Интернет-банкинг от Россельхозбанка
Физические лица, пользующиеся услугами Россельхозбанка, могут также использовать функционал Интернет-банкинга. С помощью этой программы можно воспользоваться следующим:
- Получать всю актуальную информацию относительно состояния счета, проводимых операций, задолженностях, процентам по займам, кредитам и вкладам.
- Проводить различные финансовые операции: оплачивать услуги, организовывать переводы, погашать задолженности перед другими организациями и государственными структурами.
- Дистанционно управлять кредитами, вкладами, своими расчетными счетами и банковскими картами.
- Изменять настройки, создавать собственные платежные шаблоны, в режиме онлайн задавать вопросы консультантам банка, замораживать денежные средства.
Как заключить договор?
Для заключения ДБО нужно обратиться в ближайший офис с документом, удостоверяющим личность (паспорт). В офисе нужно будет подписать заявление на банковское обслуживание.
На момент подписания такого соглашения клиент должен являться держателем карты международной платежной системы, привязанной к рублевому счету РФ. Если у обратившегося такой карты нет, в офисе для него выпускают моментальную — Momentum, которую позже можно заменить именным продуктом международного типа.
Наличие карты Сбербанка указанного типа позволяет получить доступ к указанным в ДБО услугам и пользоваться ими в полном объеме. Также какую-либо услугу, указанную в договоре, можно получить посредством заключения на нее отдельного соглашения в офисе организации или в личном кабинете.
Оплата за заключение универсального договора не берется. УДБО Сбербанк является показателем того, что клиент доверяет организации, которая берет на себя ответственность на качественное предоставление услуг. Кроме того, ДБО позволяет регулировать отношения между сторонами, заключившими его, в случае возникновения каких-либо проблем.
Сам ДБО продлевать не нужно: действует он бессрочно. Только человек решает, насколько долго продлится обслуживание.
Интернет-банк: что это такое
Интернет-банк — это цифровая платформа, которая предоставляет возможность пользоваться услугами банка, управлять своими счетами и средствами, не выходя из дома. Если раньше для получения той или иной услуги, оплаты счетов или погашения кредита нужно было идти отделение банка, то сейчас это можно сделать с мобильного или компьютера, создав на платформе учетную запись.
Когда вы открываете сайт любого банка, то в правом верхнем углу обычно расположена кнопка Личный кабинет. Он дает доступ к функционалу интернет-банка, но создать учетную запись могут лишь действующие клиенты, у которых есть дебетовая или кредитная карта. Ее номер потребуется для регистрации в системе.
Интернет-банк дает клиенту следующие возможности:
- оплата мобильной связи, Интернета, услуг ЖКХ, телевидения;
- денежные переводы на карту или счет любого банка (при переводах внутри одного финучреждения комиссия не взимается, а за платежи в другие организации нужно будет заплатить — размер комиссионного сбора зависит от банка);
- погашение задолженности по кредиту или кредитной карте;
- подключение банковских услуг, например, автоплатежей за коммунальные услуги, смс-оповещения об операциях по счету;
- подача заявки на выпуск банковской карты или получение кредита;
- открытие инвестиционных счетов;
- покупка драгоценных металлов или валюты;
- получение выписки по счету;
- открытие и пополнение вкладов;
- страхование счетов и вкладов;
- блокировка карты в случае ее потери или списания средств мошенниками.
Это лишь основные функции, которые доступны клиенту. В зависимости от обслуживающего банка, физлицо может получить и другие услуги. Например, подключить копилку к счету, указать сумму и периодичность ее пополнения. В заданное время нужная сумма будет автоматически списываться со счета в копилку без участия человека. Это идеальное решение для тех, кто планирует накопить определенную сумму, так как отключить копилку можно в любой момент в отличие от депозита.
Интернет-банк и Мобильный-банк на примере Сбербанка
Разработка совместных мер
Распределение зон ответственности:
- Зона ответственности кредитной организации.
-
Зона ответственности правоохранительных органов.
- Меры по противодействию предполагаемым или реальным фактам общеуголовных проявлений в банковской системе.
- Меры по созданию так называемой прямой/горячей линии между кредитной организацией и органами полиции.
- Участие в формировании централизованного/регионального банка данных о физических лицах и организациях различных форм собственности – недобросовестных участниках кредитно-денежных отношений.
С целью своевременного обмена информацией с органами внутренних дел между управлением «К» Бюро специальных технических мероприятий
и ОАО «Россельхозбанк» достигнуто соглашение о взаимодействии в области обеспечения банковской безопасности, и в банке разработана типовая форма обращения в управление «К» Бюро специальных технических мероприятий (подразделения «К» территориальных подразделений полиции).
Виды дистанционного банковского обслуживания (ДБО)
Технологии ДБО можно классифицировать по типам информационных систем (программно-аппаратных средств), используемых для осуществления банковских операций:
1. Системы «Клиент-Банк» (PC-banking, remote banking, direct banking, home banking)
Системы, доступ к которым осуществляется через персональный компьютер. Банк при этом предоставляет клиенту техническую и методическую поддержку при установке системы, начальное обучение персонала клиента, обновление программного обеспечения и сопровождение клиента в процессе дальнейшей работы. Системы «Клиент-Банк» обеспечивают полноценное расчетное и депозитарное обслуживание и ведение рублёвых и валютных счетов с удалённого рабочего места. Системы «Клиент-Банк» позволяют создавать и отправлять в банк платёжные документы любых типов, а также получать из банка выписки по счетам (информацию о движениях на счёте). В целях безопасности в системах «Клиент-Банк» используются различные системы шифрации. Использование систем «Клиент-Банк» для обслуживания юридических лиц до сих пор является одной из наиболее популярных технологий ДБО в России. Системы «Клиент-Банк» принципиально подразделяются на 2 типа (толстый клиент и тонкий клиент):
1.1 Банк-Клиент (толстый клиент)
Классический тип системы Банк-Клиент. На рабочей станции пользователя устанавливается отдельная программа клиент. Программа клиент хранит на компьютере все свои данные, как правило, это платёжные документы и выписки по счетам. Программа клиент может соединяться с банком по различным каналам связи. Наиболее часто для соединения с банком используется Dial-UP соединение через модем или прямое соединение с Интернетом.
Пользователь входит в систему через Интернет браузер. Система Интернет-Клиент размещается на сайте банка. Все данные пользователя (платёжные документы и выписки по счетам) хранятся на сайте банка. По технологии Интернет-Клиент строятся также системы для мобильных устройств — PDA, смартфоны (Мобильный банкинг (mobile-banking). На основе Интернет-Клиент могут предоставляться информационные сервисы с ограниченным набором функций (Выписка On-Line).
Как правило, системы Телефон-Банк имеют ограниченный набор функций по сравнению с системами «Клиент-Банк»:
- информация об остатках на счетах;
- информация о суммах поступлений в пользу клиента;
- ввод заявок на предоставление факсимильной копии выписки по счету;
- ввод заявок о проведении платежей, заказ наличности;
- ввод заявок на передачу факсимильной копии платежного поручения;
- ввод заявки на исполнение подготовленного по шаблону поручения на перевод средств;
- Общение клиента с оператором телефонного обслуживания (Call Center).
- С использованием кнопочного телефона (Touch Tone Telephone) и голосового меню (средств компьютеризованной телефонной связи (технологии IVR (Interactive Voice Response)), Speech to Text, Text to Speech).
- Посредством передачи SMS сообщений (SMS-banking)
- ДБО с использованием банкоматов (ATM-banking) — основаны на программном обеспечении, установленном на банкоматах банка. См. также Банковская карта
- ДБО с использованием платежных терминалов;
- ДБО с использованием информационных киосков.
Горизонтальная структура ДБО
Как говорилось выше, горизонтальная структура ДБО представляет собой совокупность элементов ДБО соответствующего уровня и связи между ними. В частности, структура ДБО верхнего уровня включает:
- некоторую совокупность ДБО среднего и нижнего уровней, функционирующих в рамках определенного сегмента рынка;
- некоторое количество обслуживающих компаний, участвующих в цепочках создания ценности на рынке ДБО (процессинговые центры, платежные агенты, аутсорсинговые компании и т.п.);
- некоторое количество систем сопряжения, обеспечивающих встраивание внутренних бизнес-процессов банков и компаний во внешние цепочки создания ценности.
Аналогично структура ДБО среднего уровня включает:
- некоторую совокупность систем ДБО нижнего уровня, функционирующих в отдельном банке и отличающихся функционалом ПАК, каналами удаленного доступа, правилами работы и договорной базой;
- некоторое количество систем сопряжения, обеспечивающих взаимодействие между системами ДБО нижнего уровня, в частности между отдельными ПАК и связанными с ними системами управления бизнес-процессами.
Наконец, структура ДБО нижнего уровня как минимум включает:
- интерфейсы пользователей, необходимые для ввода распоряжений;
- устройства сопряжения между интерфейсами пользователей и каналом удаленного доступа;
- канал удаленного доступа между клиентами и банком;
- устройство сопряжения между каналом удаленного доступа и ПАК банка;
- ПАК банка и связанную с ним систему управления бизнес-процессами, ответственную за предоставление банковских услуг в соответствии с распоряжениями, получаемыми по каналам удаленного доступа.
При этом структура элементов ДБО нижнего уровня может иметь ряд особенностей.
Во-первых, интерфейс пользователя может использоваться не только для ввода, но и для вывода информации, получаемой из банка, а также для доступа к дополнительному функционалу устройства сопряжения.
Во-вторых, устройство сопряжения на стороне клиента обычно способно осуществлять различные сервисные функции, доступные через интерфейс пользователя.
В-третьих, канал удаленного доступа может иметь сложную структуру. В частности:
- канал удаленного доступа, выходящий из банка, часто подключен к некоторой сети, к которой также подключены участки канала, идущие от клиентов;
- в рамках одного физического канала (проводной или оптоволоконной линии, радиоканала) могут функционировать несколько информационных каналов (голосовая связь, WAP, SMS и GPRS в рамках радиоканала мобильной связи);
- канал удаленного доступа может представлять собой несколько разнородных участков, соединенных последовательно с помощью устройств сопряжения (например, мобильная связь на стороне клиента обычно заканчивается широкополосным доступом в Интернет на стороне банка).
В-четвертых, устройство сопряжения на стороне банка обычно имеет развитый сервисный функционал, доступный через интерфейсы рабочих мест сотрудников банка.
В-пятых, бизнес-процессы, связанные с ПАК ДБО, являются частью системы бизнес-процессов всего банка, которые, как правило, автоматизированы с помощью разнородных программно-аппаратных средств и как-то интегрированы в единый комплекс.
Недостатки удаленного обслуживания
Но есть у этой системы и минусы, и, как оказалось, они довольно существенные:
Безопасность. Как бы ни старались банки минимизировать возможности мошенников завладеть чужими деньгами, но преступники все равно находят все новые лазейки. Конечно, все сайты оснащены системой шифрования, и просто так завладеть вашей информацией довольно сложно. В большинстве случаев пользователи сами, непреднамеренно, раскрывают персональные данные. Однако, доля вины банка тоже есть. Ведь для обеспечения максимальной защиты нужно постоянно вкладывать деньги в модернизацию систем безопасности, на чем банки часто экономят.
Проблемы в доступе
И здесь не обошлось без проблем со связью, неважно, мобильной или интернет-соединением. Ведь доступ к ДБО можно получить исключительно при налаженном соединении
А если имеет место сбой, то и доступ к кабинету не получишь, да и вероятность ошибок в проведении платежей при резком сбое соединения никто не отменял.
Все дополнительные услуги платные. Если в целом система ДБО практически не стоит ничего, то вот ее полный функционал обойдется недешево. Банки научились разграничивать минимальный набор услуг, от премиального, и неплохо на этом зарабатывают. Так, предоставление дополнительного доступа к одному и тому же кабинету, например, с ограниченными правами, может обойтись в крупную сумму.
Необходимость устройства для работы в системе ДБО. Офис банка вам не нужен, но без современного смартфона, компьютера или планшета не обойтись. Причем в ряде случаев, для установки ПО устройство должно обладать достаточными техническими характеристиками. Не говоря о том, что для использования банкомата или терминала его еще нужно найти, а порой и добраться до него пешком или на транспорте.
Низкий уровень навыков и знаний. Для продвинутых пользователей интернета и ПК сложностей не должно возникнуть. Но если у вас нет достаточных знаний в использовании технологий и устройств, на освоение системы ДБО потребуется определенное время. При этом большинство банков готовы предоставить консультацию по использованию личного кабинета в режиме телефонного звонка, а также в интернете можно найти множество инструкций по работе с онлайн-кабинетами.
Необходимость получения бумажного подтверждения. И банки, конечно, постарались решить эту проблему, предоставляя электронный документ с QR-кодом, но все же иногда может потребоваться документ с мокрой печатью банка. В таком случае избежать посещения офиса не удастся, даже если операция была уже проведена удаленно.
Удаленно, но не круглосуточно. Данное утверждение особенно актуально для бизнеса. Конечно, вы можете создать все платежки дома в 3 часа ночи, но проверить и провести их сотрудники банка смогут только в рабочие часы. И это серьезный недостаток, если вы находитесь в другом часовом поясе. Часть банков рассматривает возможность предоставления круглосуточной поддержки, однако это доступно далеко не всегда и только привилегированным клиентам.
«ИНИСТ»
Разработка компании «ИНИСТ» доступна в двух версиях, в зависимости от используемой СУБД. Уязвима версия с СУБД Firebird. Второй вариант, основанный на MS Jet Database Engine, лишен такого недостатка — никакие порты наружу не торчат, а значит, в этом случае система устойчива к описываемым воздействиям.
Внешний вид системы «ИНИСТ»
Другие статьи в выпуске:
Xakep #207. Дистанционное банковское ограбление
- Содержание выпуска
- Подписка на «Хакер»-60%
Ну а Firebird по старой доброй привычке открывает порт для всей локальной сети.
Открытый в локальную сеть порт СУБД Firebird
Подключиться к нему можно с помощью утилиты IBExpert. Для этого в настройках подключения к базе указываем адрес удаленного сервера, протокол TCP/IP, версию сервера и файл базы данных , логин и пароль по умолчанию .
Подключившись к БД, можно узнать любую информацию из банк-клиента и даже подправить ее удаленно. Например, узнать хеш пароля от ДБО-клиента.
Хеш пароля от ДБО-клиента
На вид формат хеша мне незнаком. Однако можно, покопавшись во внутренностях клиента ДБО, найти алгоритм его генерации и попробовать сбрутить. Не исключаю, что он может оказаться обратимым, и тогда брутить ничего не придется, получится сразу его узнать. Но это нужно проверять отдельно. Также через БД можно смотреть документы, пересылаемые в банк и из банка, и скрытно по сети модифицировать их.
Таблица, хранящая документы
Отдельно стоит упомянуть инструкцию по установке.
Инструкция по установке ДБО «ИНИСТ»
Хоть она и говорит, что нужно ввести стандартные логин и пароль для БД, тут же упоминается о возможности сменить этот пароль позже. Вопрос в том, насколько пользователи следуют инструкции на практике, ведь здесь смена пароля для SYSDBA не является обязательным шагом при установке клиента.
Интересно, что документация по установке ДБО «ИНИСТ», распространяемая банками, вообще ничего не говорит про возможность смены пароля, только «нужно ввести sysdba и masterkey».
Функциональные возможности Банк-клиента
Наиболее важным преимуществом системы Банк-клиент от Россельхозбанка можно назвать возможность управления своими расчетными или банковскими счетами, не посещая при этом отделение банка. Вы можете выполнять любые операции сидя за компьютером – в любое время дня и ночи. Теперь вы всегда можете оперативно получить информацию о текущем состоянии счета, поступивших денежных средствах, а также совершенных платежах.
При возникновении вопросов обратитесь в контактный центр, там помогут разрешить все имеющиеся проблемы. Также в Банк-клиенте вы всегда можете создать платежные поручения, что крайне удобно для крупных организаций.
Функционал приложения позволяет:
Если у Вас остались вопросы — сообщите нам Задать вопрос
- Загрузка и скачивание документов из 1С Бухгалтерия.
- Осуществлять контроль за платежами не только основной, но и дочерних организаций.
- С одного рабочего места осуществлять деятельность сразу по нескольким расчетным счетам.
- Предоставить ограниченные права на доступ к системе.
- Нести финансовую ответственность за деятельность организации.
Банк-клиент – удобное приложение, которое позволит вам всегда следить за состоянием своих финансов. Его нужно скачать на сайте РСХБ. С ним вы можете получить полную самостоятельность, теперь вам не нужно постоянно ходить в банк, чтобы провести какую-либо операцию или взять выписку. Подробная инструкция ответит на все вопросы.
Финансовое регулирование
Услуги по ДБО регулируются следующими положениями Центрального Банка России:
- Положение от 05.12.2002 г. № 205-П «О правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории РФ»
- Положение от 03.10. 2002 г. № 2-П «О безналичных расчетах в РФ».
- Положения от 09.10.2002 г. № 199-П «О порядке ведения кассовых операций в кредитных организациях на территории РФ» (п. 2.8 «Организация работы с денежной наличностью при использовании банкоматов, электронных кассиров, автоматических сейфов и других программно-технических комплексов»);
- Положения от 23.06.1998 г. № 36-П «О межрегиональных электронных расчетах, осуществляемых через расчетную сеть Банка России»;
- Положения от 12.03.1998 г. № 20-П «О правилах обмена электронными документами между Банком России, кредитными организациями (филиалами) и другими клиентами Банка России при осуществлении расчетов через расчетную сеть Банка России».
- Временное положение от 10.02.1998 г. № 17-П «О порядке приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи, при проведении безналичных расчетов кредитными организациями»
Кроме того, необходимо учитывать требования:
- Федерального закона от 10.01.2002 г. № 1-ФЗ «Об электронной цифровой подписи»;
- Стандарта Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации;
- Письма Банка России от 03.04.2004 № 16-Т «О рекомендациях по информационному содержанию и организации web-сайтов кредитных организаций в сети Интернет»
- Письма Банка России от 07.12.2007 № 197-Т «О рисках при дистанционном банковском обслуживании»
- Письма Банка России от 31.03.2008 № 36-Т «О рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга»
- Письма Банка России от 30.01.2009 № 11-Т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при оспользовании систем интернет-банкинга»
Услуги по ДБО регулируются следующими положениями Национального Банка Украины:
Инструкция от 21.01.2004 № 22 про безналичные платежи на Украине в национальной валюте, Глава 11.
Заключение
Технический прогресс
в области предоставления банковских услуг, связанных с ДБО, приводит к необходимости учета достаточно большого количества факторов организационного и технологического характера, к которым относятся в том числе и неотложные организационные меры.
Исключительно комплексные, организационные и технические меры безопасности информационной инфраструктуры коммерческого банка могут обеспечить минимизацию последствий преступных посягательств злоумышленников при ДБО и только при условии тесного взаимодействия кредитного учреждения с соответствующими правоохранительными органами, и прежде всего с управлением «К» Бюро специальных технических мероприятий (подразделениями «К» территориальных подразделений полиции), а также взаимодействия между заинтересованными кредитными организациями.
Принципы взаимодействия позволяют коммерческому банку определить основы организации взаимодействия с иными заинтересованными кредитными организациями и правоохранительными органами для предупреждения и минимизации рисков хищений злоумышленниками денежных средств клиентов кредитной организации при дистанционном банковском обслуживании, эффективного управления рисками и сохранения деловой репутации.
Комментарий эксперта
Александр Матросов
директор центра вирусных исследований и аналитики компании ESET
Сегодня дистанционное банковское обслуживание (ДБО) стало неотъемлемой частью взаимодействия коммерческих организаций с банками. Однако использование интернет-ресурсов несет серьезные риски, связанные с обеспечением информационной безопасности.
Только за I квартал 2011 г. специалисты центра вирусных исследований и аналитики компании ESET зафиксировали 30%-ный рост количества инцидентов, связанных с мошенничеством в системах ДБО. Основной причиной хищения денежных средств при использовании интернет-банкинга является слабая политика информационной безопасности в компаниях, в то время как последние инциденты в этой сфере демонстрируют рост профессионализма злоумышленников при разработке вредоносного ПО. Только в Москве каждый месяц происходит несколько десятков преступлений с использованием ДБО. Кроме того, каждую неделю службы безопасности банков пресекают попытки мошенничества на суммы в сотни миллионов рублей.
Компания ESET в борьбе с киберпреступностью использует разные подходы и методы. Одной из последних инициатив, направленных на противодействие мошенничеству в банковской сфере, стало сотрудничество с банком ВТБ 24, в рамках которого наши специалисты принимают участие в нейтрализации фишинговых сайтов, а также вредоносного ПО, направляющего на подобные ресурсы.
Благодаря тесному взаимодействию специалистов ESET с различными российскими банками происходит отслеживание и своевременное реагирование на появление новых угроз в данной сфере. Постоянный анализ новых видов мошеннических программ помогает успешно расследовать преступления в системах ДБО.
Однако этих мер явно недостаточно для обеспечения юридическим лицам финансовой безопасности. Для того чтобы не допустить хищения денежных средств, компаниям как минимум необходимо использовать надежные решения для защиты. Не стоит экономить и на обучении IT-специалистов в сфере информационной безопасности. Квалифицированные сотрудники могут проводить анализ уязвимостей бизнеса при работе в сети, что способствует снижению рисков во время использования услуг ДБО.