Некрасов Юрий Валентинович
Без Репутации Нет Банка

Самиздат: [Регистрация] [Найти] [Рейтинги] [Обсуждения] [Новинки] [Обзоры] [Помощь|Техвопросы]
Ссылки:
Школа кожевенного мастерства: сумки, ремни своими руками Типография Новый формат: Издать свою книгу
 Ваша оценка:
  • Аннотация:
    Банки должны подумать об укреплении своей локальной сети, о страховании против сетевого мошенничества, о ведении планомерной работы по обеспечению безопасности вкладчиков, о выявлении єзасланных казачков", а может быть, и о создании своей специальной банковской сети. ОПУБЛИКОВАНО В ЖУРНАЛЕ БАНКОВСКИЕ ТЕХНОЛОГИИ 11.2006

  

БАНКОВСКИЕ
ТЕХНОЛОГИИ
11.2006

  
   .
  

ПОЛОСА 44

   БЕЗ РЕПУТАЦИИ НЕТ БАНКА
   Юрий Некрасов
   Банковские учреждения в своей работе постоянно подвергаются огромному количеству рисков. Поэтому снижение этих рисков входит в их первоочередные задачи. Но, снижая одни риски, можно невольно вызвать другие, часто еще никому неизвестные, а потому и непредвиденные. Вот некоторые риски, выбранные для исследований:
  -- риск потери репутации;
  -- риск невозвращения кредита (кредитный риск);
  -- риск потери доходов в связи с изменением рыночных факторов (рыночный риск);
  -- риск потери доходов, связанный с нормативными актами, регулирующими определенную отрасль, страну, тип ценных бумаг (регулятивный риск);
  -- риск недостижения целей, поставленных перед банком (стратегический риск);
  -- риск нарушения выполнения обязательств, вызванного сбоем банковских операционных систем или работы персонала (операционный риск);
  -- риск внезапного прекращения деятельности банка из-за неучтенных причин (риск прерывания);
  -- риск потери доходов, связанный со сбоем техники или информационных технологий (IT/технический риск);
  -- риск невозможности быстрой покупки финансовых инструментов, вызванный недостатком наличности или краткосрочных активов (риск ликвидности);
  -- риск потери доходов, вызванной неправильными решениями руководства банком (риск руководства);
  -- риск невыполнения обязательств по кредитам, в том числе и по государственным, вызванный действиями властей (национализация, политическая нестабильность) (суверенный/политический риск).
   Для снижения большинства рисков существуют методы, использующие сложные числовые и дискретные модели. Банкиры до настоящего времени обращали меньше внимания на риск потери репутации, но напрасно: этот риск присутствовал всегда. Как и другие типы риска, риск потери репутации также может быть смоделирован и проанализирован.
   Недавно два известных консультационных гиганта PricewaterhouseCoopers и Economist Intelligence Unit провели исследования влияния различных рисков на рыночную стоимость банка и на его доходы на материале 130 банков по всему миру. Результаты исследований приведены ниже. Хотя большее внимание уделяется кредитному и рыночному рискам, так как банки имеют большой опыт в их определении и снижении, на первое место в определении рыночной стоимости вышел риск потери репутации.
   В нижеприведенной таблице указывается процент респондентов, считающих данный вид риска главным в его влиянии на рыночную стоимость банка (левая колонка) и на доходы банка (правая колонка), в скобках указаны места по значению рисков.
  
   Рыночная стоимость
   Доходы
   Риск потери репутации
   34% (1)
   22% (6)
   Кредитный риск
   25% (2)
   37% (1)
   Рыночный риск
   25% (3)
   31% (2)
   Регулятивный риск
   18% (4)
   25% (3)
   Стратегический риск
   16% (5)
   23% (4-5)
   Операционный риск
   14% (6)
   23% (4-5)
   Риск прерывания
   13% (7-8)
   13% (7-8)
   IT/технический риск
   13% (7-8)
   8% (10-11)
   Риск ликвидности
   10% (9)
   19% (9)
   Риск руководства
   7% (10-11)
   13% (7-8)
   Суверенный/политический риск
   7% (10-11)
   8% (10-11)
   Причины потери репутации могут быть разными. Но сегодня выходит на первое место нарушение защиты активов клиентов, утрата которых разрушает клиентское доверие к своему банковскому учреждению. Или, как это недавно было в России, ко всей банковской системе.
   Полностью рассмотреть все причины потери активов клиентов в банке в одной статье невозможно. Поэтому здесь будут рассмотрены три вида сетевого мошенничества по похищению сведений, удостоверяющих личность клиента банка, с последующей кражей активов -- фишинг, фарминг и трояны. Эти термины прочно вошли в сетевой лексикон и замене не подлежат, несмотря на имеющуюся тенденцию русифицировать финансовые и другие технические термины.
   У некоторых читателей до сих пор бытует мнение, что сетевой мошенник -- молодой непризнанный гений, сидящий на кухне за своим компьютером, собранным из некондиционных деталей. Но благодаря его гениальности у него все получается, а свои доходы он жертвует неимущим. Но настоящие сетевые мошенники -- это международные организованные группы, хорошо структурированные, законспирированные, имеющие агентуру в банках. Их оснащению и доходам может позавидовать любая из мировых "голубых фишек".
   Британская газета Sun проводила журналистское расследование. В Индии журналисты вышли на агента сетевых мошенников. Агент предлагал купить сведения, удостоверяющие личность 1000 владельцев банковских счетов первоклассных британских банков, обслуживающих физических лиц. Сведения включали имена, адреса, номера счетов, пароли, номера, ПИН-коды кредитных карточек, паспортные данные и т. п. В случае покупки данных покупателю обещали ежемесячно передавать сведения, удостоверяющие личность еще 1000 банковских клиентов.
   Почему сетевые мошенники продают свои базы данных? На этот вопрос есть много ответов. Вот три их них.
  -- Сетевые мошенники уже опустошили эти счета и хотят, чтобы при повторной атаке на них были пойманы лица, не входящие в их преступную группировку, и таким образом отвести от себя подозрения.
  -- Сетевые мошенники хотят вовлечь в преступную деятельность новых лиц, с последующей их вербовкой.
  -- Сетевые мошенники не располагают банковской инфраструктурой для увода активов со счетов клиента и специализируются только на получении сведений, удостоверяющих личность владельцев банковских счетов.
   Сетевые виды мошенничества phishing [MOEN]
   Фишинг
   Фишинг (англ. рhishing) звучит как ужение рыбы (fishing), и на самом деле -- выуживание из Сети сведений, удостоверяющих личность владельцев банковских счетов. Это вид сетевого мошенничества, имеющий конечной целью кражу активов, хранящихся на счетах банков.
   Сетевые мошенники -- фишеры используют массовые рассылки электронных писем с просьбой передать важную конфиденциальную информацию жертвы -- пароли, номера счетов и кредитных карточек от имени банков или известных сетевых магазинов и т. п. Здесь главным является легенда, которая должна убедить жертву в необходимости передать такую информацию. Поэтому письма выполняются и по форме, и по манере изложения с соблюдением всех деталей, включая сетевые адреса, отправителя. Для некоторых жертв достаточно электронного письма. Широко известный факт: на письмо, якобы отправленное от имени курсового офицера военной академии Вест-Пойнт, ответили 80% адресатов. Будущие офицеры охотно поделились со старшим офицером своими данными, удостоверяющими личность владельцев банковских счетов.
   Но в большинстве случаев электронное письмо содержит ссылку на фальшивый сайт. На фальшивом сайте, который неотличим от настоящего, у жертвы требуют освежить свои персональные данные.
   Успех сетевого мошенничества обеспечивается точным знанием, что жертва пользуется конкретным банком, платежным инструментом, сайтом, провайдером и т.п. Это минимизирует возможность оперативного обнаружения мошенника.
   На Западе создаются органы, борющиеся с этим видом мошенничества. Известные компании и производители программного обеспечения для компьютерной безопасности создали Рабочую группу по борьбе с фишингом. По данным этой рабочей группы, в мае 2006 г. года сетевые мошенники-фишеры сделали 20 109 массовых рассылок электронных писем и создали 11 976 фальшивых сайтов. Несмотря на то что фальшивый сайт существует только несколько дней, он собирает обильную жатву сведений, удостоверяющих личность владельцев банковских счетов.
   Как избежать вредоносного действия фишинга? Можно воспользоваться многочисленными программами, которые изготовляют как известные, как и малоизвестные фирмы. Но основным оружием в борьбе с фишингом является обучение пользователей простым правилам безопасности в Интернете. Ведь достаточно знать, что ни одна финансовая организация не попросит сообщить пароль или ПИН-код по электронной почте или в сообщении ICQ. И тогда все искусно изготовленные мошеннические послания и сайты с просьбами "подтвердить" или "восстановить" данные клиента оказываются бесполезными. Но а если жертва уверилась в истинности фальшивого электронного послания и его аргументации, необходимо связаться с банком. И еще один совет: в критических случаях (а случай, касающийся денег всегда критический) не надо пользоваться ссылкой, лучше набирать вручную адрес нужного сайта в строке браузера.
   Рабочая группа по борьбе с фишингом отмечает, что пользователи стали более осведомленными о данной угрозе и более осмотрительными. Существует благоприятный прогноз, что мошенники станут реже прибегать к фишингу, зато ему на смену идут новые виды сетевого мошенничества, в частности фарминг и трояны.
   Фарминг
   Фарминг (англ. рharming) -- игра слов: превращение английского слова farming (сдача в аренду) в термин сетевых мошенников. Это также вид сетевого мошенничества, имеющий конечной целью кражу активов, хранящихся на счетах в банках. Если фишинг только приглашал посетить фальшивый сайт, на котором предлагалось ввести данные, удостоверяющие личность владельцев банковских счетов, то фарминг направляет жертву на фальшивый сайт автоматически, когда жертва пытается войти на официальный сайт банка. Причем так, что жертва об этом не догадывается. Автоматика может работать тремя следующими способами.
  -- Первый вариант фарминга -- заражение в компьютере жертвы программы DNS, которая преобразует доменные имена, состоящие из букв в адресной строке браузера, в фактические адреса сайтов в сети (IP-адрес), состоящие из цифр. Вирус, попавший в программу DNS обычным путем, дает неправильный IP-адрес при правильном адресе в адресной строке браузера. Использование эффективных, современных средств антивирусной защиты позволяет предотвратить проникновение подобных вирусов в программу DNS компьютера жертвы. Но если этот вирус попадет в незащищенный компьютер, его разрушительное действие жертва не заметит. Это наиболее популярный вид фарминга.
  -- Второй вариант фарминга заключается в проникновении на сайты и построении на них сценариев, позволяющих манипулировать посетителями сайта, отсылая их на фальшивый сайт.
  -- Третий вариант фарминга заключается в заражении записей DNS на сервере интернет-провайдера жертв. Но заразить DNS на сервере интернет-провайдера очень сложно, у них очень надежная защита. Зато мошенникам этот способ позволяет сразу получить данные, удостоверяющие личность многочисленных владельцев банковских счетов.
   Для защиты от фарминга рекомендуются следующие меры предосторожности.
  -- Используйте эффективные, современные средства антивирусной защиты.
  -- Первая линия обороны от фарминга проходит на сервере интернет-провайдера. Он должен быть надежен и известен.
  -- Проверяйте адреса сайта, запрашивающего идентификационную информацию. У адреса не должно быть никаких лишних символов.
  -- Проверяйте сертификаты. У каждого сайта должен быть действующий сертификат, выданный официальной организацией. Он легко проверяется браузером командой Файл/Свойства/Сертификаты.
  -- Никогда не входите с помощью ссылки на сайт, требующий ввода конфиденциальной информации. Вводите адрес в адресную строку браузера.
   Трояны
   После фарминга появились трояны. Это вид сетевого мошенничества, использующий вирусы, управляющие компьютером. Вирусы переносятся электронной почтой с прикрепленными файлами. Новейшие версии антивирусов в этой ситуации часто оказываются бесполезными. Новые виды вирусов пробираются в компьютер и находятся там в бездействии до тех пор, пока жертва не свяжется со своим банковским счетом. После этого вирус считывает все, что печатает жертва. После последнего щелчка мышью, подтверждающего финансовую операцию, вирус прерывает соединение и молниеносно уводит деньги на другие счета.
   Кража активов
   Она осуществляется достаточно несложно. Со счета снимаются деньги, переводятся на другие счета, там обналичиваются и переводятся в другие виды активов: ценные бумаги, недвижимость, гранты, займы, кредиты, проводя многоступенчатые переводы из одной формы активов в другую с тем, чтобы попасть к конечному выгодополучателю чистыми, как слеза младенца. Мошенники, используя данные, удостоверяющие личность владельцев банковских счетов, снимают деньги и направляют на счета граждан, которые за определенный процент от переведенных денег соглашаются получить на свой счет украденное. В результате мошенник остается неизвестным, а легковерный гражданин окажется в поле зрения правоохранительных органов. Легковерных граждан вербуют тоже через Интернет на сайтах вакансий. В вакансиях, естественно ничего о кражах не говорится, но там ставится условие, чтобы кандидат имел банковский счет. Очень много легковерных граждан было завербовано в России на известных сайтах.
   Как здесь поставить заслон мошенникам? Надо регулярно проверять выписки по банковским и кредитным карточкам и выявлять все подозрительные операции. Если сообщить вовремя об использовании "спящих" счетов, мошенническую сеть обязательно разрушат. А вот возместят ли вкладчикам уведенные с их счетов деньги при использовании украденных сведений, идентифицирующих их личность, решать будет суд.
   Заключение
   О репутации банкиру никогда не рано думать, ибо потерять ее можно в считанные минуты, а для восстановления потребуются годы, а может быть, и вечность. Утрата репутации может перевести к огромным материальным убыткам и потере имени на рынке. И хотя самыми удобными для анализа являются кредитные и рыночные риски, наступила пора заняться анализом риска потери репутации -- особенно при расцвете сетевого мошенничества. Для России эта статья, может быть, чуточку преждевременна. Лишь небольшое количество вкладчиков пользуются удаленным управлением своими счетами. Чуть большее количество клиентов банка имеют дебетовые и кредитные карточки. Основная масса клиентов толпится в очередях пред окошками операционистов. Но эта картина в ближайшем будущем должна измениться. Вот тогда наступит час сетевых мошенников.
   Поэтому сейчас банки должны подумать об укреплении своей локальной сети, о страховании против сетевого мошенничества, о ведении планомерной работы по обеспечению безопасности вкладчиков, о выявлении "засланных казачков", а может быть, и о создании своей специальной банковской сети.
   Об авторе:
   Некрасов Юрий Валентинович -- независимый эксперт.
  
  
  
  
  
  
  
  
  
  
 Ваша оценка:
Связаться с программистом сайта.

Новые книги авторов СИ, вышедшие из печати:
О.Болдырева "Крадуш. Чужие души" М.Николаев "Вторжение на Землю"

Как попасть в этoт список

Кожевенное мастерство | Сайт "Художники" | Доска об'явлений "Книги"