Банк-клиент ВТБ: спасайсь, кто может, Закономерный результат использования небезопасного софта Опции

Уж сколько раз твердили миру: банк-клиентская система только под Windows и IE -- это потенциальная дыра в машину и показатель наплевательского отношения отделов ИТ и безопасности банка к клиентам. В ответ слышалось: "что за враньё, фантастика, виндовс -- самая безопасная система, IE -- самый безопасный браузер" и т.д.

Увы, не враньё. Коммерческие банки через это уже прошли, настала очередь госбанков.

Я сам не являюсь клиентом банка ВТБ, однако иногда приходится разгребать завалы на машинах, на которых стоит ВТБшный банк-клиент. Это в своём роде гениальная по идиотизму конструкция: локальный прокси с криптозащитой, который берёт на себя обмен с сервером банка, подсовывая ослу уже расшифрованную информацию от имени локалхоста. Ни с какими нормальными обозревателями он работать не умеет, фильтровать вредоносный трафик возможных расширений осла тоже не умеет. С ключами на флэшках работает на уровне 1990-х, требуя, чтобы ключевая флэшка устанаввливалась в систему всегда с одной и той же буквой. Утилита резервного копирования ключей не работает и т.п. -- в общем, полный набор совыковых удовольствий.

Короче говоря, проверяю работу одной из таких машин после вылова флэшечного вируса, захожу на сайт ВТБ и вижу следующий текст (это копипаста):

Внимание, важно!


Уважаемые клиенты!



В настоящее время в сети Интернет распространяется опасный вирус, который поражает браузер MS Internet Explorer. Вирус передает злоумышленникам секретную информацию (логины, пароли, ключи ЭЦП и др.), необходимую для доступа в системы ДБО и позволяет им получить удаленное управление компьютерами пользователей через сеть Интернет. Получив доступ в систему ДБО, мошенники осуществляют попытки списания средств со счетов в пользу подставных организаций, при этом тщательно скрывают следы своей деятельности, искажая информацию на страницах браузера. Пользователь может не увидеть подложного документа.



Чтобы не оказаться в такой ситуации, Банк рекомендует выполнить следующее:



Обновить конфигурационный файл программы Inter-PRO с официального ресурса СЗРЦ http://www.szrc.vtb.ru, загрузив его по ссылке в разделе «Корпоративный бизнес ⇒ Система "Клиент-ТелеБанк" ⇒ Программное обеспечение» или со стартовой страницы системы

Проверить надстройки в MS Internet Explorer. Удалить неиспользуемые и неподписанные (издатель не известен). Особое внимание обратить на модули в группах «загруженные»;

Убедиться в наличии на компьютере установленного антивирусного программного обеспечения с регулярным обновлением и он-лайн защитой;

Не оставлять включенным в компьютер устройства хранения ключей ЭЦП, если вы не работаете с системой (если нет активной сессии);

При работе в сети Интернет игнорировать любые попытки установки программного обеспечения (надстройки, активные сценарии, модули и т.п.), если они инициированы не Вами;

По возможности ограничить доступ с компьютера, который используется для работы с системой ДБО на другие ресурсы Интернета (в идеале аппаратно);

Поднять уровень безопасности MS Internet Explorer до «выше среднего». Запретить установку и запуск неподписанных элементов ActiveX;

При обнаружении любых аномалий в работе системы: искажение информации на страницах, затруднение входа в систему, получение информации от антивирусных систем о сторонних вмешательствах, появление незнакомых сообщений и прочих отклонений от штатной работы компьютера и системы ДБО, незамедлительно поставьте в известность сотрудников банка, собственные службы информационной безопасности и всех владельцев ключей ЭЦП в организации.



Напоминаем, что Вы можете совершенно бесплатно подключить SMS-аутентификацию в отделениях банка. Данный сервис существенно повышает безопасность работы в системе.



Любые вопросы по выполнению указанных рекомендаций вы можете адресовать специалистам службы технической поддержки банка по телефонам (812) 324-2034, 8-800-700-2034





Надеемся на понимание и участие.

С уважением, Служба технической поддержки.







--------------------------------------------------------------------------------





В целях обеспечения безопасности при работе с системой дистанционного банковского обслуживания "Клиент-Телебанк", просим Вас внимательно ознакомиться со следующей информацией:



Сотрудниками Банка не осуществляются телефонные звонки в адрес Клиентов с указаниями о необходимости обновления Системы, а также по вопросам изменения режимов работы.

Любая информация о необходимости выполнения каких-либо обновлений Системы на стороне Клиента или проводимых Банком работах размещается централизованно на страницах Системы в разделе информационных сообщений.

В случае если Вам поступит звонок, с указаниями выполнить какие-либо действия, связанные с работой Системы, его следует проигнорировать и по возможности незамедлительно проинформировать о данном факте Банк.



По всем возникающим вопросам, связанным с работой Системы, необходимо обращаться только по телефонам службы поддержки пользователей Системы, указанным в Договоре и на информационных ресурсах Банка.







Дополнительные меры защиты:



Учитывая информацию о попытках неправомерного получения персональных данных (логинов, паролей и секретных ключей электронно-цифровой подписи (ЭЦП)) пользователей систем дистанционного банковского обслуживания путем заражения компьютера вредоносными программами, СЗРЦ ОАО Банк ВТБ рекомендует пользователям системы дистанционного банковского обслуживания "Клиент-Телебанк", в целях снижения рисков несанкционированного доступа к системе, заключить дополнительное соглашение к Договору о порядке обмена и приема к исполнению банком электронных документов с использованием Системы "Клиент-Банк" на предоставление одной из двух (на выбор) услуг по дополнительной защите:



аутентификация пользователей в системе "Клиент-Банк" с помощью одноразовых кодов доступа, передаваемых через SMS-сообщения. В случае подключения данной услуги после прохождения стандартной процедуры регистрации в системе "Клиент-Телебанк" (ввод имени пользователя и пароля) на мобильный телефон пользователя передается SMS-сообщение с разовым кодом доступа, необходимым для работы в системе. Данная услуга предоставляется в рамках текущего сопровождения системы без взимания дополнительной платы;

USB-ключ MS-Key с функцией невозможности изъятия из него записанной ключевой информации. Данная услуга оплачивается отдельно в соответствии с действующими тарифами банка.

Обращаем Ваше внимание, что согласно условиям Договора о порядке обмена и приема к исполнению банком электронных документов с использованием системы ДБО "Клиент-Банк" ответственность за сохранность ключа ЭЦП и отсутствие доступа к нему третьих лиц возложена на владельца ключа.



Дополнительные меры защиты и рекомендации клиентам о необходимости соблюдения мер безопасности при использовании системы доступны на официальном ресурсе СЗРЦ http://www.szrc.vtb.ru в разделе «Корпоративный бизнес ⇒ Система "Клиент-ТелеБанк" ⇒ Средства защиты, используемые в системе»

Короче: уважаемые господа клиенты, деньги у нас в банке тырят только в лёт, мы ничего поделать не можем, разбирайтесь со своей виндой сами, а клиенты для нормальных ОС нам религия писать не позволяет (поскольку сертифицированных криптопакетов от КриптоПро сейчас разве что для хурда нет, да и то пока). Пересадить на не подверженного взлому явского клиента из только что купленного Банка Москвы не позволяет ну уж не знаю что -- жаба слоновая или природная ненависть к клиентам, что ли.

Вот такая реклама банка, господа. Делайте выводы.