Будущее банкинга

Злоупотребление полномочиями или конфликт интересов

Мошенничество с ипотечными ссудами

Таинственное исчезновение

Мошенничество с телеграфными денежными переводами

Прочее

Неизвестно/незаполнено

, Итого 88 877 104 339 129 599 175 214 220 603 300 733

* Возврат чека, незаконно выписанного на сумму, превышающую остаток банковского счета. ** Такое нарушение, как незаконное проникновение в компьютер, было добавлено в форму TD F 90-22.47 в июне 2000 года. Статистические данные приводятся начиная с этой даты.

Источник: Государственный департамент США.

Таблица 12.1. Данные отчетов о подозрительной деятельности, предоставленных американскому правительству за период с 1997 по 2002 год; воспроизведено с разрешения Finextra

составляют $ 2,8 млн». Разумеется, большинство людей не попадаются на подобные удочки, но организованные атаки преступников выходят на новый, более сложный уровень развития с применением фишинга и спуфинга. Цель данных приемов — убедить потребителя в том, что человек имеет дело с легальными добросовестными организациями, хотя на самом деле столкнулся с преступниками.

Согласно исследованиям, проведенным не так давно независимой некоммерческой организацией TRUSTe и Американской ассоциацией электронных платежей [NACHA):

• почти 7 из 10 американских потребителей непреднамеренно посещали хотя бы один ложный сайт;

• по меньшей мере раз в неделю мошенникам удавалось выудить конфиденциальные данные у 35 % потребителей;

• финансовые убытки, вызванные фишингом и спуфингом, достигают $ 500 млн в год — это половина потерь от хищения конфиденциальной информации, или, другими словами, 50 %-е увеличение финансовых убытков с тех пор, как организованная преступность увлеклась онлайновым финансовым мошенничеством.

И ситуация будет только ухудшаться: как обнаружила Антифи-шинговая рабочая группа (APWG), количество фишинговых атак ежемесячно увеличивается на 50 %, причем их главной целью является банковское мошенничество.

Безусловно, никто не собирается бездействовать или игнорировать данную тенденцию. Уже сегодня большинство банков способны устранить «дыры» в своих интернет-сайтах в среднем за несколько дней. Однако организованные преступные группировки все же имеют возможность в течение этих «нескольких дней» использовать бреши в системе безопасности, что просто недопустимо.

Реальная проблема

Реальная проблема заключается в том, что онлайновый банкинг, офлайновый (то есть обычный) банкинг, и в особенности платежи, должны быть надежными и безопасными. Об этом говорилось и на недавней конференции, на которой собралась вся элита американской отрасли платежных услуг. Я также присутствовал на данном мероприятии. Federal Reserve Bank of Chicago и Bank of America сделали презентацию под названием «Информационная безопасность в мире интернет-платежей», предприняв попытку охарактеризовать современный уровень безопасности онлайновых платежных систем. Учитывая тот факт, что Bank of America был одним из первых банков, внедривших двухуровневую идентификацию, а также управлял крупнейшим в мире интернет-банком с более чем 13 млн пользователей, презентация обещала быть интересной, и ожидания оправдались.

С точки зрения Федеральной резервной системы, онлайновые платежи можно сравнить с авиакатастрофами. Если на 10 млн полетов приходится одна авиакатастрофа, вы не будете слишком сильно бояться летать, но если же падает каждый второй самолет — большинство людей пересядут в машины или поезда. Это ключевой момент. Боязнь онлайновых платежных катастроф очень велика, они уже отпугнули огромное количество потребителей. Например, согласно пресс-релизу компании Visa, из-за опасений подобного рода 24 % потребителей сократили количество совершаемых ими покупок через Интернет. В другой свежей статье, опубликованной в интернет-издании Information Week, утверждается, что в течение 2005 года криминальными группировками были похищены персональные данные более 50 млн человек, а убытки составили $ 47 млрд. Эти убытки равны чистой стоимости данных, ставших достоянием организованной преступности. 47 млрд... Неудивительно, что нам немного страшно.

Затем выступил Bank of America, и все занервничали еще больше, услышав некоторые факты и цифры из его деятельности.

В 2006 году каждый час каждого рабочего дня Bank of America сталкивался:

• с ненадлежащим уничтожением 150 тыс. бумажных страниц с данными;

• 16 тыс. шпионских вторжений на сайт;

• 175 атаками с целью нарушения нормального обслуживания пользователей;

• тремя абсолютно новыми фишинговыми сайтами, мишенью которых являлся Bank of America.

Каждый час каждого дня. Немудрено, что мы так обеспокоены проблемой интернет-мошенничества.

Где же решение?

Банки предпринимают ряд ответных мер. Одним из основных направлений контратаки является внедрение двухуровневой идентификации, наиболее распространенные формы которой при осуществлении платежей основаны на владении определенным предметом — картой или компьютером — и знании определенной информации — PIN-кода или пароля.

Некоторые банки пошли еще дальше. Например, система онлайн-авторизации SiteKey, используемая Bank of America, частично основана на специальном идентификаторе компьютера пользователя — его IP-адресе, который используется в качестве уникального идентификатора, позволяющего получить доступ к онлайновым банковским услугам. ABN AMRO, e*Trade и Lloyds TSB в качестве уникальных идентификаторов используют брелоки с генерируемыми в случайном порядке номерами. Другими словами, для онлайнового обслуживания вам нужно ввести имя пользователя, пароль и затем получить на брелок уникальный код доступа, который действителен лишь в течение 10 секунд. Таким образом, чтобы зайти на сайт, вы должны располагать брелоком, смарт-картой и PIN-кодом.

Все предпринимаемые меры служат одной цели — сделать онлайновое финансовое обслуживание безопасным и надежным. Но достаточно ли этого? Не исключено, что нет. Именно поэтому регулирующие органы многих стран — ив первую очередь США — настаивают на принятии закона об обязательном внедрении двухуровневой идентификации, и именно поэтому было столько шума вокруг введения Федеральным советом по надзору за финансовыми учреждениями [FFIEC) обязательных норм двухуровневой идентификации. Хотя на самом деле данные нормы означают, что все американские банки должны внедрить не новые системы, а только процессы и процедуры.

В Австралии действуют аналогичные законодательные нормы, хотя их принятие вызвало большие споры, поскольку три из четырех крупных банков отдали предпочтение биометрии в качестве второго уровня идентификации.

И здесь перед нами встает вопрос о том, какой метод идентификации следует считать правильным. Чаще всего предлагается такая комбинация:

• предмет, которым обладает клиент (карты], плюс известная ему информация [PIN)

либо

• предмет, которым обладает клиент, плюс какая-либо биометриче ская характеристика.

^{Биометрия}