- О банке
- Информационная безопасность
- Правила безопасности для юридических лиц и ИП
Уважаемые клиенты!
За последние несколько месяцев в ряде российских банков были выявлены попытки хищения денежных средств с расчетных счетов корпоративных клиентов путем совершения платежей с использованием систем удаленного доступа ("Интернет-Банк", "Банк-Клиент").
О сложившейся ситуации
Анализ выявленных ситуаций показал, что хищения денежных средств с расчетных счетов осуществляются:
- ответственными сотрудниками предприятия, имевшими доступ к ключам ЭП, в том числе работающими или уволенными директорами, бухгалтерами и их заместителями;
- штатными ИТ-сотрудниками организаций, имевшими доступ к носителям с ключами ЭП (дискеты, флеш-диски, жесткие диски и пр.), а также доступ к компьютерам, с которых осуществлялась работа по системе удаленного доступа;
- нештатными, приходящими по вызову, ИТ-специалистами, выполняющими профилактику и подключение к Интернет, установку и обновление бухгалтерских и справочных программ, установку и настройку другого программного обеспечения на компьютеры, с которых осуществляется работа по системе удаленного доступа;
- злоумышленниками:
- создавалась заказная троянская программа для клиента конкретной системы (программного обеспечения пользователя), учитывающая особенности этой системы и не определяемая антивирусными средствами в связи с отсутствием ее сигнатур в базе вирусов. Эта программа рассылалась по почте или доставлялась иными средствами, с помощью вирусных технологий устанавливалась на компьютер и собирала с зараженного компьютера идентификационные данные владельца с его ключевой информацией, после чего рассылала эти данные по нескольким адресам. Обладая этой информацией, злоумышленники проводили снятие средств со счетов клиентов. После этого троянская программа на части компьютеров пользователей блокировала работу системного ПО, начинались проблемы с прикладным программным обеспечением, в результате чего владелец не мог работать. На некоторые компьютеры клиентов начинались DDOS атаки из сети Интернет. Таким образом, делалось все возможное, чтобы клиенты не могли проверить состояние своих счетов и блокировать фальшивые проводки. С юридической точки зрения банк проводил корректную операцию, поскольку электронные цифровые подписи, идентификаторы и пароли соответствовали данным владельца.
- с использованием средств социальной инженерии. Клиенты системы получили письма от имени банка о смене сервера. Способ рассылки писем различный - электронная почта, почта, экспресс почта. При этом имитировался бланк банка, письмо отправлялось от имени конкретного человека - первого лица банка, но без его личной подписи. При регистрации на новом сервере, имитирующем работающий сервер банка, требуется введение регистрационных данных и установка ключа. В этот момент злоумышленники получали доступ к этим данным для организации снятия средств со счетов клиентов. Эта схема тоже имеет несколько модификаций по причинам и способам получения данных.
Во всех выявленных случаях злоумышленники, получая доступ к ключам ЭП и паролям, направляли в банк платежные поручения с корректной электронной подписью.
Успешно прошедшие проверку ЭП, но при этом подозрительные, абсолютно не свойственные конкретному клиенту платежные поручения в большинстве случаев пресекались банковскими сотрудниками на этапе принятия решения об исполнении документов.
В то же время часть платежей, направленных злоумышленниками с использованием действующих ключей ЭП клиента, не вызывала подозрений у банка. Такие документы имели корректную ЭП, вполне обычные реквизиты получателей и типовое назначение платежа. Их исполнение банком приводило к хищению денежных средств с расчетного счета клиента. При этом вся ответственность за убытки безусловно и полностью возлагалась на клиента как единственного владельца ключей ЭП.
Внимание! Обнаружен троян, похищающий файлы с ключами ЭП клиентов системы электронного банкинга :подробнее >>
Важно понимать, что:
- Банк не имеет доступа к Вашим ключам ЭП и не может от Вашего имени сформировать корректную ЭП под электронным платежным поручением.
- Вся ответственность за конфиденциальность Ваших ключей ЭП полностью лежит на Вас, как единственных владельцах ключей ЭП.
О мерах по пресечению хищения и использования ключей ЭП
Если Вы сомневаетесь в конфиденциальности своих ключей ЭП или есть подозрение в их компрометации (копировании), Вы должны заблокировать свои ключи ЭП.
Внимание! Изменение пароля доступа к ключу ЭП не защищает от использования злоумышленником ранее похищенного ключа.
Банк настоящим еще раз информирует Вас о необходимости строгого соблюдения правил информационной безопасности, правил хранения и использования ключей ЭП и о необходимости ограничения доступа к персональным компьютерам, с которых осуществляется работа по системе удаленного доступа.
Действия злоумышленников направлены:
- на похищение файла с ключом ЭП;
- на похищение пароля доступа к ключу;
- на передачу в банк электронных платежных документов, заверенных похищенным ключом ЭП.
Чтобы воспрепятствовать хищению и использованию Вашего ключа ЭП злоумышленниками, требуется придерживаться приведенных ниже правил и рекомендаций.
Чтобы предотвратить хищение ключа ЭП и пароля доступа к ключу, необходимо:
- При получении от фирм, производящих регистрацию предприятия, в составе готового пакета документов ключей ЭП для доступа к системе удаленного доступа, необходимо блокировать полученные подобным образом ключи ЭП и предпринять действия по САМОСТОЯТЕЛЬНОМУ формированию новых ключей ЭП для доступа к системе.
- Использовать для хранения файлов с ключами ЭП отчуждаемые носители: дискеты, флеш-диски.
- Отключать, извлекать носители с ключами ЭП, если они не используются для работы с системой удаленного доступа.
- Ограничить доступ к компьютерам, используемым для работы с системой удаленного доступа. Исключить доступ к компьютерам персонала, не имеющего отношения к работе с системой удаленного доступа.
- На компьютерах, используемых для работы с системой удаленного доступа, исключить посещение интернет сайтов сомнительного содержания, загрузку и установку нелицензионного ПО и т. п.
- Не использовать ключи ЭП и другую аутентификационную информацию для входа в систему удаленного доступа с гостевых рабочих мест (интернет-кафе и т.д.).
- Перейти к использованию лицензионного ПО (операционные системы, офисные пакеты и пр.), обеспечить автоматическое обновление системного и прикладного ПО.
- Применять на рабочем месте лицензионные средства антивирусной защиты, обеспечить возможность автоматического обновления антивирусных баз.
- Применять на рабочем месте специализированные программные средства безопасности: персональные межсетевые экраны, антишпионское программное обеспечение и т.п.
- При обслуживании компьютера ИТ-сотрудниками - обеспечивать контроль за выполняемыми ими действиями.
- Не передавать ключи ЭП ИТ-сотрудникам для проверки работы системы удаленного доступа, проверки настроек взаимодействия с банком и т.п. При необходимости таких проверок только лично владелец ключа ЭП должен подключить носитель к компьютеру, убедиться, что пароль доступа к ключу вводится в интерфейс клиентского АРМа системы, и лично ввести пароль, исключая его подсматривание.
- При увольнении ответственного сотрудника, имевшего доступ к ключу ЭП, обязательно позвонить в банк и заблокировать ключ ЭП.
- При увольнении сотрудника, имевшего технический доступ к ключу ЭП, обязательно позвонить в банк и заблокировать ключ ЭП.
- При увольнении ИТ-специалиста, осуществлявшего обслуживание компьютеров, используемых для работы с системой удаленного доступа, принять меры для обеспечения отсутствия вредоносных программ на компьютерах.
- При возникновении любых подозрений на компрометацию (копирование) ключей ЭП или компрометацию среды исполнения (наличие в компьютере вредоносных программ) - обязательно позвонить в банк и заблокировать ключи ЭП.
Просим Вас при поступлении в Ваш адрес подобного рода письма или запроса якобы от лица АО «ВУЗ-банк», немедленно связаться со службой поддержки систем удаленного доступа по телефону или по электронной почте ibank@vuzank.ru.
Системы удаленного доступа АО «ВУЗ-банк» не запрашивают отдельный ввод ключевых данных для "проверки" и других несвойственных функций.
Если Вы заметили проявление необычного поведения ПО системы удаленного доступа или какие-то изменения в интерфейсе программы - незамедлительно позвоните в банк и выясните, не связаны ли такие изменения с обновлением версии системы. Если нет - заблокируйте ключи ЭП.
Правило 1
Используйте Интернет-банк с повышенным классом безопасности «Улучшенный»: полный набор инструментов, обеспечивающих максимальную защиту операций онлайн.
Правило 2
Не оставляйте носитель ключа проверки ЭП без присмотра – в случае утери или кражи немедленно свяжитесь с банком!
Правило 3
Используйте пароль к ключу проверки ЭП, который трудно угадать и который знаете только Вы.
Правило 4
Исключите доступ к компьютеру персонала, не имеющего отношения к работе с системой «Интернет-банк».
Правило 5
Используйте только лицензионное программное обеспечение и лицензионные средства антивирусной защиты.
Правило 6
При увольнении сотрудника, имевшего доступ к ключу проверки ЭП, позвоните в банк и заблокируйте ключ.
Правило 7
В случае подозрений на копирование cекретных ключей проверки ЭП, наличие в компьютере вредоносных программ позвоните в банк и заблокируйте ключи проверки ЭП.