Как не допустить атаку на «Клиент-Банк» | Журнал «Главная книга» | № 3 за 2013 г.
БУХГАЛТЕРСКИЕ Новости Статьи Консультации Семинары Конференции
Календари Калькуляторы Формы Справочники Тесты
БУХГАЛТЕРСКИЕ
БУХГАЛТЕРСКИЕ
ПОПУЛЯРНЫЕ НОВОСТИ
Ввозить в страну заграничные гостинцы станет сложнее

С 01.01.2019 устанавливаются более жесткие правила беспошлинного ввоза в РФ из-за границы товаров для личного пользования. < ... >

Работающим пенсионерам срочно увольняться не нужно

Пенсионный фонд поспешил развеять появившиеся в СМИ слухи о том, что не уволившиеся до 2019 год пенсионеры будут лишены пенсии со следующего года. < ... >

Очередная метаморфоза 2-НДФЛ

Налоговая служба утвердила новую форму справки 2-НДФЛ. Применять эту форму налоговые агенты должны будут начиная с представления сведений за 2018 год. Чем же новая справка отличается от ныне действующей? < ... >

Пособие по уходу за ребенком выплачивать частями нельзя

Работодатель не вправе разбить ежемесячное пособие по уходу за ребенком до 1,5 лет на две части и выплачивать часть пособия в аванс, а часть при окончательном расчете с сотрудниками за месяц. < ... >

Оборудование поставляется частями: как определить дату отгрузки

Если крупногабаритное оборудование из-за большого веса поставляется покупателю частями, дата его отгрузки в НДС-целях определяется по последней поставке. < ... >

ФНС отозвала инструкцию по выявлению «нарисованной» отчетности

Летом 2018 года Налоговая служба направила территориальным инспекциям письмо, в котором содержалась инструкция по аннулированию деклараций по НДС и налогу на прибыль. Теперь ФНС решила отменить этот документ. < ... >

ККТ: когда при безналичной оплате можно не выдавать чек

Организация не должна применять ККТ при получении безналичной оплаты от ИП. Но нужно обязательно убедиться, что плательщик действительно предприниматель, а не частное лицо. < ... >

Статья из журнала «ГЛАВНАЯ КНИГА» актуальна на 25 января 2013 г.

Содержание журнала № 3 за 2013 г.

ЛЮБЕЗНЫЙ Виктор Владимирович

ЛЮБЕЗНЫЙ Виктор Владимирович

Ведущий разработчик программных продуктов компании «Бухсофт.ру»

С 1998 г. работает в качестве разработчика программных продуктов и консультанта по вопросам заполнения и сдачи отчетности
С 2007 г. сотрудничает с компанией «Бухсофт.ру», разработчик проекта «БухСофт-Онлайн»

Беседовала корреспондент ГК А.В. Хорошавкина

Как не допустить атаку на «Клиент-Банк»

В последнее время участились преступные атаки на дистанционные системы банковского обслуживания. Со счетов пользователей пропадают большие суммы денег. Добиться их возврата от банка пострадавшим не удается. Ведь, по мнению банка, они не соблюдают все меры безопасности, а значит, сами виноваты. Что это за меры? На вопросы читателей отвечает специалист в вопросах безопасности интернет-сервисов.

Виктор Владимирович, безопасно ли пользоваться системами дистанционного банковского обслуживания? Или есть риск, что преступники могут украсть деньги со счета?

В.В. Любезный: Системы дистанционного банковского обслуживания (ДБО) бывают двух типов: «Клиент-Банк» и «интернет-банк». Отличаются они способом входа в систему. Для того чтобы войти в «Клиент-Банк», надо запустить специальную программу, а в «интернет-банк» — зайти на интернет-сайт. Эти системы устроены по-разному, но одинаково небезопасны.

Технически любая такая система состоит из трех компонентов: рабочее место пользователя; сервер банка; каналы связи между пользователями, серверами и информационными системами банка. И каждое из этих звеньев может быть атаковано злоумышленниками. Ведь использование любых компьютерных программ и электронных каналов связи, особенно Интернета, всегда таит в себе риски, связанные с несанкционированным доступом к расчетному счету. Так что риск того, что преступники украдут деньги, реален. Например, подделав электронную цифровую подпись клиента.

Как они это делают? Можно ли от этого как-то защититься?

В.В. Любезный: Электронной цифровой подписью (ЭЦП) руководителя организации или другого уполномоченного лица подписывается в любой системе ДБО каждый запрос в банк: на совершение платежа, на получение выписки по счету.

ЭЦП — это числовая комбинация, и для каждого подписываемого документа она вычисляется компьютерной программой по специальному математическому алгоритму. Создается ЭЦП с помощью закрытого ключа, а проверяется — с помощью открытого ключа. Ключи — это тоже числовые комбинации. Пару ключей — открытый и закрытый — одновременно вырабатывает удостоверяющий центр. В данном случае удостоверяющий центр — сам банк.

Закрытый ключ остается у владельца, а содержание открытого ключа передается банку. Владелец закрытого ключа обязан обеспечить его секретность. Если секретный ключ попадет в руки посторонних лиц (это называется «компрометация ключа»), надо незамедлительно сообщить об этом в банк, чтобы ключ отозвали, то есть признали недействительным.

На чем лучше хранить закрытый ключ? В самом компьютере или на каком-то отдельном носителе?

В.В. Любезный: Хранить ключ на жестком диске не следует. Лучше хранить его на внешнем носителе и подключать его к компьютеру только на время работы с системой. А по окончании работы сразу же отключать. Такие правила хранения ключа обычно диктуют и сами банки. И если вы их нарушите, они упрекнут вас в неосторожности — со всеми вытекающими.

Иногда в качестве дополнительной защиты ключа подписи используется пароль или пин-код. Лучше, если это будут одноразовые пароли или пин-коды, которые банк, например, присылает на ваш мобильный телефон в виде SMS.

Можно ли защитить себя от пропажи средств, если хранить ключ на специальном носителе: Touch Memory, eToken или Rutoken?

В.В. Любезный: Я бы советовал поступать именно так. Специализированные носители для хранения криптографических ключей обычно содержат встроенные средства для подписания и шифрования электронных документов.

Это практически полностью исключает возможность хищения закрытого ключа. Что, конечно, снижает риск пострадать от действий преступников. Но не устраняет его полностью. Злоумышленники могут удаленно войти в ваш компьютер и перехватить нажатия клавиш и работу с мышью в тот момент, когда вы проводите банковские операции. То есть не злоумышленники, а вы сами подпишете цифровой подписью вами же сформированную платежку — только с измененными реквизитами получателя, суммами и т. д.

Каким способом преступники могут на расстоянии залезть в чужой компьютер?

В.В. Любезный: Программы удаленного доступа используют компьютерные специалисты для поддержки своих клиентов. С помощью таких программ администратор может на расстоянии, через Интернет или по локальной сети, видеть экран, работать с клавиатурой и мышью точно так же, как если бы он работал непосредственно за этим компьютером.

Злоумышленники пользуются похожими программами. Но у них есть и дополнительные функции: скрытое наблюдение за пользователем и повременная запись его действий. При этом никаких предупреждений о том, что кто-то посторонний взял управление компьютером или ведет просмотр ваших действий, не будет. С помощью подобной программы злоумышленник может некоторое время наблюдать за работой пользователя. А когда пользователь отойдет от компьютера, провести несанкционированную операцию — подделать ЭЦП или изменить реквизиты на ваших оригинальных платежках. В любом случае деньги будут списаны со счета против вашей воли.

Как такая программа может попасть на компьютер?

В.В. Любезный: Причин заражения только две: программные ошибки и человеческий фактор. А очень часто сочетаются обе эти причины. Например, вам приходит по электронной почте, ICQ, Skype или социальной сети сообщение. Оно может быть и от знакомого абонента, если ему взломали учетную запись. В сообщении стоит ссылка и завлекательный текст, который призывает вас по этой ссылке щелкнуть. Ссылка ведет на зараженный сайт, использующий ошибку в вашем браузере для выполнения на компьютере вредоносной программы.

Бывает, что преступники взламывают известный сайт и загружают вредоносную программу на него. При простом посещении этого сайта, опять же с помощью ошибки в браузере, такая программа внедряется в ваш компьютер.

Случается, что для заражения компьютера даже и посещать никакие сайты не надо. Если компьютер способен принимать входящие запросы из Интернета или от соседей по сети, злоумышленники могут атаковать ваш компьютер по сети с использованием ошибок в его сетевых службах.

Все еще, хотя и реже, чем раньше, встречается распространение вредоносных программ через внешние носители, флешки. Если открывать флешку через «Мой компьютер» в Windows XP и более старых версиях Windows, тоже можно, не зная об этом, запустить вредоносную программу. Она может проанализировать, стоит ли на компьютере пользователя система «Клиент-Банк» или «интернет-банк», и сообщить об этом через Интернет своему «хозяину».

А как же антивирусы? Они не дают полной защиты потому, что не успевают за преступниками?

В.В. Любезный: Во вредоносных программах обычно имеются средства периодического обновления и обхода антивирусной защиты. Применение антивирусных программ — не панацея, но это увеличивает вашу безопасность. Если, конечно, вы используете серьезный, не бесплатный, постоянно обновляемый антивирус, желательно отечественного производства. Российские разработчики антивирусов быстрее реагируют на местный «ассортимент» вредоносных программ. От момента попадания вредоносной программы на компьютер до кражи денег проходит некоторое время. За это время информация о вредоносной программе может быть включена в антивирусную базу. И когда компьютер будет в очередной раз проверен свежим антивирусом, программа может его обнаружить. Но может и не успеть... Так что защищайтесь и другими способами.

Вы говорите о программных ошибках, упрощающих жизнь преступникам. Откуда берутся эти ошибки и как от них избавиться?

В.В. Любезный: Программы разрабатывают люди. Поэтому «дыры» неизбежны практически в любой мало-мальски сложной программе. В более новых версиях программы обнаруженные ошибки исправляются, но могут появляться другие.

Поэтому, чтобы снизить риск заражения, надо использовать только лицензионную операционную систему и оперативно ее обновлять. Это же касается браузеров и других программ для работы в Интернете.

Не используйте взломанные программы или программы, полученные из сомнительных источников. Генераторы ключей, патчи (программы, вносящие изменения в файлы других программ с целью их взлома, например, чтобы бесплатно использовать платную программу) и другие программы, используемые для взлома, нередко имеют вредоносные функции.

Обновляйте программы только на официальных сайтах их разработчиков. Осторожно реагируйте на внезапно выскакивающие на экране предложения обновить браузер, антивирус или любую другую программу. Настоятельно рекомендую при малейших сомнениях прекратить использование системы «Клиент-Банк» и обратиться к специалисту.

Наверное, лучше вообще не пользоваться Интернетом на этом компьютере?

В.В. Любезный: В идеале для работы с системами ДБО нужно использовать специально выделенный для этого компьютер, на котором не допускается никакая другая работа. Можно еще изолировать его от внутренней сети.

А если это невозможно?

В.В. Любезный: Тогда хотя бы не используйте компьютер с системами «Клиент-Банк» или «интернет-банк» для поиска информации в Интернете. И не посещайте незнакомые сайты. Либо, если мощность компьютера позволяет, можно организовать на нем виртуальную машину. И любые другие программы (например, браузер, клиенты соцсетей) запускать именно под ней. Ваш системный администратор наверняка справится с этой задачей: это совсем несложно. Программы, запускаемые внутри виртуальной машины, не будут иметь доступа к содержимому компьютера и не смогут похитить с него файлы и другую информацию.

В крайнем случае для посещения сайтов можно создать на компьютере ограниченную учетную запись пользователя, чтобы из-под нее нельзя было получить доступ к секретной информации, в частности к закрытому ключу.

Может быть, имеет смысл создать в настройках браузера, сетевого экрана «белый лист» допустимых для загрузки сайтов?

В.В. Любезный: Конечно, ограничение круга посещаемых сайтов уменьшает риск заражения через ошибку в браузере. Но ведь и доверенный сайт создавали и поддерживают живые люди, а значит, его тоже могут взломать. Хакеры особенно любят сайты с высокой посещаемостью: поисковые системы, социальные сети общего назначения, развлекательные сайты, сайты знакомств. Но не обделяют вниманием и бухгалтерские сайты, отлично понимая, что эти сайты часто посещаются с компьютеров, оснащенных системами «Клиент-Банк».

Целесообразно ли выделить компьютер с системой «Клиент-Банк» в отдельную подсеть, невидимую для остальных пользователей локальной сети?

В.В. Любезный: Да, можно таким образом перенастроить корпоративную сеть. Однако сейчас практически любой серьезный антивирус содержит встроенный брандмауэр, настройками которого можно добиться того же эффекта: закрыть порты для входящих соединений, в том числе из локальной сети. Только надо периодически проверять, как работает эта защита.

Встроенный брандмауэр обычно есть и в программе «Клиент-Банк». Попросите вашего администратора включить максимально возможные опции защиты. В инструкции к программе «Клиент-Банк» обычно вполне доходчиво описано, какие именно установки следует сделать, это несложно выполнить даже без посторонней помощи.

Насколько эффективно и технически возможно полное отключение функций удаленного доступа?

В.В. Любезный: Думаю, это не очень повлияет на вашу безопасность, а лишь помешает администратору или сотруднику службы поддержки выполнять свои обязанности. У вредоносных программ — собственные способы сканирования и записи действий пользователя, и никакими настройками системы их не выключить. Блокировка посторонних соединений не мешает вредоносной программе записать собранную информацию, например, в файл, а по окончании блокировки передать запись злоумышленнику. Кроме того, система «Клиент-Банк» часто и так блокирует на время работы программы любые иные соединения с компьютером, так что лучше озаботиться ограничением трафика.

А если программно ограничить трафик «компьютер — сеть» (прописать в настройках только несколько допустимых IP-адресов для обмена трафиком: сайты банка, антивирусной программы и т. д.)? Или проводить соединение по коммутируемому доступу (не через Интернет)?

В.В. Любезный: Работа на выделенной технике по выделенному каналу (не через Интернет) практикуется во многих очень крупных и серьезных системах, где требуется обеспечить безопасность данных. Так что это очень хороший вариант. Работа через общий канал связи не дает такого уровня безопасности. Но ограничение трафика «компьютер — сеть» конкретными точками, конечно, серьезно затруднит злоумышленнику работу.

Банки часто рекомендуют согласовать с ними допустимые IP-адреса (или MAC-адреса) для отправки платежек через «Клиент-Банк». А если клиент пренебрегает таким советом и теряет деньги, суды нередко указывают на это: вы могли ограничить доступ (управлять счетом только с вашего компьютера), но не сделали это.
Гарантирует ли такая мера полную защиту?

В.В. Любезный: Не каждый провайдер может выдать каждому своему клиенту постоянный (статический) IP-адрес. А MAC-адрес компьютера, с которого происходит отправка сообщений в банк, некоторые программы «Клиент-Банк» в транспортный контейнер с платежкой и не включают. Но если у вас и банка есть возможность ограничить круг IP- и MAC-адресов, то используйте ее. Полной защиты это не гарантирует. Но вы сильно снизите риск хищения: банк просто не примет к исполнению платежки, отправленные со сторонних компьютеров.

В сочетании с ограничением трафика «клиентский компьютер — сеть» результат, думаю, будет очень хорошим. И это будет полностью соответствовать требованиям и рекомендациям банка. То есть вы таким образом примете максимально возможные меры предосторожности.

А как вы оцениваете установку на компьютере Linux-системы?

В.В. Любезный: На мой взгляд, всех проблем это не решит. Вредоносных программ под Linux немного, но это, прежде всего, потому, что популярность таких систем не очень велика. А «дырки» в защите тоже есть.

Получается, полной гарантии от взлома и воровства быть не может?

В.В. Любезный: Нет, но сочетание нескольких защитных мер все же сведет риск к минимуму. А главное — надо обеспечить непрерывный контроль за состоянием своего расчетного счета и операциями по нему. Любую несанкционированную операцию, даже «безобидный» запрос выписки, следует рассматривать как компрометацию ключа — немедленно сообщайте об этом в банк.

Если банк предлагает контроль за расходными операциями по счету путем SMS-оповещения, отказываться от этой услуги не стоит. При этом желательно занести в список контактов своего телефона, на который будут приходить SMS, номер телефона банковской службы поддержки. Тогда вы сможете быстро позвонить в банк и приостановить выполнение спорной операции. И другие операции с этим телефоном не совершайте — никаких MMS, электронной почты и т. д. Поверьте, это весьма небольшая плата за снижение риска хищения.

Другие статьи журнала «ГЛАВНАЯ КНИГА» на тему «Документооборот»:

2018 г.

2017 г.

2016 г.

ИНДЕКСЫ
Москва Индекс
потребительских цен

Используется
для индексации зарплаты

0.23%
октябрь 2018 г.
45000000
МРОТ
по регионам

Используется для
регулирования зарплаты

18 781

Примечание

История


Ставка
рефинансирования

Используется для
расчёта отдельных показателей

7.5%

История

ЕЖЕДНЕВНАЯ
НОВОСТНАЯ
РАССЫЛКА
ОПРОС
Как вы предпочитаете направлять в ИФНС заявление о зачете налоговой переплаты?
По телекоммуникационным каналам связи
Через личный кабинет налогоплательщика
Лично приносим в налоговую
По почте

РАБОЧИЙ СТОЛ БУХГАЛТЕРА

«ГЛАВНАЯ КНИГА»
РЕКОМЕНДУЕТ
Зимний конгресс ТАКСКОМПодписка на ГК