На головну сторінку

Як захистити платіжні інструкції, що відправляються в банк, від перехоплення третіми особами

Сучасний розвиток телекомунікаційної і комп'ютерної індустрії приводить до того, що все більше і більше банків починають робити послуги по управлінню рахунком через Інтернет. У вигляду того, що мережа Інтернет по суті своєї має відкриту і незахищену архітектуру, ми все частіше чутний про те, як хакери залізають на чий-небудь банківський рахунок і повністю його спустошують, після чого вони шукають іншу можливість або інші жертви, за рахунок яких можна поживитися.

У всьому цьому різноманітті проблем управління рахунком на відстані існують певні принципи, слідуючи яким, ви зумієте захистити ваш банківський рахунок від посягання третіх осіб. Для аналізу цих проблем, передусім, давайте спробуємо класифікувати основні способи управління рахунком на відстані, які в цей час пропонуються банками:

управління рахунком через звичайну пошту (підпис і друк клієнта)

управління рахунком через факс за допомогою кодового слова

управління рахунком через факс за допомогою таблиць для тестования

управління рахунком через Інтернет за допомогою системи «Банк-Клієнт», встановленої на комп'ютері клієнта

управління рахунком через модем за допомогою системи «Банк-Клієнт», встановленої на комп'ютері клієнта

управління рахунком через Інтернет за допомогою браузера, т. е. програми перегляду сторінок в Інтернеті Internet Explorer.

Навіть нетямущій людині зрозуміло, що перші два способи управління рахунком не гарантують якого-небудь збереження ваших грошей т. до. зловмисник може перехопити ваше платіжне доручення, послане в банк, скопіювати ваш друк і підпис і замість нього відправити своє доручення. Або, при управлінні рахунком за допомогою ОДНОГО кодового слова зловмиснику досить перехопити тільки один ваш факс і вас можете попрощатися з вашими денежками. На жаль, багато які Англійські банки до їх часів пропонують управління рахунком тільки за допомогою одного кодового слова. Природно, треба розуміти, що при відкритті рахунку в такому банку не можна використати його як розрахунковий рахунок, а застосовувати його тільки в накопичувальному режимі, не посилаючи в банк які-небудь інструкції, інакше ваші гроші можуть випаруватися.

Якщо знайти надійний канал факсимільного зв'язку з банком, то можна бути більш спокійним щодо збереження ваших грошей, чим при відправці факсу через телефонну мережу. Для захисту вашої факсимільної пошти від третіх осіб можна використати всесвітньо відомого провайдер послуг факсимільного зв'язку через Інтернет J2 (адреса в Інтернеті: http://www.j2.com/index.asp). Ця компанія пропонує зручний сервіс прийому і відправлення факсів через електронну пошту, де при відправці факсу ви набираєте його на своєму комп'ютері, після чого з допомогою спеціально розробленого цією компанією симулятора драйвера друку набраний вами текст перетворюється в графічний формат, прикріпляється до вихідного електронного повідомлення у вашій поштовій програмі і висилається на факсимільний шлюз цієї компанії в Інтернеті. Однак тут виникають дві проблеми:

не можна бути упевненим в тому, що співробітники компанії Jfax не прочитають ваш факс і не скопіюють ваше кодове слово.

при відправці електронного поштового повідомлення через Інтернет його легко перехопити і прочитати третій особі, наприклад, співробітнику ФСБ, якому захотілося зайнятися підприємництвом.

Першу проблему вирішити практично неможливо і залишається тільки сподіватися на порядність і непідкупність співробітників компанії Jfax. Що стосується другої проблеми, то її можна вирішувати декількома способами:

відкривши електронну адресу на сервері компанії COTSE (адреса в Інтернеті: http://www.cotse.com). Електронні адреси, що відкриваються на цьому сервері, платних ($5.95 в місяць), але захищені від перехоплення третіми особами за допомогою протоколу шифрування SSL. Більш детально про це можна прочитати в нашій статті про комп'ютерну безпеку, розміщену за наступною адресою в Інтернеті: http://www.gloffs.ru/computer_securuty.htm

воспользовавшись сервісом Anonymizer Secure Tunneling компанії Anonymizer за адресою в Інтернеті: https://www.anonymizer.com/ Цей сервіс працює таким чином: при з'єднанні вашого комп'ютера з поштовим сервером, через який ви відправляєте/приймаєте електронну пошту, створюється захищений від перехоплення канал зв'язку за допомогою протоколу SSH. У результаті ні ваш місцевий провайдер, ні інші обличчя, що знаходяться в Росії, не зможуть прочитати ваші факсимільні повідомлення, що передаються за допомогою сервісу компанії J2. Однак і тут проблеми залишаються: ваш поштовий провайдер і компанія J2 має вільний доступ до ваших факсів.

Тому, як ви тепер розумієте, при управлінні рахунком через факс за допомогою одного кодового слова не можна бути на 100% упевненим, що ваше кодове слово не буде перехоплене. Робіть з цього свої висновки.

Наступний спосіб управління рахунком - це управління через факс за допомогою тестової таблиці, наприклад як це робиться при управлінні рахунком в Прибалтійському банку Ріетуму. Ми вважаємо, що даний спосіб управління рахунком найбільш захищений від спроб третіх осіб перехопити ваші платіжні доручення і замінити їх своїми по тій причині, що тестова таблиця має декілька рівнів захисту.

Для кращого розуміння принципу дії тестової таблиці пропонуємо вам ознайомитися з витримкою з інструкції по тестованию повідомлень із застосуванням індивідуальної тестової таблиці, що пропонується банком Ріетуму:

ІНСТРУКЦІЯ

по тестованию повідомлень із застосуванням індивідуальної тестової таблиці

Відповідно до вимог Банку Клієнт повинен тестовать будь-яке своє доручення, розпорядження або повідомлення Банку, що передається по факсу, модему, телексу і т. п.. У разі факсимільного повідомлення Тестовий ключ ( "електронний підпис") проставляється в спеціальному місці, поруч з підписом Клієнта.

Тестовий ключ (Т) являє собою арифметичну суму значень декількох елементів (А, В, З, D, Е, F),

які визначаються так:

елемент А - фіксоване число з таблиці 1;

елемент В - число, відповідне місяцю відправлення, з таблиці 2;

елемент З-число, відповідне даті відправлення, з таблиці 3;

елемент D - число, відповідне сумі відправлення, з таблиці 4. Елемент D складається по наступному алгоритму:

1) Сума, вказана в платіжному дорученні, розкладається по розрядах, опускаючи дробу (центи, сантими). Наприклад, сума 8.549.200,18 розкладається так:

8.549.200,18= 8.000.000

500.000

40.000

9.000

200

2) Для того, що кожного становить вибирається відповідний код з таблиці 4.

3) Всі вибрані коди підсумовуються.

елемент Е - число, відповідне вигляду валюти, з таблиці 5;

елемент F - число, відповідне номеру рахунку одержувача, з таблиці 6.

Елемент F формується шляхом складання перших одинадцяти цифр номера рахунку одержувача, ігноруючи всі нецифрові знаки (буквені символи, точки, тире, коми і інші). Якщо номер рахунку одержувача має менше за 11 цифрових символів, то підсумовуються всі цифри номера рахунку. Якщо номер рахунку одержувача складається з більшого числа цифрових знаків, то складати треба тільки перші одинадцять, а інші опускаються. З таблиці 6 береться код, відповідний отриманій сумі, - він і є елементом F. Сложів всі вищепоказані елементи, отримаємо шуканий Тестовий ключ:

Т=А+В+З+D+Е+F

Якщо в дорученні Клієнта відсутня сума відправлення (наприклад, доручення на постійну конвертацію, лист вільного змісту), то при формуванні елемента D використовується позиція "без суми". Якщо в дорученні Клієнта відсутня валюта, то при формуванні елемента Е використовується позиція "інші валюти" або "не вказана". Якщо в дорученні Клієнта відсутній номер рахунку одержувача (наприклад доручення на конвертацію із зарахуванням валюти на той же рахунок, лист вільного змісту, інш.), то при формуванні елемента Е використовується код, відповідний цифрі 0.

У дорученні на видачу готівки Клієнт при формуванні елемента F (номер рахунку одержувача) тестует номер паспорта одержувача грошей, т. е. підсумовує всі цифрові елементи номера паспорта (буквені елементи, римські цифри відкидаються) і з таблиці 6 вибирає код, відповідний отриманій сумі цифр.

Таким чином, тестуя будь-яке своє доручення, розпорядження або лист Банку, Клієнт використовує всі шість вищеназваних елементів без виключення.

Щоб виключити можливість зловживань (за які Банк не може нести ніякої відповідальності), тестову таблицю потрібно зберігати в місці, доступ до якого мають тільки уповноважені обличчя.

Перевага такого способу управління рахунком також складається в тому, що навіть якщо хакер або третя особа отримає доступ до вашого комп'ютера, проникши у ваш офіс в нічний час, або встановивши на вашому комп'ютері програму видаленого адміністрування, він все одно не зможе заволодіти вашим рахунком, якщо ви не будете зберігати тестову таблицю в електронному вигляді на вашому комп'ютері, або (у разі зберігання тестової таблиці в електронному вигляді на вашому комп'ютері) ви зумієте надійно захистити комп'ютер від проникнення третіх осіб згідно з рекомендаціями, викладеними в нашій статті про комп'ютерну безпеку за адресою: http://www.gloffs.ru/computer_security.htm.

Хотелось би ще раз підкреслити, що, незважаючи на загрозу з боку хакерів, зберігання тестової таблиці в електронному вигляді на комп'ютері при дотриманні правил комп'ютерної безпеки дозволяє надійно захиститися від можливості утрати тестової таблиці або виявлення її співробітниками податкової поліції під час обшуку вашого офісу/вдома. Все-таки електронний файл, зашифрований спеціальною програмою, у багато разів легше сховати від осіб, виробляючих обшук у вашому офісі або будинку, чому тестову таблицю, сховану в гаражі або сейфі. А для того, щоб надійно застрахуватися проти можливої втрати інформації через атаку комп'ютерного вірусу або висновку з ладу жорсткого диска, необхідно регулярно архівувати всі важливі дані на вашому комп'ютері на таких оптичних носіїв, як CDR і CDRW диски.

Наступні два способи спілкування з банком конфіденційними даними, а саме, управління рахунком за допомогою системи «Банк-Клієнт», встановленої на вашому комп'ютері, як через Інтернет, так і модем, практично однакові. Можна навіть сказати, що управління через модем більш надійне проти атаки хакерів, чим через Інтернет, хоч з іншого боку, з'єднання з банківським сервером через Інтернет залучає менше уваги третіх осіб, чим регулярні телефонні дзвінки за рубіж через модем, не говорячи ще і про більшу вартість прямих зарубіжних дзвінків. Даний спосіб управління рахунком складно аналізувати загалом, не вдаючись в подробиці і не вивчаючи конкретні програми «Банк-Клієнт», що поставляються конкретними банками. Захищеність такого каналу передачі конфіденційної інформації, передусім, залежить від того, наскільки сумлінно творці цієї програми відносилися до своїх обов'язків. Крім того, хакер, що проник на ваш комп'ютер, або фахівець, що отримав доступ до вашого комп'ютера в нічний час, може запросто скопіювати весь вміст жорсткого диска вашого комп'ютера з тим, щоб потім спокійно «поковиряться» в цій програмі і спробувати її зламати. Тому єдино розумна рада, яку можна дати з цього приводу, це слідувати рекомендаціям, викладеним в нашій статті про комп'ютерну безпеку.

Що стосується управління рахунком через Інтернет за допомогою браузера, то це найвразливіше спосіб управління рахунком через Інтернет, т. до. в цьому випадку покладається надія на надійність функціонування браузера Internet Explorer, який за умовчанням постачається компанією Microsoft разом з операційною системою Windows. Все вже знають про величезну кількість «дір», недоробок і глюков, що є в середовищі Windows. Більш детально про це можна прочитати в статті про комп'ютерну безпеку, яка вже неодноразово згадувалася вище. Тому, ми рекомендуємо вам дуже ретельно оберігати ваш комп'ютер, як від хакерских атак, так і від фізичного доступу до нього третіх осіб. Ну а якщо на ваш комп'ютер захочуть поглянути співробітники податкової поліції під час чергового рейду по підвищенню собираемости податкових платежів, то готуйтеся до відповідей на неприємні вам питання.

Дія колективного договору: Згідно з ст. 43 ТК РФ колективний договір укладається на термін не більш трьох років і набирає чинності від дня підписання його сторонами або від дня, встановленого колективним договором. Сторони мають право продовжувати дію колективного договору на термін не більш трьох років. Дія колективного договору розповсюджується на всіх працівників організації, індивідуального підприємця, а ді...
Тема 6. Ленін і російський марксизм: (4 години) Особливості російського марксизму. Економічні переконання Г. В. Плеханова. Чому в Росії марксизм знайшов благодатний грунт? "Ранній" В. І. Ленін: марксизм проти народництва. Співпраця і конфлікт з "легальним марксизмом". Дослідження монополістичного капіталізму. Економічна думка в Росії після революції: продовження дискусій. Ультралівий марксизм: Л. Б. Троцкий і Е. Преобр...
1.10. Ресурсне забезпечення світової економіки: Природно-ресурсний потенціал світової економіки є важливою передумовою її зростання. Основною класифікацією природних ресурсів з точки зору їх ролі як чинника виробництва є їх ділення на невичерпні (енергія сонця, вітру і води), возобновимие (ресурси біосфери) і що невідновляються (мінеральні ресурси). Економічна оцінка ресурсів залежить від їх рідкості і концентрації, що визначає мож...
18.2. Розвиток економіки Японії в VIII XII вв.: Сільське господарство VIII в. в Японії ознаменувався розвитком продуктивних сил в сільському господарстві. Хроніки, опису, літературні пам'ятники свідчать про широке застосування і поширення залізних землеробських знарядь, зведення дамб, створення водосховищ, каналів. У зв'язку з цим значними були успіхи в сільському господарстві. Розвиваються продуктивні сили, зростає населення, збіл...
Розділ XIX. Про раптові зміни в ході торгівлі: Велика країна з розвиненою промисловістю особливо зазнає тимчасових ускладнень і ускладнень, що викликаються пересуванням капіталу з одного заняття в інше. Попит на сільськогосподарські продукти одноманітний; він не перебуває під впливом моди, забобонів або капризів. Для підтримки життя необхідна їжа, і тому попит на їжу існує постійно, у всяку епоху і у всіх країнах. Інакше йде справ...