Памятка по мерам безопасности при работе c Интернет-банкингом (Россия)
30.04.10
В последнее время в сети Интернет участились попытки неправомерного получения персональной информации пользователей систем дистанционного банковского обслуживания (далее – ДБО): логинов, паролей, секретных ключей средств шифрования и аналогов собственноручной подписи PIN-кодов платежных карт и так далее. Для противодействия этому явлению, специалисты по безопасности создали специальную памятку по безопасности для клиентов, использующих электронные сервисы банка.
Анализ выявленных попыток и случаев хищения денежных средств с расчетных счетов клиентов банков, проведенный Центральным Банком Российской Федерации совместно с уполномоченными органами, показал, что хищения осуществляются:
Ответственными сотрудниками клиентов, имевшими доступ к секретным ключам электронной цифровой подписи (ЭЦП) организации. Как правило, это уволенные руководители, бухгалтеры и их заместители, ИТ-сотрудники, а также совладельцы организаций.
Штатными ИТ-сотрудниками клиентов, имевшими технический доступ к носителям с секретными ключами ЭЦП, а также доступ к компьютерам, с которых осуществлялась работа в системе ДБО.
Нештатными, приходящими по вызову ИТ-специалистами, обслуживающими компьютеры клиентов, с которых осуществлялась работа по системе ДБО, в том числе специалистами, осуществляющими профилактику и подключение к сети Интернет, установку, обновление и настройку бухгалтерских, информационно-правовых программ и другого программного обеспечения.
Злоумышленниками, путем заражения через сеть Интернет компьютеров клиентов вредоносными программами. Используя недостатки и уязвимости системного и прикладного программного обеспечения (в том числе: не обновленная либо отсутствующая антивирусная защита, фильтрация сетевого трафика и т.д.), клиентов, злоумышленники заражают компьютеры клиентов «троянскими» программами с последующим дистанционным похищением секретных ключей ЭЦП клиента, логинов и паролей.
Клиентам кредитных организаций по системам электронной почты направляются сообщения, в которых под какими-либо предлогами (техническое перевооружение, обновление или сверка баз данных кредитной организации и т.п.) предлагается ввести с клавиатуры компьютера указанные коды в поля экранных форм в ходе имитируемых сеансов информационного взаимодействия с кредитной организацией, например, через созданный дубликат Web-сайта банка. Одновременно, на компьютер Клиента с этого Web-сайта могут передаваться вредоносные программы, являющиеся компьютерными вирусами или «закладками», выполняющие в фоновом режиме работы скрытые функции, связанные с неправомерным получением персональной информации пользователей систем ДБО.
Мошенники стремятся получить реквизиты банковских карт при проведении их владельцами операций через банкоматы. В этом случае используются: замаскированные мини-видеокамеры, накладные устройства на клавиатуру для ввода ПИН-кода и на устройства для приема карт в банкомат, а также специально приспособленные для этих целей «фальшивые» банкоматы, которые незаконно устанавливаются, как правило, в неконтролируемых кредитными организациями местах и внешне не отличаются от банкоматов, используемых для ДБО клиентов кредитных организаций.
Для получения конфиденциальной информации злоумышленники используют различные варианты телефонного мошенничества. Известно много случаев направления мошенниками на мобильные телефоны Клиентов кредитных организаций SMS-сообщений о необходимости позвонить по номерам телефонов, которые в действительности не принадлежат этим организациям. Также имеют место звонки Клиентам с сообщением автоинформатора о предоставлении продуктов и услуг Банка с предложением нажать определенные клавиши на телефоне для подтверждения согласия в их приобретении и т.п. Тем самым Клиенты Банка провоцируются к вступлению в контакты с мошенниками, целью которых может являться получение конфиденциальной клиентской информации (например, персональные данные, логины и пароли для входа в систему ДБО, номера банковской карты и PIN-код).
Во всех перечисленных случаях мошенники, завладев ключами ЭЦП и Средствами Доступа к системе ДБО Клиента, направляют от его имени в Банк различные платежи в адрес различных физических и юридических лиц.
Неправомерно полученные различными способами реквизиты банковских карт используются для изготовления поддельных банковских карт, частично (так называемый “белый пластик”) или полностью имитирующих подлинные. При использовании в банкоматах поддельные банковские карты предоставляют их обладателям все возможности подлинных банковских карт.
После того, как Банк передал Вам Средства Доступа к системе ДБО (логин / пароль, сеансовые ключи) и ключи электронно-цифровой подписи (ЭЦП), конфиденциальность полученных данных полностью зависит от того, насколько ответственно Вы отнесётесь к их использованию и хранению.
Для снижения риска несанкционированного доступа к системе ДБО рекомендуем Вам использовать следующие меры предосторожности:
Обеспечьте безопасность карты с логинами и паролями и карты с сеансовыми ключами, а также носителей с ключами ЭЦП, используемых в системах ДБО.
Исключите возможность неправомерного получения персональной информации пользователей систем ДБО – не передавайте неуполномоченным лицам ключевые носители, логины и пароли доступа.
Храните карту с логинами и паролями отдельно от карты с сеансовыми ключами в местах, исключающих несанкционированный к ним доступ.
В случае компрометации или подозрения на компрометацию следует немедленно произвести замену логина и пароля доступа к системе ДБО и ключа подписи. В качестве события, рассматриваемого как компрометация средств доступа и ключа, могут быть подозрение, что средства доступа стали известны злоумышленникам, потеря носителей с ключевой информацией (даже с последующим обнаружением), увольнение или смена лиц, допущенных к этим ключам.
Используйте для хранения ключей ЭЦП только внешние носители (дискеты или флеш-накопители), а не жёсткие/сетевые диски компьютера. При этом владелец такого внешнего носителя должен хранить его в условиях, исключающих доступ к нему третьих лиц (например, использовать для хранения личный сейф).
Не используйте носители с ключами ЭЦП для каких-либо других целей (в частности, не храните на них любую другую информацию).
Извлекайте носители с ключами ЭЦП из компьютера каждый раз после завершения их использования (т.е. носители с ключами ЭЦП должны находиться в компьютере только в момент подписания) – даже если работа в системе ДБО продолжается, носители должны быть извлечены из компьютера сразу после окончания подписания документов.
Не допускайте (даже на короткое время) нахождение носителей с ключами ЭЦП, логинами, паролями и сеансовыми ключами в открытом доступе (например, на столе) в тот момент, когда они не находятся в зоне «прямой видимости» – в случае необходимости отлучиться от рабочего места поместите носители в защищённое место (например, в личный сейф).
Не передавайте ключи ЭЦП и не сообщайте логин и пароль доступа с системе ДБО кому-либо, в том числе IT-специалистам, для проверки работы системы, настроек взаимодействия с Банком и т.п. При необходимости таких проверок владелец ЭЦП обязан лично вводить логин и пароль и подключать носитель с ключами ЭЦП к компьютеру.
Не допускайте использования простых паролей (123456, qwerty и др.) – используйте различные сложные комбинации из букв (в т.ч. в разных регистрах) и цифр, не расположенных «подряд» на клавиатуре.
Не назначайте пароль, используемый в системе ДБО, в любых других системах и сервисах.
Осуществляйте регулярную (минимум – 1 раз в месяц) смену паролей, используемых в системе ДБО.
Рекомендуем Вам незамедлительно сменить пароль и осуществить перегенерацию ключей ЭЦП (используя соответствующие возможности системы ДБО) или обратиться в Банк за перевыдачей Средств Доступа и ключей ЭЦП в следующих случаях:
При увольнении сотрудника, имевшего доступ к ключам ЭЦП.
При возникновении любых подозрений на компрометацию (копирование) ключей ЭЦП и/или Средств Доступа.
В случае обнаружения каких либо вредоносных программ на компьютере, используемом для работы в системе ДБО.
Если инцидент произошел, и есть необходимость вмешательства компетентных органов, нужно сохранить как можно больше улик, которые помогут в ходе расследования. С этой целью не перезагружайте компьютер, с которого выполнялись операции с ДБО, а только обесточьте его до момента проведения криминалистической экспертизы. Сохраните все возможные логи с межсетевых экранов, прокси-серверов, шлюзов и т.д., которые могли участвовать в инциденте и способны пролить свет на то, как он протекал.
Обратитесь в МВД с заявлением и приложите к нему собранную информацию.
На компьютере, с которого осуществляется работа с системой ДБО:
Убедитесь, что Вы попали на подлинный сайт вашего банка, а не на сайт-дубликат, который изготовлен мошенниками и может представлять полную копию настоящего сайта банка. Чтобы не стать жертвой мошенников пользуйтесь прямым адресом Web-сайта банка. Старайтесь избегать перехода на сайт нашего Банка по ссылке со стороннего сайта.
Интернет-адрес системы ДБО должен строго соответствовать, указанному адресу в договоре на обслуживание. В случае обнаружения изменения в строке адреса, необходимо немедленно прекратить сеанс связи и связаться со службой технической поддержки банка по телефону, либо отправить сообщение по электронной почте.
Система ДБО не должна запрашивать отдельный ввод ключевых данных для «проверки» и других несвойственных функций. Используйте ключ только по назначению в момент подписания документов.
При работе в Интернет не соглашайтесь на установку каких-либо дополнительных программ с неизвестных Вам сайтов.
Обеспечивайте своевременную (по возможности, автоматическую, используя Windows Update) загрузку и установку всех последних обновлений от Microsoft, а также регулярное обновление другого системного и прикладного ПО по мере появления их новых версий (браузеры – Explorer, Opera, Firefox; почтовые клиенты – Outlook, The Bat, Thunderbird и т.д.).
При работе с электронной почтой не открывайте письма и прикрепленные к ним файлы, полученные от неизвестных отправителей, не переходите по содержащимся в таких письмах ссылкам.
Применяйте средства антивирусной защиты (Антивирус Касперского , Norton Antivirus, Avast), обеспечивая при этом регулярное обновление антивирусных баз, а также еженедельную полную антивирусную проверку. Антивирусное программное обеспечение должно быть запущено постоянно с момента загрузки компьютера.
Применяйте специализированные программные средства безопасности:
персональные файерволы (Personal Firewall),
антишпионское программное обеспечение (Anti-Malware software) и другое специализированное ПО,
использующееся для обеспечения информационной безопасности.
При настройке файервола разрешайте доступ только к доверенным ресурсам сети Интернет и только для доверенных приложений.
Внимание! Банк не рекомендует пользоваться системой дбо с публичных компьютеров (библиотека, интернет-кафе) и обращает ваше внимание на то, что риск хищения и последующего неправомерного использования секретного ключа подписи и другой аутентификационной информации (имя / пароль) значительно возрастает.
Осуществляйте операции с использованием банкоматов, установленных в безопасных местах (в государственных учреждениях, подразделениях банков, крупных торговых комплексах, гостиницах, аэропортах и т.п.)
При использовании банкомата, перед вводом карты, внимательно осмотрите картридер: на нем не должно находиться никаких посторонних предметов. При возникновении подозрений, НЕ пользуйтесь данным банкоматом и сообщите в банк (телефон банка должен быть на экране банкомата или на наклейках)
Не стесняйтесь просить отойти, как минимум, на метр стоящего рядом человека.
Не используйте банковские карты в организациях торговли и обслуживания, не вызывающих доверия.
При совершении операций с банковской картой без использования банкоматов не выпускайте ее из поля зрения.
Не пользуйтесь устройствами, которые требуют ввода PIN-кода для доступа в помещение, где расположен банкомат.
Ни в коем случае не храните PIN-код рядом с картой (например, в бумажнике), а уж тем более не наносите его на карту. При вводе PIN-кода прикрывайте клавиатуру рукой.
Не используйте PIN-код при заказе товаров либо услуг по телефону/факсу или по сети Интернет.
В случае потери/кражи карты, Немедленно сообщите об этом в службу поддержки банка (телефон должен находиться на оборотной стороне карты, поэтому при получении карты скопируйте его (например, в записную книжку или сотовый телефон)).
Пользуйтесь услугой SMS-оповещения о проведенных операциях с применением ДБО.
Внимание! Осуществляйте информационное взаимодействие с Банком только с использованием средств связи (мобильные и стационарные телефоны, факсы, интерактивные web-сайты/порталы, обычная и электронная почта и пр.), реквизиты которых оговорены в документах, полученных непосредственно в Банке.
Обращаем Ваше внимание на то, что:
Банк не запрашивает у клиентов информацию об их персональных данных, номерах платежных карт, не осуществляет рассылку электронных писем с просьбой прислать ключи ЭЦП и/или пароль к системе ДБО.
В случае если Вы получили подобное «сомнительное» письмо, SMS-сообщение от имени нашего Банка, запрос на предоставление каких либо конфиденциальных сведений или ключей ЭЦП/паролей, используемых в системе ДБО, Вам следует незамедлительно сообщить об этом в Центр обслуживания клиентов Банка.