Читаем Омерт@. Учебник по информационной безопасности для больших боссов полностью

Работает это следующим образом… В банке тебе выдают специальное программное обеспечение. Ты его устанавливаешь на свой компьютер и при первом запуске создаешь пару ключей – публичный и секретный. Публичный ключ отправляется программной через Интернет в банк и отныне будет служить для твоей чёткой идентификации, а секретный ключ хранится на твоем компьютере (или любом внешнем накопителе, вроде дискеты, смарт-карты или flash-drive), и служит для подтверждения любых действий.

Таким образом, получается уже многоуровневая система защиты. Потому что для манипуляций со счётом тебе нужно будет произвести следующие виды действий:

a)       Запустить программу, полученную в банке;

b)      Программа должна найти пару ключей (публичный и секретный);

c)       Ты должен ввести свой пароль для работы с ключами;

d)      После этого ты заходишь на сайт, где банковский сервер сверяет твой публичный ключ, хранящийся на сервере, с публичным ключом, предъявляемым программой с твоего компьютера;

e)       Далее ты вводишь обычные логин и пароль;

f)        Перед совершением любого действия программа снова делает сверку ключей и требует ввода пароля для секретного ключа.

В общем, граница на замке. Ведь чтобы вскрыть эту защиту злоумышленнику нужно: знать твои логин с паролем на доступ к счёту, иметь программу, которую выдают в банке, получить оба твои ключа, знать пароль к секретному ключу. Это уже практически нереально.

4. Логин, пароль и e-token

Практически всё то же самое, что и в пункте 3, но идентификационный ключ хранится в электронном брелоке e-token. Ну или банк реализует какую-то другую схему защиты, требующую наличия e-token в USB-порте компьютера или Com-порте. Тоже вполне надёжный способ.

Как видишь, определённую безопасность электронного банкинга вполне можно обеспечить – лишь бы банк поддерживал подобные механизмы. (Для меня, например, одним из критериев выбора банка как раз и был вопрос, каким образом они обеспечивают безопасность онлайновых платежей.) Конечно, обычные логин и пароль – это секьюрность на уровне каменного века, но при использовании хотя бы пластиковой карточки с уникальными ключами или технологии с публичными и секретными ключами – это защита уже посерьёзнее, чем визит в банк с паспортом, чтобы заполнить бумажки. Потому что отобрать паспорт и загримировать лицо уж всяко проще, чем пытаться получить: логин, пароль, программу, публичный ключ, секретный ключ, пароль к секретному ключу. Не думаю, что для кого-то из злоумышленников это возможно. Уж больно хлопотное дело…

Оплата пластиком через Интернет

Вот это как раз самый опасный вид платежей. Впрочем, всё же не настолько опасный, как это представляется некоторым…

Почему опасный? Да потому что для оплаты через Интернет достаточно номера карточки и даты окончания её действия. Но раз ты через Интернет вводишь номер и дату окончания, значит, парень на том конце, получив эти данные, может их ввести на каком-то другом сайте? Ну да, так и есть!

Конечно, тут все не так кошмарно, потому что есть такое понятие как «возврат платежа» (charge back), и в случае онлайновых платежей, где нет возможности четко идентифицировать картодержателя, он используется довольно часто, и если у тебя даже и уведут номер пластика, то обчистить всю карточку вряд ли смогут.

Кстати, кардеры – так называют злоумышленников, ворующих номера кредиток, - помногу-то и не утаскивают. У них как раз другой подход. Различными способами кардеры добывают номера кредиток и опять-таки различными способами снимают оттуда очень мелкие суммы – по 5-8 долларов ежемесячно. Ведь ты, увидев какой-то странный перевод в 5-8 баксов, вряд ли будешь поднимать скандал и делать возврат платежа, правильно? Особенно если в графе «услуга» стоит имя какого-нибудь зоофилического портала. Вот на это и рассчитано. Эти ребятишки окучивают сотни и тысячи карточек в месяц, а сотни и тысячи, умноженные даже на 5 или 8, - выглядят вполне завлекательно, не правда ли?