On-line banking: what is?

Hi-Tech (elvis@sgroup.ru)

Спецвыпуск Xakep, номер #036, стр. 036-048-3

Так как же все-таки обезопасить свой вклад? Во-первых, никогда и нигде не называй свой пароль доступа, пин-код. Обращай внимание на протокол передачи данных. Если это http, то стоит задуматься, надо ли? Когда откроется страница-форма для ввода данных кредитной карты, посмотри на строку адреса, вернее – на ее конец. Если там ты видишь «https», то можно эту форму заполнить. Если нет, то уходи с этого сайта. Это относится и к интернет-магазинам. Более 40 процентов кредитных карт добываются кардерами методом замены страницы какого-либо сайта на свою, которая пишет номера и прочую информацию, введенную обладателем карты, в лог. Остальные методы защиты стандартны. Пользоваться антивирусной программой, фаерволом, не открывать вложения из непонятных писем, не сообщать друзьям, а тем более незнакомым людям, информацию о своей кредитной карте/банковском аккаунте.

Обзор онлайн-банка

Самое время рассмотреть реальный пример онлайн-банка. Это будет ТПСБанк (г. Томск).

Вот как истолковывают менеджеры банка понятие «интернет-банк»:

«Интернет-банк - это новая компьютерная система проведения электронных платежей через глобальную сеть Internet, которая позволит вам с максимальной скоростью и надежностью осуществлять платежи в рублях и иностранной валюте из любой точки земного шара через наш банк, а также получать выписки по своим счетам и обмениваться сообщениями с сотрудниками банка, экономя при этом массу времени. Все, что вам необходимо иметь при себе - это дискета с секретным ключом и доступ к интернету. Такая система должна стать основной формой общения клиента с банком в области расчетного обслуживания». Так-так, значит, в этом банке используется система защиты с помощью ключа на дискетке. Ну что ж, хороший вариант. При регистрации (офлайновой, в реальном банке) пользователя подводят к компьютеру, он жмет на кнопку в генераторе, создавая таким образом ключ. Ключ записывается в базу данных напротив логина и пароля. То есть, пользователь сначала логинится, а потом уже использует ключ. Логин и пароль этим ключом не шифруются. Ключ лежит в базе, и вся информация, поступающая от пользователя, сначала поступает на сервер зашифрованной, там берется ключ, соответствующий этому пользователю, и информация декодируется.