенные сервисы для использования платежных карт. Используются порой совершенно незащищенные технологии. Как только клиент ввел на небезопасный сайт данные своей карты, он может быть уверен, что вскоре получит уведомление о совершенной с его карты покупке в каком-нибудь «левом» интернет-магазине.

С другой стороны, пластиковые карты служат для аутентификации клиента в системах дистанционного банковского обслуживания, в том числе даже без наличия электронно-цифровой подписи. Так для мошенников открывается путь в системы ДБО.

И еще: карты стали соединять с электронными деньгами и счетами в сотовой связи.

Основные виды правонарушений

ü  Самый распространенный вид мошенничеств через ДБО - это хищение денежных средств со счетов клиентов с использованием краденых «ключевых» данных клиентов.

ü  Следующий вид правонарушения - кража персональных данных для изготовления персональной карты через специальные программы, скимминговые устройства, данные процессинговых центров.

Далеко не все онлайн-магазины предлагают защищенные сервисы для использования платежных карт

Теперь мошенники стремятся украсть персональные данные или данные пластиковых карт не только для непосредственного их использования, но и для управления банковскими счетами. Самое простое - когда секретные ключи лежат на носителе, который можно потерять. Либо воры могут украсть ключи с использованием троянов или просто могут получить мошеннический удаленный доступ к компьютеру клиента и использовать честно защищенные данные.

Прошли времена хакеров-одиночек. Сейчас чаще всего действует организованная группа или даже несколько различных функциональных групп или группировок. Нынешнее мошенничество - это высокотехнологичная операция с очень специфическими функциями, где на каждом этапе нужна очень профессиональная подготовка. Универсалы-одиночки здесь не справятся. Работа таких групп сильно распределена по четко выраженным этапам, а также территориально.

Деятельность каждой отдельной группы направлена на проведение, как правило, только одной операции. Бывает, что группы не связаны ни единым замыслом, ни единой технологией, ни конечной целью. Например, одна группа пишет и продает трояны. Другая группа делает БОТ-сеть, которая распространяет эти данные. Третья группа сортирует и приводит в товарный вид все украденные данные - распределяет, где логины - пароли, каким банкам они принадлежат, какой тип системы ДБО используется и т.д.

В «помощь» мошенникам появились «зарплатные карточные проекты» фиктивных компаний

Когда проведен подготовительный этап, определены цели, сроки, задачи, пути вывода наличных, средства прикрытия и блокировки сервисов ДБО, можно начинать собственно операцию: преступники получают доступ непосредственно к счету или карте клиента и осуществляют несанкционированный перевод на заранее подготовленный промежуточный счет. Затем нужна хорошая ДОС-атака, которая обрушит сервис, чтобы клиент не смог своевременно получить информацию о движении средств на его счете. ДОС-атака должна закончиться в тот момент, когда деньги будут обналичены.

Этапы операции по атаке на системы ДБО:

ü  создание специального «инструментария» - программ-троянов для сбора данных;

ü  создание специального «инструментария» - программ-троянов для организации DDoS-атак;

ü  распространение троянов и создание БОТ-сетей;

ü  создание центра управления (координации) «операцией»;

ü  проведение «операции»;

ü  «зачистка» следов проведения «операции» - проведение DDoS-атак на системы ДБО.

Технические приемы получения данных пластиковых карт:

ü  использование программ-«шпионов» в автоматизированных системах потенциальных жертв;

ü  использование программ-«шпионов» в банкоматах;

ü  использование накладок - «скиммеров» на банкоматы;

ü  воровство пластиковых карт и данных с пластиковых карт;

ü  изготовление пластиковых карт по подложным документам;

ü  изготовление пластиковых карт, принадлежащих «третьим» лицам;

ü  воровство персональных данных реальных граждан для использования в фиктивных «зарплатных» проектах.


Этапы операции по обналичиванию денежных средств:

ü  создание специального «инструментария» - программ-троянов или технических средств (скиммеров) для банкоматов;

ü  подготовка «пула» настоящих дебетовых карт, выпущенных на «третьих» лиц, либо подготовка «белого пластика» на основе краденых данных;

ü  получение этих пластиковых карт заинтересованными лицами;

ü  проведение «операции»;

ü  «зачистка» следов «операции» - DDoS-атака на системы ДБО.

Непосредственно обналичивание реализуется переводом со счета юридического лица на множество счетов пластиковых карт физических лиц с последующим снятием наличных в банкоматах. Как правило, происходит снятие небольших сумм в разных банкоматах. Это самое слабое звено: непосредственных исполнителей обналички можно найти. Но что мы имеем в сухом остатке? Бомжи с трех вокзалов или пенсионеры из разных городов страны, которые и не знают, что у них есть карты, на которые поступают деньги, полученные в результате мошеннических операций.

В «помощь» мошенникам появились «зарплатные карточные проекты» фиктивных компаний, основной смысл существования которых - массовое легальное «распыление» крупных сумм и обналичивание. Мошенники собирают персональные данные, пишут заявление в банк и получают определенное количество дебетовых карт, на которые можно регулярно и на законных основаниях переводить деньги, а затем их обналичивать.


3. Меры безопасности

Самая основная и самая трудная мера - повышение осведомленности как самих клиентов в области собственной безопасности при использовании интернет-сервисов, так и сотрудников розничных отделений банков при продаже продуктов ДБО. Это могут быть различные наглядные пособия для клиентов, памятки, специализированные странички на сайтах банков, рекламные материалы. Для сотрудников - проведение тренингов, создание систем мотивации. Врага надо знать, чтобы с ним бороться и применять меры самообороны. Банкам следует настойчиво оповещать клиентов - пользователей систем ДБО о мерах безопасности и давать им подробные рекомендации о применении защитных мер, в том числе антивирусного программного обеспечения с функциями антихакер и антишпион.

Следующие меры носят более технологический характер и могут быть отнесены к самим банкам. Считается, что чиповые карты более защищенные, чем магнитные, поэтому в качестве первой рекомендации банкам: пора переходить на чиповые карты. На данном этапе развития технологий чиповую карту можно скопировать, только если ее подержать в руках. Кроме того, нужно внедрять использование «электронных кошельков» или «виртуальных» карт для интернет-платежей.

Получение своевременной информации о состоянии своего счета - гарантия оперативного принятия мер по возврату похищенных средств. При краже счет идет на минуты. Если в течение двух часов клиент успеет сообщить в банк, что у него «увели» деньги, есть шансы вернуть всю сумму полностью. Чем больше промежуток времени между фактом пропажи средств и передачи сообщения в банк, тем меньше шансов остановить незаконную транзакцию. Поэтому sms-информирование - это обязательный элемент безопасности.

Хорошие результаты дают системы онлайн-анализа проведенных транзакций. Существуют признаки, по которым косвенно можно определить, что происходит что-то неладное:

ü  нетипичное «поведение» клиента - операции производятся с другого IP-адреса, в странное время или списывается необычная сумма.

ü  Могут производиться нетипичные переводы со счетов как юр. лиц, так и физ. лиц на карточные счета физ. лиц. Сразу после таких переводов производится массовое снятие наличных.

ü  многократный отказ в проведении транзакции за короткий период и одновременное, либо за короткий промежуток времени, снятие наличных с одной карты в разных регионах.

ü  кроме того, это уже упоминавшиеся переводы на счета электронных денег. Промышленные системы могут анализировать более 150 типов признаков аномального поведения клиентов, что позволяет выявлять и пресекать не менее 70% мошеннических операций.

Введение условий использования карточных продуктов вне мест постоянного проживания клиентов дает хороший эффект. Запрет на проведение операции без предварительного уведомления о том, что человек уехал в определенную страну, также помогает защитить держателей карт. Также хороший эффект дает так называемая IP-фильтрация адресов, с которых клиенты проводят операции в системах ДБО.


4. Современные технологические инновации, способствующие противодействию существующим криминальным угрозам в сфере интернет-банкинга

 

4.1 Компании Diebold и ЛАНИТ: многоуровневая безопасность сети банкоматов

Один из ведущих производителей банковского оборудования компания Diebold и ее партнер компания ЛАНИТ разработали решения, обеспечивающие безопасность эксплуатации банкоматов на всех уровнях, начиная от установки систем мониторинга, защиты каналов связи и заканчивая размещением дополнительных камер в слотах выдачи и депонирования наличности, а также устройств, предотвращающих попытки скимминга и траппинга.

S.A.F.E. (SecureAnti-FraudEnhancements). Это комплекс инновационных технических решений, который Diebold разработал для защиты от скимминга и траппинга. Банкоматы оснащаются специальным детектором, который распознает наличие чужеродного устройства. При обнаружении скиммера система посылает сигнал тревоги в службу безопасности банка, мониторинговый центр или отделение милиции. При этом картридер банкоматов оборудован механизмом с переменной скоростью протяжки, что позволяет в процессе приема карты менять скорость ее движения. Подобный эффект делает невозможным точное считывание данных с магнитной полосы карты с помощью скиммеров, которые сейчас широко используются преступниками.

В свою очередь ЛАНИТ для борьбы со скиммингом предлагает устанавливать на банкоматы специальные антискимминговые накладки, которые обеспечивают «пассивную безопасность» (препятствие установки), а также новый продукт компании TMD Security, обеспечивающий «активную безопасность». TMD Security позволяет глушить сигналы со скиммингового устройства, предотвращая несанкционированные попытки передачи персональных данных держателей карт.

Надежный уровень информационной защиты позволяет обеспечить новый продукт DieboldValiTech. Инновационная технология двухфакторной идентификации способна распознавать обслуживающий банкоматы персонал и контролировать его действия. С помощью ValiTech банкомат может точно идентифицировать уполномоченного сотрудника и предоставить ему ограниченный доступ к функциям устройства. ValiTech создает запись в регистрационном журнале, где документируется доступ техперсонала и фиксируются все действия, производимые в ходе техосмотра.

Новая разработка ЛАНИТ - сетевая версия системы контроля и управления доступом СКУД-ATM - предназначена для ограничения доступа к верхнему шасси банкомата. Система позволяет регулировать доступ к банкомату, составлять ежемесячные, недельные и суточные отчеты о сотрудниках, имевших доступ к терминалу. Решение на базе LanAtmAuthority дает возможность осуществлять удаленное управление комплексом СКУД-АТМ.

Для повышения уровня информационной безопасности рекомендуется устанавливать межсетевые экраны, антивирусные программы и программу контроля целостности банкоматного ПО - SymantecEndpointProtection v11.0.

 

4.2 Компания NXP Semiconductors: производство бесконтактных защитных микросхем

 

Компания NXP Semiconductors, лидер в области производства бесконтактных защитных микросхем, и ведущий поставщик решений в области управления информацией компания ToppanForms, объявили, что модуль считывания и записи данных TN33MUE002L, основанный на стандарте NearFieldCommunication (NFC), будет интегрирован в три модели компьютеров серии ThinkPad, реализуемых на мировом рынке, а именно: T410, T510 и W510. Будучи встроенным в персональный компьютер или внешнее устройство, данный модуль используется для решения целого ряда задач, связанных с защитой данных и обеспечением удобства для пользователей. Так, с его помощью можно осуществлять операции, связанные с интернет-банкингом, и электронной коммерцией.

Данный NFC-модуль считывания и записи данных – первое из устройств такого рода, выпущенное на мировой рынок. Он разработан на основе NFC-микросхемы PN533, которая является высокоинтегрированным модулем передачи данных со встроенным микроконтроллером, обеспечивающим бесконтактный обмен данными на частоте 13,56 МГц. Это модульное решение совместимо с самыми распространенными типами смарт-карт, доступными на рынке в настоящее время; в том числе оно поддерживает технологию MIFARE™, наиболее распространенную на мировом рынке бесконтактных смарт-карт, и технологию FeliCa, широко применяемую в бесконтактных смарт-картах в Японии для осуществления электронных платежей. Данное модульное решение также совместимо с картами открытых стандартов (ISO 14443, типы A и B), используемыми по всему миру в целом ряде технологических систем для банковских и правительственных.

Такое расширение диапазона применения NFC-устройств предоставит пользователям новые возможности для работы с защищенными транзакциями на личном компьютере, такими как авторизация платежей, защищенный интернет-банкинг и целый ряд государственных услуг.

 Данный модуль содержит PC/SC-совместимый драйвер и совместим с существующими PC/SC-приложениями, что позволяет осуществлять его «бесшовную» интеграцию в большинство существующих платежных систем и систем защиты данных. Считыватель сертифицирован для MS Windows и совместим с операционными системами Windows XP, WindowsVista и Windows 7*. Драйвер к модулю является частью комплекта разработчика программного обеспечения для NFC-систем с поддержкой спецификации PC/SC (NFC SoftwareDevelopmentKitfor PC/SC), созданным компанией ToppanForms. Это ПО позволяет разработчикам создавать приложения для работы с бесконтактными картами гораздо быстрее и с гораздо большей гибкостью.

Остандарте NFC (Near Field Communication: ISO/IEC 21481)

NFC-устройства работают в диапазоне частот 13,56 МГц на расстоянии в несколько сантиметров, причем каждое устройство сочетает в себе функции бесконтактной карты (FeliCa, MIFARE или карты ISO 14443A/B), считывателя бесконтактных карт и узла пиринговой (peer-to-peer) связи, реализованные на одной микросхеме. Совместно разработанная компаниями NXP Semiconductors и SonyCorporation в 2003 г., NFC-технология позволяет пользователям осуществлять защищенный обмен и последующее хранение всех видов информации путем простого поднесения одного устройства к другому на достаточно близкое расстояние. Кроме того, NFC-устройство способно автоматически конфигурировать и инициировать сеансы беспроводной связи других видов, например, Bluetooth или Wi-Fi, что позволяет использовать их для обмена данными на более значительных расстояниях и для передачи данных на более высоких скоростях.

4.3 Платежная система PayPal

Для входа в платежную систему PayPal пользователю необходимо ввести свой адрес электронной почты и пароль.

Для защиты ваших сведений в PayPal используется протокол SSL. Кроме этого, при отправке платежа с помощью PayPal получателю не передаются важные финансовые сведения, такие как номер кредитной карты или банковского счета. Поэтому можно не беспокоиться по поводу платежей незнакомым пользователям. Пользователь PayPal защищен от всех несанкционированных им платежей.

В качестве защиты от мошенничества отправляется по электронной почте подтверждение на каждую онлайновую выплату, которую клиент осуществляет через систему PayPal.

В случае получения электронного сообщения о транзакции, не подтвержденного клиентом, предоставляется связь со службой PayPal для оперативного разрешения проблемы совместными усилиями.

4.4 WebMoneyTransfer

 

Он предусматривает 3 типа аутентификации:

ü  с помощью файлов с секретными ключами. Для запуска WM KeeperClassic необходимы: уникальный 12-значный WM-идентификатор, пароль (назначается пользователем), а также файлы с секретным ключом и кошельками, которые хранятся в памяти компьютера;

ü  с помощью персональных цифровых сертификатов;

ü  с помощью технологии авторизации e-Num, обеспечивающей наиболее высокий уровень безопасности информации. Новшество заключается в том, что критичные персональные данные больше не нужно хранить на самом компьютере. Авторизация обеспечивается за счет использования одноразовых сеансовых пар: числа-логина и числа-пароля, которые меняются каждый раз при входе в систему и больше не повторяются. Защита обеспечивается как средствами криптографии, так помощью так называемого одноразового шифроблокнота.

Секретный ключ для доступа к данным хранится не в компьютере, а в мобильном телефоне клиента, что позволяет использовать его при работе с различных компьютеров, а также исключает риск порчи или хищения ключа троянскими и другими вредоносными программами. Система e-Num включает также и идентификацию отпечатками пальцев с ПК и ноутбуков.

Архитектура системы исключает несанкционированный доступ к WM-кошелькам клиентов и не позволяет проводить расчеты с использованием WM-кошельков, на которых нет средств.

Все операции в системе - хранение WebMoney на кошельках, выписка счетов, расчеты между участниками, обмен сообщениями - совершаются в закодированном виде, с использованием алгоритма защиты информации, подобного RSA, с длиной ключа более 1040 бит. Для каждого сеанса используются уникальные сеансовые ключи, что обеспечивает конфиденциальность совершения сделок и обмена информацией.

На системном уровне обеспечивается устойчивость в отношении обрывов связи. При осуществлении трансакции средства всегда находятся либо на WM-кошельке отправителя, либо на WM-кошельке получателя. Промежуточного состояния в системе нет. Поэтому принципиально не может возникнуть ситуация, когда WM-средства будут потеряны.


Заключение

Все выше перечисленные параметры защиты доказали свою высокую эффективность в использовании. Вперед шагнула платежная система WebMoney, представив наряду со стандартными схемами безопасности такую технологию защиты как ввод отпечатков пальцев, можно предположить, что биометрические технологии защиты получат широкое распространение в будущем. Однако, ни одна технология защиты на данный момент не может дать 100% гарантию безопасности вводимых персональных данных, например, от вредоносных программ, которые в состоянии осуществлять атаки “man-in-the-middle” и “man-in-the-endpoint” несмотря на присутствие защитного ПО банков. Выходом в данной ситуации может являться использование комплексного подхода к обеспечению безопасности систем онлайн-банкинга. Кроме подробно рассмотренных в работе технологических мер обеспечения безопасности крайне важно уделить внимание и повышению осведомленности как самих клиентов в области собственной безопасности при использовании интернет-сервисов, так и сотрудников розничных отделений банков при продаже продуктов ДБО. Это могут быть различные наглядные пособия для клиентов, памятки, специализированные странички на сайтах банков, рекламные материалы. Для сотрудников - проведение тренингов, создание систем мотивации. Врага надо знать, чтобы с ним бороться и применять меры самообороны. Банкам следует настойчиво оповещать клиентов - пользователей систем ДБО о мерах безопасности и давать им подробные рекомендации о применении защитных мер, в том числе антивирусного программного обеспечения с функциями антихакер и антишпион.


Список использованных ресурсов

1.  Александр Адамов ООО «Лаборатория Дизайн и Тест», 2009 /специально для www.av-school.ru/

2.  Журнал "InformationSecurity/ Информационная безопасность" #2, 2010

3.  Рекомендации экспертов «Лаборатории Касперского» 24.02.2010 | БО 1/2010 http://bo.bdc.ru/2010/1/bezopasnost.htm

4.  http://bankir.ru/dom/showthread.php?t=12672

5.  http://bo.bdc.ru/bezopasnost.htm

6.  http://bo.bdc.ru/2010/6/internet_moshenniki.htm

7.  http://bo.bdc.ru/2010/1/diebold_i_lanit.htm







Информация 







© Центральная Научная Библиотека