Уважаемые клиенты!

В начале июля 2011г. в российских банках были зарегистрированы попытки хищения средств клиентов с использованием новой разновидности вредоносной программы       Java-вирус.

Вирус устанавливался на компьютер клиента, используя критические уязвимости в старых версиях Java-машин (JVM). Вредоносная программа встраивалась в Java-апплет, подменяла вызовы и процедуры, скрывала мошеннические действия и предоставляла злоумышленнику удаленное управление апплетом.

С помощью новой вредоносной программы мошенническое платежное поручение создавалось, подписывалось ЭЦП (Электронная цифровая подпись) клиента (в том числе с использованием подключенного USB-токена) и отправлялось в банк непосредственно с  инфицированного компьютера клиента. При этом все мошеннические действия выполнялись невидимо для пользователя.

После отправки мошеннического платежа в банк вредоносная программа предпринимала действия по сокрытию попытки хищения:

• мошеннический платеж не отображался в списке платежных поручений.
• операция списания средств не отображалась в выписке.
• остаток на счете модифицировался и не уменьшался на сумму мошеннического платежа.

Естественно, все перечисленные операции выполнялись при работе самого клиента в платежной системе iBank2.

В результате действий вредоносной программы корпоративный клиент не мог с инфицированного компьютера обнаружить факт несанкционированного списания и оперативно помешать злоумышленнику осуществить вывод похищенных средств.

Мошеннические действия были обнаружены банком на этапе обработки платежей в операционном подразделении.

Для противодействия новой угрозе клиентам необходимо принять следующие меры:

1. Подписывать платежные документы двумя подписями:

Директорской подписью – за номером один и Бухгалтерской - за номером два.

Ключи разместить на двух USB-токенах.  Подписывать платежные документы с разных компьютеров.

USB-токен  остается надежным хранилищем ключей, который исключает хищение ключей и их копирование. Генерацию ключей ЭЦП и их запись на флэш-карту и тем более на жесткий диск компьютера  запретить, без каких либо исключений.

2. Ввести, как обязательную норму банка, подписи платежных документов в дополнение к ЭЦП еще и одноразовыми паролями OTP (One Time Password).Одноразовые  пароли можно ставить под платежами начиная с определенной суммы, скажем, с  1 000  или          с 10 000 руб. по желанию клиента.

Эксплуатацию одноразовых паролей необходимо начинать незамедлительно, поскольку

зафиксировано значительное повышение активности компьютерных мошенников в регионе.

Система разовых паролей должна полностью исключить криминальные платежи, созданные как Java-вирусами, так и платежи созданные хакерами через программы удаленного доступа.

3. Обязать всех клиентов включить систему SMS – мониторинга. Это может сделать самостоятельно каждый  клиент.  Клиент должен получать SMS – сообщение о входе в систему от имени клиента, а так же получать SMS-сообщение о каждом отправленном платеже или группе платежей. Инструкция по включению услуги мониторинга размещена на странице http://www.jugraspb.ru/ibanking/enter

4.  Для работы в платежной системе iBank2  клиенты обязаны  оснащать компьютеры только легальным программным обеспечением. Прежде всего, компьютеры должен иметь лицензионное системное программное обеспечение (Windows XP, Windows Vista или  Windows 7).

Операционная система компьютера должна автоматически подгружать все обновления.

Для доступа в платежную систему клиенты должны использовать в качестве браузера Internet Explorer 7, Internet Explorer 8 или выше. Только на данный браузер периодически выходят обновления, закрывающие бреши в системе безопасности.

5. Все клиенты должны обновить версию программы JAVA до самой последней версии, следить за появлением новых версий и периодически ее обновлять. На сайте филиала на странице http://www.jugraspb.ru/ibanking/enter  выложена последняя версия JAVA от компании Sun для свободного скачивания ее клиентами.

6. Все компьютеры клиентов должны быть оснащены лицензионными антивирусными программами: Dr.Web, Caspersky, Microsoft Secure Issues. Главное требование к программе – оперативность обновления базы вирусов.

7. Все клиенты должны удалить старые Java-аплеты и при первом входе в систему iBank2 скачать новые Java-аплеты. Порядок обновления представлен на странице http://www.jugraspb.ru/ibanking/enter .  В целях обеспечения информационной безопасности  клиенты периодически обязаны удалять файлы скаченные ими из Интернета  хранимые в кэше браузера.

Для подключения клиентов, пользователей платежной системы iBank2 к системе одноразовых паролей ОТР, необходимо скачать бланк Заявления на подключение со страницы http://www.jugraspb.ru/ibanking/ . Заполнить Заявление, подписать его, поставить печать под документом,  направить документ в банк.

Документ будет приниматься только от директоров или финансовых директоров компаний, чьи подписи имеются в банковских карточках. Всем представляющим Заявления в банк на подключение к системе одноразовых паролей при себе иметь паспорт.

Администрация банка