/ Безопасность интернет-банкинга

Вконтакте

Одноклассники

Андрей Бирюков , специалист по информационной безопасности

Безопасность интернет-банкинга

С 1 января 2013 года вступают в силу требования Федерального закона №161 «О национальной платежной системе». Как это повлияет на услуги интернет-банкинга?

Сегодня никого уже не удивишь возможностью мгновенного выполнения банковских операций удаленно. Оплата счетов, денежные переводы – все это можно сделать сидя за компьютером благодаря системам интернет-банкинга. Но вместе с удобством пришли и проблемы. Прежде всего они касаются безопасности платежных операций.

Удаленные платежи

Интернет-банкинг для организаций – это услуги по управлению их счетами через глобальную сеть Интернет и веб-браузер. Типовые решения позволяют корпоративным клиентам отправлять в банк различные финансовые документы, такие как аккредитивы, платежные поручения, заявления и требования. При этом в интернет-банкинге предусмотрена возможность обмена между клиентами и банком информационными сообщениями с прикрепленными файлами.

Во многих современных решениях также предусмотрены функции обмена документами с бухгалтерскими программами клиентов, поддерживаются импорт и экспорт всех типов документов и отчетов через обмен файлами в текстовом и XML-формате, встроена поддержка «1С:Бухгалтерии».

Удобный банкинг

Стоит отметить, что интернет-банкинг – это не новая услуга, оказываемая банком, а лишь изменение формы обслуживания клиентуры.

Здесь можно провести аналогию с обслуживанием по телефону или пейджеру. Операции, осуществляемые банком в сети, те же самые, которые он оказывает в своих стандартных отделениях.

Вот основные преимущества интернет-банкинга:

• Интернет – наиболее конкурентная среда, поскольку позволяет совершать операции в режиме реального времени (мощные поисковые системы помогают клиенту анализировать условия услуг, предоставляемые различными банками, и выбирать наиболее оптимальное предложение);
• работает интерактивная среда, т.е. банк-робот, функционирующий без участия человека либо с минимальным участием;
• банк имеет возможность снижать издержки на содержание стандартных отделений и максимально оптимизировать стандартные банковские операции.

Системы интернет-банкинга позволяют не только автоматизировать прохождение платежей в режиме реального времени, но и повысить долю безналичных расчетов в денежном обороте, таким образом, уменьшить долю наличных платежей и всевозможных денежных суррогатов (бартер, взаимозачеты, налоговые освобождения).

А это в свою очередь будет способствовать увеличению налогооблагаемой базы.

Однако в отличие от живого общения здесь возникает целый ряд вопросов, связанных с обеспечением информационной безопасности.

Давайте узнаем, какова же типовая защита услуги интернет-банкинга?

Защищенный банк

Обычно банк обеспечивает гарантированный уровень безопасности, который содержит механизм ЭЦП (электронная цифровая подпись) под финансовыми документами.

Все данные шифруются с использованием национальных криптографических алгоритмов, осуществляется контроль целостности передаваемых данных.

В решении используется сертифицированная ФСБ криптобиблиотека, обеспечивается юридическая значимость электронного документооборота.

Предусмотрено гибкое управление правами организаций и их сотрудников. Для каждого корпоративного клиента по каждому типу документа настраивается необходимое количество ЭЦП.

Для проверки компьютеров, которые работают с интернет-банкингом, на наличие вирусного ПО предлагается использовать антивирусное программное обеспечение.

Для работы с интернет-банкингом необходимо иметь веб-браузер с установленной виртуальной машиной Java.

В общем, набор средств защиты типовой: электронная подпись, шифрование, целостность, рекомендации по использованию антивирусов.

Однако даже самые надежные средства защиты могут оказаться бессильными, если пользователи не выполняют требования по обеспечению информационной безопасности.

Поэтому, помимо чисто технических средств защиты, должны использоваться также и организационно-юридические средства, о которых и поговорим.

Закон есть закон

Федеральный закон №161 «О национальной платежной системе» определяет порядок деятельности «национальной платежной системы». В частности, определяются права и обязанности сторон, участвующих в деятельности системы.

Согласно этому Федеральному закону, субъектами национальной платежной системы являются банки, кредитные организации, выполняющие роль операторов при организации перевода денежных средств, а также юридические и иные лица, привлекаемые банками и кредитными организациями.

Кроме того, к субъектам относятся платежные агенты, которые имеют право принимать платежи от физических лиц, операционные организации и почтовые организации.

Закон определяет требования к этим субъектам, а также устанавливает регламентацию осуществления процедуры денежного перевода.

Законом устанавливаются и определенные ограничения, к примеру, ограничение на суммы, которые могут быть переведены с использованием электронных платежных систем.

Наибольший интерес сейчас вызывает статья №9, ее подпункты 11-16, которые вступают в силу с 1 января 2013 года. Кратко суть их сводится к тому, что в случае хищения денежных средств со счета клиента банк обязан возместить полную сумму похищенных средств. Поэтому банк заинтересован в успешном обнаружении мошенников и возмещении понесенных убытков.

Юридические тонкости

При этом не учтен ряд юридических моментов. Например, на законодательном уровне не определено место совершения преступлений с использованием ДБО.

Учитывая правоприменительную практику, местом совершения преступления часто считается место физического получения мошенником денежных средств (например, банкомат, находящийся в другой стране). При этом дело расследуется местными правоохранительными органами.

Если похищенные деньги выводят в нескольких регионах или даже государствах, то эффективно расследовать данное преступление практически невозможно.

В качестве решения эксперты предлагают законодательно закрепить, что местом совершения преступления должен быть определен оператор по переводу денежных средств или счет клиента, с которого деньги были похищены.

Другая проблема в том, что не существует принятого всеми порядка действий в случае выявления хищений денежных средств в системах ДБО.

В них расписан порядок для каждого субъекта, однако в существующей нормативной базе рекомендации малоприменимы, в частности, нет оснований требовать от клиента выполнения указанного порядка действий.

Необходимо доработать данные документы, приблизив их к реальности и снабдив юридическими инструментами влияния на клиентов.

Наконец, законодательством не определены основания для приостановления потенциально мошеннических платежей. Прежде всего для корпоративного сектора это может означать следующее: при осуществлении крупной сделки была произведена попытка оплаты, однако платеж был приостановлен по подозрению в мошенничестве. Сделка сорвалась. Клиент в судебном порядке потребовал от банка возместить убытки. Сейчас банк может сослаться только на ФЗ № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». Но других оснований для приостановления платежа нет.

Если не будет поправок

Если до конца 2012 года не выйдет новых поправок к закону, то банки должны быть готовы к следующему.

Если банк не отправляет уведомления о платежах (например, через sms), то он будет обязан возместить мошеннический платеж в любом случае.

Если банк отправляет уведомление, то есть всего два основания для отказа.

• Первое основание – если банк докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента.
• Второе основание – если клиент не направил в банк уведомление о несанкционированном платеже или отправил его позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции.

Как видно, с юридической стороны вопросами в обеспечении безопасности интернет-банкинга дела обстоят не так хорошо, как хотелось бы.

Таким образом, по крайней мере в ближайший год-полтора, пока не будет внесена ясность в закон, финансовым организациям придется рассчитывать прежде всего на технические и организационные меры по обеспечению безопасности интернет-банкинга.

Как происходит хищение

Основной задачей мошенников в банковской сфере является хищение и вывод средств. Для осуществления этого используют различные мошеннические схемы.

Для проведения нелегитимной транзакции обычно используют цепочку банков, расположенных в различных регионах. Операционист в банке может отслеживать счета, на которых имеются значительные средства, но по которым давно не было операций, и переводит, как правило, небольшие суммы в другие банки.

Применительно к интернет-банкингу такая схема, казалось бы, мало пригодна, ведь такой платеж осуществляется автоматически, без участия человека. Случаи с переводами значительных сумм, требующих дополнительных подтверждений со стороны плательщика, мы пока не будем рассматривать.

В крупных компаниях с интернет-банкингом работают сотрудники бухгалтерии. Как уже упоминалось, программное обеспечение, используемое для осуществления транзакций, хорошо защищено в соответствии с требованиями регуляторов, в отличие от компьютера бухгалтера. Очень часто это ноутбук, который сотрудник забирает домой, например, чтобы работать в выходные.

Как правило, у пользователя на домашнем компьютере есть административные права. Кроме того, немаловажным моментом является и тот факт, что клиентское рабочее место и программное обеспечение не подконтрольны банку, они находятся на территории клиента, физическая безопасность, техническое обслуживание и контроль также осуществляются у клиента. Банк может лишь давать рекомендации и предоставлять преднастроенное программное обеспечение.

В таких условиях вероятность заражения вредоносным кодом значительно возрастает. Если злоумышленники намерены осуществить адресную атаку, то есть похитить деньги со счетов данной компании, то они могут заранее выяснить, какое антивирусное программное обеспечение, персональный межсетевой экран и другие средства защиты используются на машинах сотрудников, и доработать свой вирус так, чтобы для этих приложений он был незаметен.

В результате троян спокойно живет на компьютере бухгалтера, злоумышленники беспрепятственно просматривают информацию о транзакциях, изучают, когда, какие суммы, в какие регионы проводятся платежи, и в определенный момент осуществляют несанкционированный перевод на нужный счет.

Затем украденные деньги быстро проводятся по цепочке левых банков и обналичиваются в другой стране.

Защита типовая и не очень

Типовая атака на интернет-банкинг – достаточно распространенная угроза. Например, в одной крупной российской компании сейчас расследуются три уголовных дела, связанных с хищением средств с корпоративных счетов через систему дистанционного банковского обслуживания посредством вирусов. Посмотрим, как банки защищаются от этих угроз.

При попытке осуществления транзакции операция проверяется по нескольким критериям:

• Доверенные/недоверенные контрагенты.
• Черные/белые списки.
• Платежи с юридических на физические лица.

Проверка на доверенность или недоверенность контрагента заключается в следующем: крупный платеж юрлицу, зарегистрированному менее месяца назад, будет подозрительным по определению. Однако небольшой платеж, например, меньше 100 000 рублей, проведенный злоумышленником, вполне может пройти.

Черные списки – это аналог рекомендаций ФЗ №115, здесь тоже блокируются все платежи юрлицами, замеченными в незаконной деятельности. Злоумышленникам достаточно зарегистрировать фирму-однодневку и использовать методы, описанные в предыдущем абзаце.

Платежи со счетов юрлица на счет физлица традиционно являются приемом ухода от налогов и незаконного обналичивания денежных средств. Поэтому такие операции по определению находятся под особым вниманием службы безопасности, и злоумышленники все реже используют этот метод.

Перейдем к более интеллектуальным средствам защиты и контроля операций интернет-банкинга.

В описании мошеннической схемы я упомянул, что злоумышленники могут некоторое время вести мониторинг операций, выполняемых юрлицом. Зачем это нужно?

Ведь чем дольше вредоносный код находится на машине, тем больше вероятность, что его обнаружат. Это действительно так, потому троян должен быть написан так, чтобы не определяться средствами защиты.

Но, с другой стороны, если сразу же после заражения произвести транзакцию, есть большая вероятность, что эта операция будет отклонена.

Поэтому, если хотя бы две недели последить за тем, кто из сотрудников осуществляет платежные операции, в какое время, по каким дням недели, в какие банки и на счета каких юрлиц, будет легче замаскировать нелегитимные транзации среди настоящих, а системам мониторинга банка сложнее их определить.

Профессиональные взломщики всегда знают меру. Поэтому после осуществления нескольких нелегитимных транзакций вредоносное программное обеспечение удаляется с компьютера. Таким образом, уничтожается, как правило, единственная улика, доказывающая факт нелегитимной транзакции.

Если впоследствии экспертиза не обнаружит на машине клиента никакого вредоносного кода, то в соответствии с вступающими в силу пунктами ФЗ банку придется возмещать клиенту украденные средства.

Если антивирус и другие средства защиты неэффективны в борьбе с такими угрозами, то необходимо больше внимания уделять средствам мониторинга.

Всевидящее око

При осуществлении мониторинга банковских транзакций, помимо описанных выше простых защитных мер, ключевым является анализ.

Здесь имеется в виду не только описанный ранее анализ надежности, черных списков и прочего, речь идет об интеллектуальном мониторинге процесса удаленных транзакций.

Принятие решения об отклонении проведения платежа складывается из множества факторов. Каждому такому платежу назначается некоторая цена. При наличии нескольких факторов цены суммируются. Если превышается некоторый порог, платеж отклоняется. Цена каждого фактора определяется опытным путем в соответствии с моделью рисков, используемой банком.

Приведу небольшой пример. Первый вариант. Пусть транзакция проводится в понедельник в 12 часов на счет юрлица, которому до этого никаких платежей не осуществлялось.

Второй вариант. Если транзакция производится в пятницу в 17 часов тоже юрлицу, с которым до этого не работали. Сумма в обоих случаях одинаковая и не слишком большая.

Казалось бы, действия одинаковые, но при анализе транзакций цены факторов должны быть разными.

В первом случае платеж проводится в понедельник в середине рабочего дня, вероятность того, что для проверки подтверждения платежа банк предпримет какие-либо дополнительные действия (например, перезвонит в бухгалтерию плательщика) довольно велика.

А вот вечером в пятницу это вряд ли будут делать, поэтому здесь цена соответствующих факторов – день недели и время – будет выше.

Доверенная среда

Давайте рассмотрим еще одно не совсем стандартное средство защиты, которое может использоваться на стороне клиента.

Итак, мы уже договорились, что у клиента все плохо: на компьютере бухгалтера административные права, есть доступ в Интернет, антивирус обновляется не регулярно. И самое главное, администраторы и специалисты ИБ клиента не хотят/не могут ничего с этим сделать. Казалось бы, единственный вариант действий в такой ситуации – банку отказать данному юрлицу в предоставлении услуг интернет-банкинга: слишком велика вероятность хищения средств с его счетов.

Однако с развитием ИТ появились новые варианты решения данной проблемы. Например, существуют специальные USB-накопители, произведя загрузку с которых, пользователь оказывается в безопасной среде.

Выглядит это следующим образом. После инициации загрузки с USB на рабочее место будет произведена загрузка эталона операционной системы, в которой пользователю предоставляется доступ только к целевому приложению. Доступа к операционной системе пользователь в ходе сеанса не получает. Среда выгружается сразу после выхода пользователя из целевого приложения, причем никаких следов работы пользователя в системе (cash-, swap-, временные файлы) не остается. При этом сам образ ОС на USB-накопителе хранится в блоке памяти, доступном только для чтения.

Таким образом, гарантируется целостность данных и программного обеспечения. Даже если на машине есть какой-либо вредоносный код, после загрузки с данного носителя он не сможет перехватывать информацию о действиях пользователя.

Практическим примером реализации такого решения является среда построения доверенного сеанса МАРШ! . Это средство ориентировано не только на интернет-банкинг, но и на другие области, где требуется доверенная среда.

Другое, аналогичное, решение с говорящим названием ТЕЛЕБАНК ориентировано именно на банковскую среду. Оно также базируется на использовании USB-носителя и эталонной ОС, но после загрузки в ней доступен лишь браузер Microsoft Internet Explorer с заранее записанным URL Web Server системы интернет-банкинга. Решение не позволяет ввести пользователю URL, отличный от заданного, при конфигурировании доверенной среды.

Контроль доступа

Еще одним способом не допустить к работе с сервером интернет-банкинга являются решения по обеспечению контроля доступа на сетевом уровне Network Admission Control.

Общий принцип таких систем в контексте интернет-банкинга заключается в следующем. На рабочее место клиента устанавливается агент, который при соединении с сервером банка сообщает ему, какие средства защиты установлены на компьютере: есть ли антивирус, когда его база последний раз обновлялась, какие обновления ОС установлены. На основании этой информации принимается решение, подключать ли данного пользователя к серверу или потребовать устранения выявленных недостатков в защите.

Вконтакте

Сегодня около 80% крупных и средних банков предлагают своим клиентам сервис онлайн-банкинга, и те охотно им пользуются. Однако крупные сбережения становятся желанной и, оказывается, не самой трудной добычей для хакеров и других мошенников.

К примеру, недавно в Европе была поймана группа преступников: с помощью фальшивых кредитных карт они обналичивали отправленные на офшорные счета деньги. Из того же разряда история о русских хакерах в США, за несколько лет похитивших со счетов состоятельных американцев более 1,5 млн долларов. Преступление раскрыли, только когда злоумышленники задумали покуситься на 2,7 млн долларов, принадлежащих одному известному отельеру.

Проблема не обошла стороной даже банковскую «столицу» мира Швейцарию. Многие помнят историю о том, как сын богатого швейцарца добрался до счета своего отца. Банк, сохраняя бдительность, запросил у владельца подтверждение транзакции, но слишком поздно: деньги уже были переведены. И самое печальное в том, что долгие расследования и разбирательства привели к возврату только 70% снятой суммы, рассказывает управляющий директор Optima Infosecurity Неманья Никитович.

В конце октября 2012 года появились новые угрозы от хакера под говорящим псевдонимом vorVzakone. Он заявил о своем плане «Блицкриг», суть которого сводилась к атаке банковской системы США. Примечательно, что его усердная работа уже обогатила героя на 5 млн долларов за счет клиентов тех же американских банков. В целом, по данным ФБР, к концу октября бюро расследовало около 230 случаев электронного мошенничества против американских банков: речь идет о попытке хищения свыше 255 млн долларов и фактическом убытке примерно на 85 млн долларов. А как раз сейчас в США идет суд над русскими мошенниками, обвиняемыми в махинациях с поддельными счетами и кредитками. Предполагается, что их целью были исключительно богатые люди.

Догоняя Запад

Практика показывает, что европейские и американские банки пока не способны обеспечить полноценную защиту счета клиента. Возможно, вопреки сво­ему желанию, но они вынуждены регулярно заявлять о фактах мошенничества и о борьбе с ними – такие правила диктуют закон и регуляторы. «Заметьте, мы никогда не слышим о последствиях, – рассказывает Ашот Оганесян, chief technology officer компании DeviceLock. – И это потому, что на деле совершенно неважно, украли деньги или нет. Клиент не чувствует проблемы: все его средства застрахованы и, значит, будут ему возвращены». Поэтому они могут сохранять спокойствие: сомнений в компенсации не возникает.

Судя по всему, даже такие условия не служат гарантией полного возврата денег, и банки обязаны информировать клиента обо всех рисках онлайн-банкинга заранее. «Конечная ответственность лежит на организации, внедрившей сервис, – рассказывает Ричард ван Оеффел, владелец нидерландской компании VOC Consultancy. – Попытка обвинить клиента в том, что он неверно пользовался Интернетом или компьютером, глубоко порочна: клиенту может быть 80 лет, или у него плохое зрение, или что-нибудь еще». По­этому банк должен направить свои действия не только на усиление мер защиты онлайн-банкинга, но и на повышение степени информированности клиентов.

России в этой сфере гордиться нечем: хищение денег с карты остается проблемой ее владельца. И если вдруг такое происходит, жертвам мошенников приходится доказывать свою правоту в суде. Ричард ван Оеффел отмечает, что случаи невозврата украденных средств у нас до сих пор не редкость, однако российские банки уже перенимают прогрессивный европейский опыт. С нового года в силу вступает закон о национальной платежной системе, который полностью перекладывает ответственность за сохранность сбережений на банк. Эксперты полагают: нововведение изменит соотношение рисков в системе добровольного банковского обслуживания. «Для пользователей закон гарантирует большую сохранность их средств, – поясняет Неманья Никитович. – Для банков, напротив, возникают новые риски и увеличиваются расходы на информационную безопасность». К таким перспективам банки уже готовятся. Но чего ждать состоятельным клиентам?

По ту сторону безопасности

Актуальную для себя проблему информационной безо­пасности банки не любят афишировать, хотя больше остальных знают, чего стоит бояться клиентам. «Наиболее массовый вид мошенничества в банковской сфере – с кредитными картами, – утверждает Неманья Никитович. – Ни для кого не секрет, что данные кредиток можно получить не только из системы онлайн-банкинга, но и, например, на черном рынке». Вторые по популярности – инциденты, связанные с кражей конфиденциальной информации.

Магнитные хакеры, трояны и подобные программы регулярно атакуют инвестиционно-банковскую систему. Ашот Оганесян утверждает, что в последнее время такие взломы наиболее характерны для российского рынка. С этим не спорит Ричард ван Оеффел и добавляет, что если раньше был распространен банальный фишинг, то сейчас в моду вошли узконаправленные атаки типа Man in the Middle, Man in the Browser и Man in the Mobile. У них один принцип: мошенник внедряется в канал связи между банком и клиентом и выдает себя за пользователя, копируя его личные данные. Именно поэтому сейчас в мире все большее распространение получают технологии противодействия этим атакам, основанные на аутентификации пользователя.

Своевременная забота о системах информационной безопасности входит в компетенцию банка. «Наиболее распространены сегодня системы скретч-карт, генерации пароля при помощи SMS и хранения кода на бумажных носителях, – объясняет Неманья Никитович. – Однако ни одна из них не совершенна: скретч-карта снабжена заранее неизменяемым списком паролей и неудобна, потому что ее легко потерять. Такие же проблемы у бумажных носителей. Генерация пароля при помощи SMS , в свою очередь, создает риск его перехвата и заражения телефона вредоносным ПО». Получается, что современные технологии защиты не создают злоумышленникам серьезных проблем.

Эксперты советуют внедрять инновации, которые если и не обеспечат полной сохранности денег, то заставят мошенников помучиться. В России такие решения пока только формируются. «На Западе рынок осваивает новую технологию – карты с дисплеем, – рассказывает Никитович. – Обычная пластиковая карта, генерирующая уникальный одноразовый пароль (one time password, ОТР) для работы в системе интернет-банкинга». Ашот Оганесян также поддерживает идею строгой мультифакторной аутентификации, а Ричард ван Оеффел напоминает о технологии, подтверждающей (или не подтверждающей) географическое присутствие клиента в месте совершения транзакции. «Они работают против списания денег в Майами, в то время как клиент мирно спит в Га­аге», – поясняет он.

Сбереги себя сам

Действительно, владельцу крупного капитала в России в вопросах сохранности личных финансовых активов рискованно полностью доверяться банкам. Нехорошо забывать об элементарном хеджировании рисков и распределении средств на несколько счетов, советует Никитович. Не будет лишним хотя бы немного разбираться в системах информационной безопасности и выбирать банки, не экономящие на развитии и использовании самых передовых разработок. Чем совершеннее будет система онлайн-банкинга, тем удобнее она окажется для конечного пользователя.

Даже с приходом новых правил на российский рынок проявить бдительность все-таки придется. Спокойный сон и избавление от лишних проблем – это, конечно, хорошо. И банк сделает все возможное, чтобы не нарушить гармонии вашей жизни. Но будет не лишним и подстраховаться. Ведь никому нельзя доверять как себе, верно?

Интернет-банк – это безопасно?

• Чулан *

В последнее время я все чаще стал слышать от своих знакомых вопросы: “А ты пользуешься интернет-банком?”, “А это безопасно?” и т.д.

Да, я пользуюсь интернет-банкингом уже около 6 лет, от года к году все больше и к этому быстро привыкаешь. Банки предоставляют возможность не только делать платежи через свои онлайн системы, но и открывать вклады, брать кредиты и, самое главное, экономить нервы и время, избегая посещения отделений.

Подробно описывать удобства и преимущества интернет-банков, наверное, не стоит, они и так понятны. Но почему появляются такие вопросы и почему не все еще пользуются этими системами?

Ответ простой - это страх. Мы боимся за свои накопления, за конфиденциальность информации. И это понятно. Используя пластиковую карту (кредитную карту) или интернет-банк, Вы потенциально “открываете” злоумышленникам лазейку к Вашим сбережениям.

Что безопаснее: интернет-банк или пластиковая карта? Я могу сказать однозначно: интернет-банк безопаснее. Дело в том, что для совершения оплаты с помощью пластиковой карты в интернете Вам (или злоумышленнику) достаточно знать номер карты, имя владельца, дату закрытия карты и CVV код. Фактически достаточно у Вас её сфотографировать, чтобы в дальнейшем с неё списать деньги через любой интернет-магазин. Хотя у карт тоже есть способы себя обезопасить (дневные лимиты, запрет на операции в интернете, не доставать карту в публичных местах).

Современные интернет-банки используют целый комплекс мер для обеспечения безопасности ваших сбережений:

Как видите, системы для управления финансами имеют достаточно сильные и разнообразные средства для борьбы с хищением средств. Я перечислил наиболее популярные, которые, считаю, должны быть в любом интернет-банке. Крупные банки постоянно ведут разработку и исследования, связанные с повышением безопасности, поэтому этот список в дальнейшем обязательно будет расширяться, а я буду стараться рассказывать Вам о таких средствах и их эффективном применении.

Самое главное помнить, как бы банки не старались нас защитить, важно самим быть бдительными и как минимум использовать элементарные правила:

1. Заходя на сайт интернет банка, проверять сертификат этого сайта. Как правило, если сертификат верный и главное он есть, поле для ввода адреса выглядит зеленым. На него нужно нажать и во всплывающем экране проверить название банка.
2. Никогда не сохранять логин и пароль в браузере.
3. Обязательно установить на компьютер антивирус.
4. Для серфинга по интернету используйте последние версии браузеров.
5. Регулярно устанавливайте обновления безопасности для операционной системы.

Теги: интернет-банкинг, безопасность, управление финансами

По утверждениям экспертов, основная и самая главная угроза, подстерегающая любого пользователя Интернет-банкинга - это риск мошеннического взлома и несанкционированного доступа к средствам на счете. «Единственной существенной опасностью, которая может подстерегать пользователей этих систем, является риск противоправного завладения их денежными средствами злоумышленниками, с использованием возможностей систем «Интернет-банкинга», впрочем, как и любых иных типов систем дистанционного обслуживания», - рассказывает Егор Изотов, начальник отдела информационно-технической защиты Пивденкомбанка.

А потому банки стараются использовать различные системы и механизмы, призванные если не гарантировать, то, по крайней мере, повысить безопасность использования онлайн банкинга.

Шифрование данных

На сегодня уже всеми или почти всеми банками, предоставляющими услугу Интернет-банкинга, применяется SSL-шифрование данных, передаваемых от компьютера пользователя в систему банка и обратно. Эта мера безопасности позволяет исключить распространенный ранее вид мошенничества. «Раньше часто использовалась схема «man in the middle»: данные о платеже перехватываются на этапе, когда они отправлены от клиента, но еще не дошли в банк. Мошенник меняет данные и только после этого отправляет их в банк», - рассказывает Борис Косяков, начальник управления информационной безопасности Астра Банка.

Чтобы воспользоваться всеми преимуществами защищенной передачи данных, следует соблюдать элементарные меры безопасности в Интернете - не реагировать на подозрительные сообщения (полученные якобы от вашего банка) и не переходить по неизвестным ссылкам.

Одноразовые пароли, получаемые в банкомате

При такой системе защиты, кроме обычного логина и пароля, для входа в систему и подтверждения операций пользователь должен ввести одноразовый пароль, список которых он может получить в банкомате своего банка.

С точки зрения безопасности такая система имеет преимущество - чтобы совершать операции по карточному счету через интернет-банкинг, лицо должно как минимум иметь в наличии непосредственно саму карту, а также знать ПИН-код, чтобы получить список паролей в банкомате.

Вместе с тем нельзя не отметить ряд недостатков такой системы защиты. Во-первых, список паролей, распечатанный в виде чека из банкомата, вам придется хранить для подтверждения будущих операций. А это значит, что если вы случайно потеряете или выбросите чек (или просто используете все пароли), вам придется идти за новым. Зачастую список паролей можно получить далеко не в каждом банкомате банка, и вполне вероятно, что вам придется ехать за ним на другой конец города. К тому же, списком могут завладеть злоумышленники.

Если ваша система интернет-банкинга предусматривает использование списка одноразовых паролей, постарайтесь придерживаться простых правил. Во-первых, не выбрасывайте список паролей и по возможности старайтесь его не терять. Во-вторых, не храните список одноразовых паролей вместе с логином и паролем от вашей учетной записи. Последний вовсе не рекомендуется записывать, лучше запомнить.

Одноразовые СМС-пароли

Этот способ аутентификации пользователя в системе интернет-банкинга является едва ли не самым распространенным в предложениях украинских банков. При такой системе каждая операция, которую вы совершаете с помощью онлайн банкинга, должна быть подтверждена одноразовым паролем, который вы получите в СМС-сообщении на ваш мобильный телефон. При этом ваш мобильный номер должен быть «привязан» к номеру счета.

Такая система имеет ряд преимуществ. Во-первых, она достаточно проста в использовании - вам не нужно специальное оборудование, а процедура подтверждения операции занимает всего пару минут. Во-вторых, она позволяет обезопасить вашу учетную запись от использования злоумышленниками - даже если мошенникам станет известен ваш логин и пароль для входа в систему, они не получат доступ к вашим деньгам, а вы узнаете о попытке провести несанкционированную операцию из СМС-сообщения. Кроме этого, вам не нужно хранить список одноразовых паролей, а значит, вы не сможете его потерять, и у вас его не украдут.

На этом преимущества системы заканчиваются. Действительно, злоумышленникам довольно сложно завладеть одноразовым паролем, действующим в течение короткого времени. Если только они не завладели вашим мобильным телефоном. И совсем бесполезной система будет в том случае, если вы пользуетесь интернет-банкингом с мобильного телефона и сохраняете пароли в браузере. Тогда, украв у вас телефон, мошенник получит ваш счет в полное распоряжение.

Если ваш банк использует аутентификацию пользователя по СМС, постарайтесь придерживаться таких правил:

• не пользуйтесь Интернет-банкингом с мобильного телефона;
• не сохраняйте пароль от учетной записи в браузере;
• в случае потери или кражи мобильного телефона - немедленно обратитесь в банк с просьбой заблокировать вашу учетную запись Интернет-банкинга.

Электронная цифровая подпись (ЭЦП)

Этот механизм чаще используется при обслуживании банками компаний, но иногда его предлагают и индивидуальным клиентам. Плюс ЭЦП в том, что она позволяет однозначно идентифицировать пользователя. Недостаток же заключается в том, что ЭЦП также может быть уязвима для мошенников. Злоумышленники могут добраться до ключа от вашей цифровой подписи, заразив ваш компьютер вредоносным программным обеспечением. «Существуют «трояны», умеющие находить и красть на зараженном компьютере аутентификационные данные (идентификаторы, пароли и даже ключи ЭЦП) пользователей для доступа к различным сервисам (в том числе и серверам удаленного обслуживания клиентов банков)», - рассказывает Борис Косяков.

Если для подтверждения ваших финансовых операций через интернет вы используете ЭЦП, не забывайте пользоваться антивирусными программами и регулярно проверять ваш компьютер на предмет заражения компьютерными вирусами. Также эксперты не советуют оставлять ключ ЭЦП подключенным к компьютеру, если вы его не используете.

Внешние электронные устройства

Некоторые банки предлагают пользователям онлайн банкинга приобрести (или взять в аренду) специальное устройство - генератор одноразовых паролей. Генератор подключается к компьютеру через usb-порт и не требует специального программного обеспечения.

Другие учреждения предлагают использовать внешний электронный ключ, который генерируется при первом подключении к системе Интернет-банкинга, записывается на внешний носитель и затем используется при проведении операций в системе.

Такие системы, по сути, являются упрощенной версией ЭЦП. Среди недостатков их можно выделить то, что вы не сможете получить доступ к своему счету, не имея под рукой «ключа», а всегда носить его с собой может быть не очень удобно и безопасно.

Помимо перечисленного выше, банки зачастую применяют дополнительные меры для обеспечения безопасного пользования интернет-банкингом:

• ограничение использования личного сертификата - система некоторых банков позволяет использовать электронный ключ (электронный сертификат) только на том компьютере, на котором он был сгенерирован. Таким образом, осуществлять платежи через Интернет-банкинг вы сможете только со своего личного компьютера (хотя просматривать выписки по счету можно и на других устройствах);
• виртуальная клавиатура - предназначена для того, чтобы мошенники не могли «считать» ваши регистрационные данные при вводе их с обычной клавиатуры с помощью компьютерных вирусов («троянов»);
• ограничение длительности сессии - в случае неактивности пользователя, сессия в системе Интернет-банкинга через определенное время (обычно 10-15 минут) будет закрыта. После этого для возобновления работы потребуется заново пройти аутентификацию;
• история подключений - с помощью этой функции пользователь Интернет-банкинга узнает, если кто-то кроме него подключался к системе, а также сможет отследить все несанкционированные операции, если они были произведены.

Многое зависит от пользователя

Эксперты отмечают, что чаще всего причиной мошеннического доступа к счету пользователя Интернет-банкинга является невнимательность и неосторожность самого пользователя. А потому, чтобы избежать возможных проблем, владельцу учетной записи следует беречь данные доступа к ней. Во-первых, эксперты советуют периодически изменять пароли для доступа в систему, желательно делать это раз в месяц и не использовать Интернет-банкинг на непроверенных компьютерах (например, в Интернет-кафе).

Помимо этого, следует соблюдать осторожность при работе в Интернете. «Мошенники широко используют приемы «социальной инженерии» для того, чтобы выманить аутентификационные данные (логин, пароль и т.д.) клиентов. Наиболее старый метод - «фишинговые» письма электронной почты, которые провоцируют получателей отправить свои аутентификационные данные злоумышленникам или предлагают пройти по ссылке на мошеннический сайт. С ростом популярности социальных сетей («Одноклассники», Twitter, Facebook) мошенники тут же начали использовать для «фишинга» сообщения социальных сетей. Также злоумышленники создают подложные копии сайтов для Интернет-банкинга с именами, очень похожими на настоящие», - поясняет Борис Косяков. И если вы введете на таком сайте данные своей учетной записи, то они тут же попадут в руки к мошенникам.

Если у вас возникли опасения, что мошенники получили доступ к вашему счету через Интернет-банкинг, эксперты советуют предпринять следующие действия:

• отключить компьютер от Интернета;
• обратиться в контакт-центр (а при необходимости - в отделение) вашего банка, изложить проблему и попросить заблокировать вашу учетную запись;
• проверить компьютер на предмет заражения вредоносным программным обеспечением;
• возобновить работу с системой онлайн банкинга только тогда, когда вы убедились, что угроза отсутствует;
• сменить пароль от учетной записи.

Если ваши подозрения оправдались, и со счета были списаны несанкционированные вами платежи, следует составить заявление о произошедшем в банк и в правоохранительные органы. В этом случае не рекомендуется совершать никаких действий на вашем компьютере (устанавливать или удалять программное обеспечение и т.п.) до прибытия сотрудников правоохранительных органов или специалистов банка, поскольку любые изменения могут помешать расследованию инцидента.

Системы безопасности Интернет-банкинга, используемые крупнейшими украинскими банками (банки в таблице расположены по размеру активов):

Другие опасности

Помимо риска мошеннического взлома, пользователь Интернет-банкинга подвергается и другим угрозам. Например, нежелательное списание средств через Интернет-банкинг может произойти, если пользователь сам неправильно ввел данные для отправки денег.

«Если клиент при отправке платежа через Интернет-банкинг допустил ошибку в номере счёта, то процедура возврата такого платежа ничем не отличается, как если бы платёж был отправлен при посещении отделения банка. Увидев, что платеж в системе Интернет-банкинга отправлен ошибочно, клиент должен уведомить об этом свой банк», - комментирует Юлия Морозова, директор департамента развития карточного бизнеса VAB Банка.

Эксперты отмечают, что успешность исправления такой ошибки в первую очередь зависит от скорости реакции на нее самого пострадавшего. Если ваши средства еще не были отправлены в банк получателя, то вы получите их назад почти сразу. Если платеж уже поступил в другой банк - то придется немного подождать. «Если деньги были отправлены в другой банк на счет юридического лица, то в связи с тем, что остальные реквизиты не соответствуют счету, деньги будут возвращены в течение трех дней либо на основании заявления», - рассказывает Ростислав Божко, ведущий специалист управления альтернативной дистрибуции МАРФИН БАНКА. Впрочем, возврат средств может затянуться и на более длительный срок. «Точные сроки возврата в данном случае будут зависеть от банка получателя. То есть, как только банк-получатель вернет средства банку-отправителю, средства будут зачислены на счет клиента», - поясняет Юлия Морозова.

Сложнее всего дело обстоит в том случае, если деньги были отправлены на счет физического лица и уже поступили на его счет. «Если денежные средства были зачислены получателю, то согласно п.1.7. и 1.19. Инструкции НБУ «О безналичных расчетах в Украине в национальной валюте» №22 от 21.01.04г. распорядителем средств является владелец счета. Соответственно, письмо с просьбой вернуть ошибочно перечисленные средства на счет клиента необходимо направлять получателю средств», - рассказывает Егор Изотов. В таком случае вернуть свои деньги вы сможете либо с согласия получателя, либо по решению суда.

Впрочем, Интернет-банкинг не застрахован и от других рисков, к возникновению которых люди не причастны. Например, если во время проведения операции возникнет технический сбой. Эксперты уверяют, что такой риск не несет большой угрозы для владельца счета. «Системы Интернет-банкинга, как, и любые иные современные системы обработки данных, устроены таким образом, что в случае технического или программного сбоя в процессе транзакции документ просто не будет принят банком», - рассказывает Егор Изотов. Но даже если неверная операция все же была проведена - стоит сразу же обратиться в банк для исправления ошибки. «Если при осуществлении перевода произойдет сбой в транзакции, то о таком сбое достаточно проинформировать банк и средства будут возвращены на счет в кратчайшие сроки», - уверяет Ростислав Божко.

В то же время, пользователь Интернет-банкинга может столкнуться и с гораздо белее неприятной ситуацией. Так, по сообщениям в СМИ, клиент одного из российских банков в начале 2009 года попал в неприятную историю, когда одноразовые пароли на подтверждение платежей в системе Интернет-банкинга присылались не на его, а на чужой номер мобильного телефона. В результате, мошенниками со счета были списаны крупные суммы денег. Пострадавший уверен, что в инциденте замешаны сотрудники банка, ведь только они могли не просто сообщить злоумышленникам регистрационные данные (логин и пароль от учетной записи), но и отправлять им разовые пароли.

Опыт пострадавшего в этой ситуации показывает, что доказать что-то в таких обстоятельствах довольно сложно. Скорее всего, придется обращаться в суд, а его решение будет во многом зависеть от содержания договора, подписанного с банком. Впрочем, эксперты отмечают, что такого вида мошенничество не связано напрямую с использованием Интернет-банкинга, ведь в присутствии недобросовестного сотрудника мошенники могли с таким же успехом оформить поддельное платежное поручение.

Мнение

Юлия Морозова, директор департамента развития карточного бизнеса

Для предоставления качественных услуг своим клиентам банки сегодня обеспечивают наивысший уровень защиты передачи данных. Используются web-сервис с сертификатом безопасности https://, есть требования к паролю для входа в систему. Для подтверждения проведения каждой операции запрашивается введение одноразового пароля. В системе внедрена генерация ключей электронной цифровой подписи. При нескольких неудачных попытках регистрации в системе учетная запись автоматически блокируется.

Для исключения перехвата конфиденциальных данных вирусными программами советуем пользоваться виртуальной клавиатурой при наборе логина и пароля.

Ростислав Божко, ведущий специалист управления альтернативной дистрибуции

• использовать антивирусное программное обеспечение и межсетевые экраны (файрволы), известных производителей
• ограничивать доступ к компьютерам, с которых ведется работа с системой Интернет-банкинг, посторонним лицам;
• не работать на компьютере, с которого выполняется работа с системой Интернет-банкинг, с правами системного администратора;
• не использовать для работы в сети Интернет и в системе Интернет-банкинг не проверенные компьютеры (например, в Интернет-кафе), на которых может быть установлено вредоносное программное обеспечение.

Борис Косяков, начальник управления информационной безопасности

Что делать клиенту, если его учетную запись взломали?

В первую очередь нужно отключить взломанный (зараженный) компьютер от сети и сообщить об этом в банк, чтобы заблокировать учетную запись клиента для предотвращения мошенничества.

Обеспечить сохранность всех необходимых данных для дальнейшего расследования - ничего не изменять на взломанном (зараженном) компьютере.

Для расследования привлекать квалифицированных специалистов (из банка или специализированных фирм). Только квалифицированное расследование и выяснение причины поможет избежать подобных инцидентов в дальнейшем.

Егор Изотов, начальник отдела информационно-технической защиты

Практика показала, что злоумышленники чаще всего не пытаются взламывать компьютерные сети банков, а захватывают управление компьютерами клиентов, и, получая доступ к ключам электронно-цифровой подписи и паролям доступа, осуществляют платежи от их имени.

Следовательно, достаточно надежная схема безопасности должна решать следующий минимальный набор задач:

1. Создание безопасной, доверенной и неизменной среды функционирования системы дистанционного обслуживания на стороне клиента банка. Никакие изменения в рабочем коде среды и ее настройках, возникшие в процессе функционирования системы, не должны сохраняться при выключении системы. В этом случае, даже если злоумышленник и получит каким-то образом удаленный доступ к этой среде в процессе ее функционирования, он не сможет завладеть ею на постоянной основе;
2. Создание защищенного от несанкционированного доступа канала передачи информации между клиентом и банком;
3. Обеспечение условий, не допускающих хищение ключей и паролей, применяемых для работы в системе дистанционного обслуживания.

Этим критериям соответствует специальный компьютер, виртуальный, получаемый путем загрузки со специального неизменяемого системного носителя, или «обычный», но, в любом случае - узкоспециализированный, решающий только одну-единственную задачу: обеспечение работы системы дистанционного обслуживания. Такие решения, в разработке которых довелось принимать участие специалистам нашего банка, уже существуют, к сожалению - не на Украине.

Анджей Олейник, директор по маркетингу и развитию продуктов

Банки прилагают максимум усилий для того, чтобы технические средства системы Интернет-банкинга защищали денежные средства и финансовую информацию пользователей от злоумышленников. Конечно, все эти сложные и дорогие системы наиболее эффективно работают в комплексе с ответственным и внимательным отношением пользователя к своим паролям, ключам электронно-цифровой подписи и другим средствам защиты, предлагаемым банками. Мы рекомендуем соблюдать несколько простых правил безопасности, которые обеспечат секретность личных данных клиента и сохранность его денег:

• никому не сообщать свой пароль. Сотрудники банка никогда, ни при каких обстоятельствах не запрашивают пароли пользователей;
• не сохранять ключ электронно-цифровой подписи на чужих компьютерах;
• избегать проведения платежей или смены паролей с компьютеров, к которым имеет доступ множество людей (компьютеры в интернет-клубах, залах ожидания на вокзалах, аэропортах и т.п.);
• если пользователю показалось, что кто-то подсмотрел его пароль, необходимо сразу уведомить банк и заблокировать доступ в систему;
• если клиенту все же не удалось обеспечить секретность своих данных, первое что он должен сделать - это проинформировать банк о случившемся. Банк заблокирует доступ пользователя в систему и счета клиента, чтобы избежать финансовых потерь. Клиенту будет необходимо составить заявление, в котором он укажет обстоятельства случившегося. Расследование таких событий проводит служба безопасности банка совместно с правоохранительными органами.

Распространенность интернет-банкинга и пластиковых карт среди населения, сделала данную сферу привлекательной для мошенников. Количество клиентов банков, пострадавших от злоумышленников, постоянно увеличивается. Для того чтобы изменить тенденцию, «Сбербанк» применяет на своих пластиковых продуктах специальную технологию защиты – 3D Secure.

Предназначение технологии

Сегодня существует большое количество интернет-площадок, занимающихся торговлей. Для расчета в них используются пластиковые карты. Многие мошенники пользуются незащищенностью таких площадок, воруя средства лиц, осуществляющих покупки. Для предотвращения подобного была создана система 3D-Secure.

Первоначально она была разработана компанией Visa и получила название – Verified by Visa. Немного позже подобная система была принята и платежной системой MasterCard. Несмотря на то что технология была создана относительно давно, современные российские банки очень медленно внедряют ее на отечественном финансовом рынке. Одним из предприятий, подключающих своих клиентов к данной технологии, является «Сбербанк».

Суть 3D Secure заключается в использовании специальных кодов, доступных только владельцу пластика, которые необходимо использовать для произведения транзакций по карте. Без данной технологии покупателю в интернет-магазине необходимо только ввести следующие данные:

• фамилию, имя;
• номер пластика (дебетового либо кредитного);
• период действия используемой банковской карты;
• код CVV (находится на тыльной стороне пластика).

В обычной ситуации этих данных достаточно для свершения покупки. В случае если к пластику подключена технология 3D-Secure, его владелец будет перенаправлен на страницу «Сбербанка», где перед свершением покупки он пройдет 3DS аутентификацию «Сбербанка». Что это, и как пройти данную процедуру?

После перенаправления владелец пластика получит на телефон специальный код, который необходимо ввести в соответственное поле на сайте. Если введен правильный код, покупка будет продолжена.

Повышает ли 3D Secure безопасность транзакций по карте

Как утверждают эксперты, внедрение технологии способно многократно повысить безопасность денежных переводов. Подобное достигается за счет того, что номер телефона, на который приходит сообщение, имеется только у сотрудников банка. Продавцы торговых площадок не имеют доступа к подобной информации. Кроме того, количество кодов ограничено, каждый из них действителен лишь на протяжении 10 минут. Благодаря этому, защита денежных операций действительно повышается.

При подключенном мобильном банке, код будет выслан сообщением на номер, подкрепленный к пластику. Таким образом, можно быстро его ввести и свершить безопасную покупку. Чтобы украсть средства, мошеннику понадобиться не только пластик, но и телефон его владельца. Ранее список кодов можно было распечатать в банкомате, однако сегодня финансовое учреждение отказалось от такой практики.

Для проведения операции используются три домена (с чем и связана часть 3D в названии технологии). Это домен:

1. Банка, который обслуживает интернет-площадку.
2. Банка, который обслуживает конкретного покупателя.
3. Платежной системы, к которой относится пластик.

Несмотря на такие меры предосторожности, внедрение технологии сопровождается большими затратами. Часть из них возлагается на торговые площадки. Далеко не все интернет-магазины подключены к данной технологии. В случае ее отсутствия, картой с подключенной защитой либо не удастся воспользоваться, либо будет отсутствовать процесс аутентификации владельца. Злоумышленники, раздобыв необходимую информацию, могут использовать данную лазейку для мошенничества.

Поэтому, хотя система и позволяет повысить безопасность платежей, она не является стопроцентным гарантом сохранности средств клиента банка. В связи с этим рекомендуется пользоваться только проверенными интернет-площадками, которые подключены к данному сервису.

Подключение

Лица, которые оформили в «Сбербанке» пластик относительно недавно, могут не беспокоиться о подключении технологии к своему карточному продукту. Сегодня финансовое учреждение автоматически внедряет сервис на все карты класса Classic и выше. Если же карточка была получена давно, еще до использования 3D Secure либо пластик относится к начальным видам карточных продуктов, производить активацию придется самостоятельно.

Есть два способа, как подключить 3D Secure. «Сбербанк» позволяет сделать это:

1. Путем личного визита в одно из отделений. Необходимо обратиться к сотруднику финансового учреждения с соответственной просьбой и подать письменное заявление о подключении пластика к защите.
2. Дистанционно. Можно воспользоваться интернет-банкингом «Сбербанка» и активировать технологию самостоятельно.

Технология дорогостоящая. Банкам приходится тратить большие средства на ее внедрение. Она не является обязательной и используется только в случае желания самого финансового учреждения. Несмотря на это, подключение к защите не сопровождается взысканием средств с клиента. Для владельцев пластиков оно бесплатно. Плата также не взимается при использовании технологии.

Следует отметить, что отключить технологию после ее активации невозможно. Она направлена на защиту интересов владельцев пластиков и их средств, хранящихся в «Сбербанке». Финансовое учреждение заинтересовано в сохранении средств его клиентов, поэтому сотрудники «Сбербанка» не дадут владельцу карты отключить 3D-Secure. Подобная возможность просто не предусмотрена.

Преимущества защиты

Чтобы внедрить технологию, необходимо потратить значительные суммы. Несмотря на это, финансовые учреждения, в том числе и «Сбербанк», идут на подобный шаг. Делается это не только ради безопасности уже существующих клиентов, но и для привлечения новых граждан к сотрудничеству. Чем больше клиентов пользуется пластиками «Сбербанка», тем выше суммарный доход финансового учреждения.

Что такое 3D Secure на банковской карте «Сберабанка» для клиентов данного учреждения? В первую очередь, это возможность повысить надежность покупок в интернете. После подключения к технологии значительно уменьшается шанс стать жертвой мошенников и потерять личные средства. Это главное преимущество системы 3D Secure. Кроме него, система также обладает следующими сильными сторонами:

• в ходе проведения платежа система проверяет как банк магазина, на счет в котором перечисляются средства, так и финансовое учреждение, выдавшее пластик;
• все данные, которые касаются карт, сохраняются на защищенном сервере «Сбербанка». В случае получения доступа к ним, полная ответственность за кражу средств возлагается на банк, а не на клиента;
• проверяется подлинность каждого перевода.

3D Secure - уникальная система защиты платежей в интернете с использованием специальных кодов подтверждения. Ее внедрение значительно повышает безопасность средств, которые хранятся на пластиках клиентов банка. Современные карточные продукты (выше начального уровня) автоматически подключаются к технологии. Если по какой-либо причине карта не подключена к «3D Secure», гражданин может обратиться в банк с соответственным заявлением либо воспользоваться интернет-банкингом. В «Сбербанке» подключение к технологии и ее использование является бесплатным.