Added by on 2017-07-27

Как защитить свои деньги

По совету одного из участников сообщества (и, конечно же, с разрешения автора уникального текста) публикуем рассказ о киберпреступлении, затронувшем одну в полной мере рядовую русского компанию. Целью атаки были, конечно, деньги на счету компании, а средством стала совокупность удаленного банковского обслуживания Клиент-Банк. Быть может, кому-то опыт сотрудника окажет помощь сохранить деньги и время.

Хакнули одного моего клиента. Списали с банковского счета приличную сумму денег, эквивалентную стоимости нескольких авто.

Фактически все предприятия на данный момент трудятся с банками через совокупность удаленного банковского обслуживания «Клиент-Банк». Вот через нее и хакнули.

Обрисовываю, как все случилось. Возможно, кого-то это спасет от утраты денег и времени. Сперва мало о том, что такое «Клиент-Банк», и как им пользуются.

Что такое совокупность «Клиент-Банк», и как она трудится

Совокупность «Клиент-Банк» — это программно-технический комплекс, владеющий рядом функций, нужных предприятию для дистанционного управления своим текущим счетом в банке.

Главные функции совокупности:

  • возможность проводить платежи со собственного счета в банке, не посещая банк, из офиса на рабочем месте, оборудованном ПК с установленным нужным программным обеспечением;
  • отслеживание денежных средств на текущем счете. Уполномоченный работник предприятия может, не выходя из офиса, осуществлять контроль перемещение средств на текущем счете;
  • получение выписки с текущего счета, и ежедневных официальных направлений зарубежных валют;
  • возможность вести справочник собственных контрагентов по платежам и справочник назначения платежа, каковые разрешают стремительнее вырабатывать платежные документы (отпадает необходимость заносить данные в любой документ — готовый шаблон переносится в платежный документ из справочников);
  • получение от банка уведомлений о новых банковских одолжениях, текущих процентных ставках по депозитам и кредитам, другой информации, которую банк рекомендует оперативно доводить до клиентов.

Совокупности «Клиент-Банк» принципиально подразделяются на 2 типа («Толстый и» Тонкий «клиент »):

Хороший тип совокупности Банк-Клиент («Толстый клиент»). На рабочей станции пользователя устанавливается отдельная программа-клиент. Программа-клиент хранит на компьютере все собственные эти, в большинстве случаев, это выписки и платёжные документы по квитанциям. Программа-клиент может соединяться с банком по разным каналам связи.

Чаще всего для соединения с банком употребляется прямое соединение либо через сеть Интернет.

«Узкий клиент» (Интернет-клиент) входит в совокупность через Интернет браузер. Совокупность Интернет-Клиент размещается на веб-сервере банка. Все сведенья пользователя (выписки и платёжные документы по квитанциям) дешёвы на сайте банка.

По технологии Интернет-Клиент строятся кроме этого совокупности для мобильных устройств (мобильный сайт банка) — PDA, смартфоны (Мобильный банкинг (mobile-banking). На базе Интернет-Клиент смогут предоставляться информационные сервисы с ограниченным комплектом функций. К недочётам совокупности относится прежде всего не сильный защищенность интернета от несанкционированного доступа.

Обеспечение безопасности совокупности «Клиент-Банк»

В этом случае использовался, конечно, «Толстый клиент», достаточно защищенный от несанкционированного доступа. Безопасность совокупности обеспечивалась следующим комплексом мероприятий:

  • на любой документ, пересылаемый от клиента в банк, накладывается электронная цифровая подпись (ЭЦП). Применение ЭЦП разрешает конкретно выяснить автора документа и обезопасисть документ от несанкционированного трансформации;
  • в совокупности употребляются сертифицированные Госслужбой особой связи и защиты информации программные средства управления ЭЦП.

    Для генерации ключей употребляется криптографический метод ГОСТ 34.310-95;

  • для наложения ЭЦП на электронные платежные и информационные документы в качестве носителя главной информации употребляется флэш-накопитель;
  • персональный ключ дополнительно защищен паролем, что знает лишь оператор совокупности «Клиент-Банк»;
  • все данные, пересылаемая от клиента банку и от банка клиенту, подвергается адресному шифрованию. Использование адресного шифрования разрешает сделать данные дешёвой лишь получателю-участнику конкретной пары «Клиент – Банк».

Как все случилось

Оператор совокупности «Клиент-Банк», как в большинстве случаев, включила компьютер, подключила флэш-накопитель, запустила программу и ввела пароль. Проверив остаток на счете, оператор занялась вторыми неотложными делами. И сейчас компьютер зависает.

С этого момента и начинается цепь действий, формально не являющихся нарушением правил работы с совокупностью «Клиент-Банк», но в следствии приведших к печальным последствиям для предприятия.

Сперва оператор пробует самостоятельно вернуть работоспособность совокупности, перезагружая компьютер. Но, это ей не удается. Позже она связывается с системообразующий администратором предприятия, что сейчас находится за городом. Через два часа по окончании начала происшествия системный администратор прибывает на место и, осознав, что неприятность с ОС Windows, делает ее откат. По окончании отката, лицензионный Windows внезапно делается нелицензионным.

Совокупность «Банк-Клиент» не запускается — не подходит пароль.

И лишь на данный момент предприятие связывается с банком, с целью смены пароля. По окончании смены посредством сотрудника банка пароля, запустив «Клиент-Банк», оператор контролирует остатки средств на счете и обнаруживает исчезновение денег. В совокупности значится платежное поручение, которое оператор не оформлял.

По этому платежному поручению деньги ушли на счет другого предприятия в второй банк. Но так как это всего-навсего электронный перевод, настоящие деньги все еще находятся в банке и их возможно вернуть!

К сожалению — нет. По данным обслуживающего предприятие работника банка, поступившие на счет другого банка деньги тут же были изъяты наличными по банковскому чеку. Все, финита ля комедиа!

Сейчас о том, что возможно было сделать, дабы последствия не были столь печальными

  • Во-первых, в соглашении с банком нужно предусмотреть максимально четкий метод сотрудничества работников предприятия и банка при происхождении любых обстановок, угрожающих безопасности совокупности «Клиент-Банк». В совершенстве — моментальное блокирование любого перемещения средств по счету клиента в определенных обстановках.
  • В соглашении с банком установить ограниченный максимум средств, каковые смогут быть списаны со счета предприятия без дополнительного согласования важными работниками предприятия и банка в телефонном режиме.
  • Установить, кто и за что несет ответственность при неисполнения указанного выше метода действий.
  • В должностной инструкции оператора совокупности «Клиент-Банк» установить обязанность срочно информировать руководство и банк предприятия о любых сбоях в работе компьютера, на котором установлена совокупность.
  • Для работы с совокупностью «Клиент-Банк» выделить отдельный, не задействованный более ни в какой второй работе компьютер. В совершенстве — на нем обязана находиться минимально допустимая сборка ОС + Клиент-банк.
  • Максимально обезопасисть компьютер с совокупностью «Клиент-Банк» от несанкционированного доступа из Интернет.

Ожидаем данные о итогах работы МВД, от которых сейчас полностью зависит финал данной истории.

Источник: smartsourcing.ru

Урок 3. Как защитить свои деньги от инфляции

Подобранные по важим запросам, статьи по теме:

Comments are closed.