Дырявый интернет-банкинг
Несмотря на все меры защиты, мошенникам иногда удается получить доступ к электронным счетам граждан
Чем распространеннее становятся банковские кредитные карты, тем более актуальными оказываются проблемы, связанные с их безопасностью.
О воровстве денег с карточных счетов периодически пишут газеты и журналы, но многим эти проблемы кажутся фантастическими и далекими. «Уж со мной такого случиться не может», - думает почти каждый владелец кредитной карты, читая подобные публикации. Примерно так же считал и автор данной статьи. Пока с ним не приключилась пренеприятнейшая история.
Защитный слой
Вопросами безопасности кредитных карт я начал интересоваться только после того, как с моего карточного счета исчезла существенная для меня сумма денег. Мое собственное расследование, а также результаты доследственной проверки, проведенной отделом «К» ГУВД по Санкт-Петербургу и Ленинградской области, оказались не только интересными, но и весьма поучительными. Оказалось, что практически никто из владельцев кредитных карт не застрахован от мошенников. Но - давайте по порядку.
Заключая договор на выпуск банковской кредитной карты, клиент обычно получает и доступ в систему интернет-банкинга, который дает возможность следить за своим счетом и выполнять ряд платежей. Такой доступ получил и я, когда стал обладателем кредитной карты одного вполне солидного банка. Доступ осуществлялся по имени пользователя (он же логин - открытая информация, известная сотрудникам банка) и паролю, который выдается клиенту на специальной карте с защитным слоем, который полагается стереть перед употреблением.
Понимали ли банкиры, что доступ по постоянному паролю слишком ненадежен, учитывая огромное количество вирусов-троянов, с помощью которых мошенники воруют любые пароли и шифры? Конечно, понимали. Поэтому вместе с логином и паролем мне выдали и так называемую стреч-карту. На ней находятся опять-таки закрытые защитным слоем одноразовые коды доступа.
Злоумышленник, конечно, может украсть пароль и войти в мой интернет-банкинг, но там он увидит только информацию обо мне и моих счетах. Перевести деньги с кредитной карты с помощью этой системы можно только на ограниченное количество сервисов (коммунальные услуги, связь, Интернет и т. п.), да и то лишь с помощью стреч-карты. При попытке такого перевода система запрашивает код под определенным номером.
Клиент берет свою стреч-карту, стирает защитный слой с соответствующего кода и вводит его в открывшееся в системе окошечко. Перевод принимается, а код больше не действует - он одноразовый. При следующей операции система запрашивает уже другой код, а когда все коды на старой стреч-карточке закончатся, можно получить новую.
Есть и еще одна система защиты: SMS-информирование. При любой операции по карте я немедленно (в течение 2 - 3 минут) получаю об этом сообщение на свой мобильный телефон.
Кража
Когда 9 ноября 2010 года я неожиданно обнаружил исчезновение более 36 тыс. рублей со своей карты, мне было трудно поверить своим глазам. Как это могло произойти? Ведь мой банк рекламировал такую надежную защиту!
Система бесстрастно проинформировала меня, что деньги были переведены с моего счета накануне, двумя переводами на некий сайт «виртуальных денег» в 14.47 и 14.55. Им предшествовал какой-то странный перевод на тот же счет в размере 4 рубля 35 копеек, который впоследствии был отклонен. Я схватился за телефон: действительно, на нем «висели» полученные накануне SMS об этих транзакциях. По иронии судьбы, они пришли через час после переводов, и пришли в тот момент, когда я находился на совещании и звук был выключен.
А дальше началась борьба за возврат денег. Увидев пропажу, я немедленно позвонил в службу карточного сервиса своего банка. И мою карту заблокировали. А в десять утра следующего дня я уже был в офисе - заполнял заявление о несогласии с операциями.
«Деньги еще не переведены с вашего счета, - обнадежила меня сотрудница банка. - Они только заблокированы». На мой вопрос, что это значит, она пояснила, что из соображений безопасности деньги не переводятся мгновенно. Они сначала блокируются на карте на 2 - 3 дня - и только потом, если нет никаких заявлений и споров, переводятся по назначению. Ведь банк отвечает за неправомерное списание денег со счета клиента, а свои деньги банк бережет.
«Значит, тот факт, что я заблокировал карту и написал заявление о несогласии с операцией до того, как деньги списаны с моего счета, облегчит возврат?» - спросил я. «Да, конечно», - был ответ.
Из отделения банка я ушел почти успокоенный. Оставалось подождать месяц с небольшим, пока будет проходить проверка, а затем получить назад свои деньги.
Но скажу сразу: проверка затянулась. Мои попытки дозвониться до специалиста, занимающегося моим делом, успеха не достигли: меня с ним просто не соединяли. Ответ был один: «Ждите, вы получите письменный ответ».
И этот ответ пришел перед самым Новым годом. Московское руководство банка вопрос о возврате суммы оставило на усмотрение руководства петербургского филиала. А петербургский филиал принял решение в возврате денег отказать. Письменный ответ меня потряс. В нем сообщалось, что банк не имеет возможности оспорить операцию, так как на сайте «виртуальных денег» введены правильные данные моей кредитной карты, а сама операция происходила с помощью системы интернет-банкинга с вводом моих логина и пароля.
«Как это может быть? - спросил я сотрудников банка. - Разве с кредитной карты можно перевести деньги на другой счет? Ведь там разрешена только оплата услуг! Да и ее можно провести только с помощью стреч-карты!» «Нельзя», - пожала плечами сотрудница. Я не понимаю этот ответ. И я написал новое письмо руководству банка. В нем я указал, что перевод на сайт «виртуальных денег» через систему интернет-банкинга с моей карты в принципе невозможен. Но даже если он бы и был возможен, то как его можно было произвести без кода стреч-карты?
Ответ на это письмо мне снова пришлось ждать месяц, причем банк по-прежнему не шел ни на какие переговоры (несмотря на то что в договоре о выпуске карты был стандартный пункт о том, что все спорные вопросы стороны решают путем переговоров).
Новый ответ был уже более подробным и раскрывал механизм воровства. Итак, оказывается, банк вовсе не имел в виду, что перевод происходил через систему интернет-банкинга. Не «через», а «с помощью» этой системы. Разница в терминах оказалась существенной.
«Черные» банкиры
Интернет-взломщики, укравшие мои логин и пароль и вошедшие на мою страницу в банковской системе, действительно не могли перевести через нее ни копейки - ведь у них не было кодов моей стреч-карты. Но зато к их услугам существуют многочисленные сайты «виртуальных денег», на которых можно создать электронный кошелек и пополнить его, переводя на них деньги с кредитных карт.
Как потом выяснили сотрудники отдела «К», некие неустановленные лица зарегистрировали виртуальный кошелек, а затем «привязали» к нему мою кредитную карту. Для этого в их распоряжении оказалась вся информация обо мне и моей карте, которая была выложена банком на мою личную страницу интернет-банкинга в полном объеме.
Банк словно забыл, что недопустимо вообще указывать в сети полный номер банковской карты, что это в высшей степени конфиденциальная информация - и даже сотрудники телефонной службы банковского сервиса спрашивают только 8 последних цифр этого номера. Забегая вперед, скажу, что с 1 марта 2011 года мой банк начал маскировать номера карт на странице интернет-банкинга. Замечу, однако, что косвенное признание банком своей вины не привело к пересмотру решения по моему делу.
Кстати, мне стал ясен и смысл странного перевода на 4 рубля 35 копеек. Оказывается, это был так называемый активационный платеж. Сайт «виртуальных денег» проверяет, действительно ли карта принадлежит тому, кто «привязывает» ее к виртуальному кошельку, и делает это весьма оригинальным способом: случайным образом генерируется небольшая и некруглая сумма, которая снимается с привязанной карты. Эту сумму не сообщают владельцу кошелька. Он должен узнать, сколько именно списали с его счета, и ввести эту сумму в специальное окошечко. Если сумма оказывается правильной, это считается доказательством того, что «привязку» карты осуществил именно владелец карты. А в дальнейшем этот платеж аннулируется.
Логику подобной «проверки» понять невозможно. Ведь в случае взлома системы интернет-банкинга (защищенного простым паролем) взломщик получает сведения в том числе о размере списанной суммы: она немедленно отражается на странице. Этот виртуально-денежный сайт оказался очень удобным инструментом для воров! Другие сервисы требуют при регистрации приложения отсканированной копии паспорта, через банк проверяют соответствие данных, указанных при регистрации... А этот не требует ничего: переводи деньги в кошелек, а затем - куда тебе нужно.
Мои деньги, как было установлено компетентными органами, воры перевели на счета трех мобильных телефонов далеко за пределами Санкт-Петербурга, откуда, видимо, они отправились путешествовать дальше - пока не осели в нужных карманах.
При регистрации мошенники указали мои фамилию, имя и отчество (все это было открыто для них благодаря вирусу-трояну, укравшему логин и пароль из моего компьютера), но чужой номер сотового телефона - один из тех, на которые потом переводились деньги. Видимо, подстраховались: вдруг последует проверочный звонок?
Однако при проверке служба безопасности моего банка не обратила внимание на то, что петербуржец указал сотовый телефон отдаленного региона, да еще совершенно иной, чем тот, который значится в договоре. Для банка, заботящегося о безопасности своих клиентов должным образом, такие действия - однозначный повод для немедленного звонка с вопросом, заходил ли клиент в систему интернет-банкинга. Такая практика распространена, многие банки звонят клиенту, если по карте совершаются какие-либо подозрительные действия.
Это не единственная претензия к системе безопасности моего банка. Сейчас даже в социальных сетях или на почтовых серверах имеется опция, позволяющая определить, когда и с какого IP-адреса был осуществлен последний вход на сайт данным пользователем. Это делается потому, что специалисты службы безопасности знают, что сейчас в Интернете - настоящая эпидемия вирусов-троянов и что пароли воруют десятками и сотнями тысяч.
Но чем грозит взлом анкеты в социальной сети? Разве что рассылкой с нее спама всем друзьям и знакомым, размещением рекламных фотографий и иной подобной информации. А в системе интернет-банкинга, где последствия взлома гораздо серьезнее, такая простейшая, но важная информация клиенту не предоставляется! Более того, за ней не следят даже сотрудники банка. То-то взломщикам раздолье!
При этом мало кто знает, что применяемый во многих банках способ входа в интернет-банкинг (по логину и паролю) является по уровню безопасности позавчерашним днем. Я имел возможность сравнить: в другом банке мне сгенерировали специальный сертификат, который был записан на флеш-карту. И в интернет-банкинг можно войти лишь только тогда, когда этот флеш-ключ физически вставлен в компьютер. Никакой троян никакого пароля не украдет, и подделать его невозможно. А если этот флеш-ключ будет утерян, воспользоваться им все равно будет сложно. Во-первых, требуется ввести пароль. А во-вторых, надо еще угадать, какому банку принадлежит этот ключ...
Итак, что мы имеем? Явные пробелы в безопасности для владельцев банковских карт, позволяющие злоумышленникам перехватить всю конфиденциальную информацию о клиенте. Неумение или нежелание службы безопасности банка отслеживать подозрительные (если не сказать больше) входы в интернет-банкинг с зарубежных IP-адресов. И - нежелание проводить полноценное расследование происшедшего.
Комментарии
радует что Россию это мало заденет.. у нас люди умеют выживать без денег, света, воды, и т.д. :)
Дальше. При чем тут сотовый телефон "отдаленного региона" тоже неясно. Если в системе интернет-банкинга используется система одноразовых паролей, пересылаемых на мобильный, то этот номер вписывается прямо в договор и подписывается клиентом. Если не используется, то сотовый телефон тут вообще ни при чем.
Наличие полного ПАНа карты на сайте банкинга, конечно, прокол со стороны банка. Но само по себе это не могло привести к несанкционированному переводу денег с помощью данных карты. Опять же - по причине отсутствия CVV2 кода, который банку неизвестен.
Поэтому я и решил, что все пошло именно через мерчанта ("Хронопей" и иже с ним). Если операция производилась через и-банкинг, зачем бы вводить ПАН?
Насчет плохих технологий согласен. Либо смарт-токен, либо одноразовые пароли через мобильный. Все остальное - кормушка для мошенников.
Проблема утопающих - дело рук самих утопающих. А деньги могут и в трамвае украсть!