В настоящее время дистанционное банковское обслуживание является неотъемлемой частью банковских услуг. Данный вид обслуживания построен по принципу взаимодействия Банка и его Клиентов посредством обмена сообщениями, имеющими уникальную электронно-цифровую подпись (ЭЦП) под каждым сообщением.

К наиболее распространенному типу дистанционного банковского обслуживания относится обслуживание через Интернет (интернет-Банкинг), которое в настоящее время наиболее перспективно и эффективно для Клиентов, как юридических, так и физических лиц, так как стоимость владения каналом связи с сетью Интернет относительно низка, что позволяет сделать такой канал доступным почти всем. Это обстоятельство помимо своей положительной роли несет в себе и опасность, обусловленную тем, что сеть Интернет является ресурсом, контроль за которым невозможен со стороны Банка. Вследствие этого, возникает угроза мошенничества, связанная с несанкционированным переводом денежных средств со счетов Клиентов на счета злоумышленников.

Для предотвращения возможного случая мошенничества в сфере интернет-банкинга просим Вас уделить особое внимание работе в системе «Банк-Клиент» «iBank 2» и хранению секретных ключей.

В настоящее время, мошенники поступают следующим образом:

1. Инфицируют компьютер вирусами или специализированными программами, которые похищают Ваши секретные ключи и пароли.

2. При помощи похищенных ключей формируют платежные документы на списание средств с Ваших счетов и отсылают их от Вашего имени в Банк.

3. В ряде случаев, после похищения ключей, мошенники выводят из строя компьютер.

4. Банк, приняв данный платежный документ, обязан исполнить его, т.к. он подписан Вашими ключами.

В целях обеспечения безопасности при работе в системе «Банк-Клиент» настоятельно рекомендуем Вам:

1. Использовать для хранения файлов с секретными ключами ЭЦП отчуждаемые носители: дискеты, флеш-носители, специализированные устройства.

2. Отключать и извлекать носители с ключами ЭЦП в то время, когда они не используются для работы с «iBank2».

3. По возможности ограничить доступ к компьютерам, используемым для работы с «iBank2»

4. На компьютерах, используемых для работы с «iBank2», исключить посещение Интернет‑сайтов сомнительного содержания, загрузку и установку сомнительного ПО и т. п.

5. Применять на рабочем месте (в рабочей локальной сети) надежные лицензионные средства антивирусной защиты, прошедшие аттестацию во ФСТЭК России, и обеспечить регулярное автоматическое обновления их антивирусных баз.

6. Применять на рабочем месте специализированные программные средства безопасности: персональные файерволлы, достаточные (средние и Выше) параметры безопасности и конфиденциальности Вашего интернет-браузера и т.п.

7. Исключить обслуживание компьютеров, используемых для работы с «iBank2», ненадежными IТ-сотрудниками.

8. При обслуживании компьютера IТ-сотрудниками – обеспечивать контроль за выполняемыми ими действиями.

9. Никогда не передавать ключи ЭЦП IТ-сотрудникам для проверки работы «iBank2», проверки настроек взаимодействия с Банком и т.п. При необходимости таких проверок только лично владелец ключа ЭЦП должен сам подключить носитель к компьютеру и лично ввести пароль, исключая его подсматривание.

10. При увольнении ответственного сотрудника, имевшего доступ к секретному ключу ЭЦП, обязательно заблокировать ключи ЭЦП и сгенерировать новые.

11. При увольнении сотрудника, имевшего технологический доступ к секретному ключу ЭЦП, обязательно заблокировать ключи ЭЦП и сгенерировать новые.

12. При увольнении IТ-специалиста, осуществлявшего обслуживание компьютеров, используемых для работы с «iBank2», принять меры для проверки компьютеров на отсутствие вредоносных программ.

13. При возникновении любых подозрений на компрометацию (копирование) ключей ЭЦП или компрометацию среды исполнения (наличие в компьютере вредоносных программ)–обязательно заблокировать ключи ЭЦП и сгенерировать новые.

14. Если Вы заметили проявление необычного поведения ПО «iBank2» или какие-то изменения в интерфейсе программы – позвонить в Банк и выяснить, не связаны ли такие изменения с обновлением версии ПО. Если нет – возможно, изменения Вызваны работой программы-шпиона. Обязательно сразу же заблокировать ключи ЭЦП и сообщить в Банк о ситуации.

15. Желательно, если есть такая возможность, исключить использование Ваших ключей ЭЦП с компьютеров, в защищенности которых Вы не уверены, а также ограничить круг IP-адресов.  Для этого необходимо обратиться в Банк с просьбой разрешить работу с системой «iBank2» только с указанных Вами IP-адресов и IP-сетей. В список разрешенных Вы можете включить неограниченное количество IP-адресов и IP-сетей, чтобы обеспечить нормальную работу всех своих филиалов. Попытки доступа с неразрешенного IP-адреса будут блокированы системой.

16. Соблюдать регламент ограниченного доступа к компьютеру, на котором установлена система «iBank 2» и ключам (п.7.2.9 Обязанность обеспечения защиты компьютера, на котором установлено абонентское ПО системы ДБО, возлагается на Клиента.)

17. Использовать и оперативно обновлять системное и прикладное ПО только из доверенных источников, гарантирующих отсутствие вредоносных программ. При этом необходимо обеспечить целостность получаемых на носителях или загружаемых из Интернета обновлений (п.7.2.9 Обязанность обеспечения защиты компьютера, на котором установлено абонентское ПО системы ДБО, возлагается на Клиента.).

18. В случае неожиданного выхода из строя компьютера, на котором установлена система Банк клиент, следует немедленно обратиться в Банк для блокировки учетной записи.

В качестве радикальной меры для противодействия хищениям вредоносными программами (троянами) секретных ключей ЭЦП АКБ «Легион» (ОАО) предлагает своим Клиентам осуществить переход от использования файлов с секретными ключами ЭЦП к использованию USB-токенов «iBank 2 Key», а также подключить услиги «sms-банкинг» или «sms-информирование».

О USB-токене «iBank 2 Key»

USB-токен «iBank 2 Key» объединяет в компактном пластиковом корпусе PC/SC-совместимый USB-картридер и SIM-карту:

Главное достоинство USB-токена «iBank 2 Key» — формирование ЭЦП клиента по ГОСТ Р34.10-2001 непосредственно внутри SIM-карты токена.

В составе системы содержится модуль криптозащиты информации, сертифицированный ФСБ РФ по классу КС2.

На вход USB-токена передается электронный документ, а на выходе — сформированная токеном ЭЦП под документом.

Время формирования токеном ЭЦП менее 0,5 сек.

При этом секретный ключ ЭЦП генерируется самим токеном при инициализации, хранится в защищенной памяти токена и никогда, никем и ни при каких условиях не может быть считан из токена.

Доступ ко всем криптографическим функциям USB-токена предоставляется только после ввода пользователем корректного PIN-кода. Для каждого секретного ключа ЭЦП — свой PIN-код.

Важно помнить, что чем популярнее системы дистанционного банковского обслуживания, тем большее внимание уделяют этим системам мошенники, а значит вопросам информационной безопасности необходимо уделять должное внимание.

Защита интересов клиентов Банка является приоритетным направлением деятельности АКБ «Легион» (ОАО). Выполнение рекомендаций, содержащихся в настоящей статье, позволит избежать возникновения нежелательных ситуаций.

По всем возникающим вопросам работы в системе «Клиент-Банк» просим Вас обращаться:

к специалистам технической поддержки по следующим телефонам:
(495) 781-781-6, (495) 781-00-00 (доб. 703-119, 703-122)

или к специалистам Управления по работе с клиентами по телефонам:
(495) 781-99-05, (495) 781-00-00 (доб. 706-007, 706-020, 706-021, 706-050, 706-055)