банк)

20 июня 2010 г. Андрей Ерин Начальник службы информационной безопасности Интернет-банк, Информационная безопасность, Клиенты

Голод не тетка и в кризис Мозг работает с удвоенной и утроенной силой. Когда не хватает оборотных средств на выплаты долгов и заработной платы, то появляются идеи легкой добычи этих самых оборотных средств. А что, ведь, отправляя платежный документ в Интернет-банке, клиент не подписывает никаких бумаг, просто нажимает разные кнопки на своем компьютере. Пойди мол докажи, что это именно он сам отправил свои деньги. В выходные дни я порылся в Интернете и вывел обобщенную схему подобных мошенничеств.

Идея вытрясти из банка деньги проста, до наивности. Клиент отправляет небольшой платеж в несколько сотен тысяч рублей, а потом заявляет: «Я никуда деньги не отправлял, – это или банковские сотрудники или хакеры, а значит, банк не может защитить своих клиентов.» При этом ушлый мошенник грозит шумихой и потерей репутации банковской безопасности, а в частной беседе, предлагает банку потихоньку отдать ему означенную сумму за обещание молчать. В общем, разводка не профессиональная и основана на логике мелкой конторы, которая привыкла иметь дело с «черным» налом, вести свою бухгалтерию в уме, не платить налоги и руководство этой «компании» не читало Федеральный Закон № 1-ФЗ «Об электронной цифровой подписи» (ЭЦП). Возможно это, наоборот, очень тонкий расчет, основанный на том, что сумма небольшая и банку будет проще её заплатить, чем восстанавливать репутацию доказательствами вины самого клиента. О том, что клиент хочет заработать мошенничеством, а не является потерпевшим, свидетельствуют простые факты: в банк об инциденте сообщается не сразу, обращений в правоохранительные органы нет, об экспертизе компьютера даже не идет речь, не желание клиента разбираться в суде, угрозы оглаской.

А есть ли правовые предпосылки для подобных махинаций шантажистов? Так ведь каждый клиент любого банка может отказаться от своего платежа и требовать возврата ему денег. Ответ прост: если бы у клиента банка была бы возможность отказаться от авторства своего платежа, то банки, ни за какие коврижки, не стали бы наперегонки развивать услуги дистанционного банковского обслуживания (ДБО). Законодательство РФ однозначно лишает клиентов банков возможности отказаться от своей электронной цифровой подписи. Обратимся к первоисточнику, к закону «Об электронной цифровой подписи»:

В статье 19 Закон № 1-ФЗ определяет равенство собственноручной подписи, заверенной печатью и электронной подписи:

Ст 19. «В случаях, установленных законами и иными нормативными правовыми актами Российской Федерации или соглашением сторон, электронная цифровая подпись в электронном документе, …, признается равнозначной собственноручной подписи лица в документе на бумажном носителе, заверенном печатью».

А статья 12 этого Закона определяет ответственность клиента банка за хранение своих секретных электронных ключей ЭЦП:

Ст 12. «Владелец сертификата ключа подписи обязан:

1. ….хранить в тайне закрытый ключ электронной цифровой подписи;

немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа электронной цифровой подписи нарушена.

2. При несоблюдении требований, изложенных в настоящей статье, возмещение причиненных вследствие этого убытков возлагается на владельца сертификата ключа подписи.»

Советы и рекомендации клиентам банков:

не применять самим описанную мной мошенническую схему с отказом от ЭЦП, дабы избежать неприятностей с УК РФ, ведь такого рода аферы вычисляются «на раз» ;
если же вы все-таки обнаружили в своем Интернет-банке платеж, который отправляли не вы, т.е. вы реально стали жертвой третьих лиц, то тогда необходимо немедленно сообщить об инциденте в банк, блокировать платеж и ключи ЭЦП. Затем приехать в банк и подтвердить в письменном виде ваше сообщение;
сразу обратится в правоохранительные органы с заявлением об инциденте и просьбой возбудить уголовное дело;
сохранить всю информацию на жестком диске, не сканировать диск антивирусами до проведения экспертизы правоохранительными органами.
Если ваши действия будут оперативными, то в большинстве случаев деньги можно вернуть. До массовой токенизации в 2008 году у нас был несколько случаев хищения ключей ЭЦП у клиентов. Те клиенты, кто быстро сообщил о хищении, отделались легким испугом, остальные понесли реальные убытки в соответствии со статьей 12 закона «Об электронной цифровой подписи».