Горячая линия бесплатной юридической помощи:
Москва и область:
Москва И МО:
+7(499) 322-06-74 (бесплатно)
Санкт-Петербург и область:
СПб и Лен.область:
+7 (812) 407-24-18 (бесплатно)
Банк-клиент: правила выживания - «Хакер»

Доступ к банк клиенту

Классификация

Системы ДБО бывают разными, и поэтому работа с ними тоже протекаетпо-разному. Проведу быструю классификацию:

  • Толстый Банк-Клиент
  • Тонкий Банк-Клиент
  • Интернет-Клиент
  • Мобильный-Клиент
  • ATM-Клиент

Толстый

Этот мамонт — прародитель системы, используется издревле, но до сих пор. Егоособенность в том, что пользователь системы работает с БД локально! Этоозначает, что копия его счета лежит у него в файле, и он аутентифицируетсялокально в БД, а там с помощью выданного банком ПО он и работает — создаетплатежки.

https://www.youtube.com/watch?v=G_1vQhDpEN8

Потом он соединяется сервером банка — по модему напрямую или черезинтернет, базы синхронизируются, подписи проверяются, и клиент может обрубатьсоединение и смотреть, что и как синхронизировалось, какие платежки ушли, какиенет, и сколько денег у него осталось.

Тонкий

Клиент работает со счетом из браузера. Это означает, что он работает ужечерез веб-интрефейс (иногда через специальный интерфейс на Java) и локальнойбазы у него нет, но, тем не менее, ему накатываются плагины к браузеру в видеJava-апплетов или ActiveX, чтобы делать подписи (электронная подпись ставитсялокально, так как секретный ключ находится у клиента).

Интернет-Клиент

То же самое, что и тонкий, только тут я его выделил в отдельную группу, таккак никаких ActiveX не ставится, а используются одноразовые пароли или иныеприблуды без установки ПО от банка. Такое чаще всего реализовано для физическихлиц, которым электронная подпись не нужна.

Мобильный

То же, что и интернет, только подтверждение платежа происходит с помощьюмобильного телефона. Например, с помощью посылки на телефон одноразового пароля.

Работа со счетом осуществляется через банкомат.

Юридические лица — компании, фирмы, государственные учреждения и т.п.используют в большинстве своем толстые и тонкие БК. При этом еще осталисьмамонты, которое работают по телефонной линии через модем.

Общие сведения о системе

«Клиент-Банк» — это особая услуга для постоянных банковских клиентов. Представляет собой специализированный программный комплекс, предоставляющий доступ к различным операциям по счетам.

В рамках системы клиенты могут обмениваться документами и информацией со своими партнерами, а также представителями финансовой организации. Причем делать все это можно в удаленном режиме. А сам процесс обмена выполняется посредством компьютера или мобильного телефона, подключенного к Сети.

Юрики

Итак, почему юридические лица? Во-первых, у них большой поток денег имножество переводов в сутки. Если добавить одну маленькую платежку, ну, скажем,на один-два миллиона рублей, то такая платежка на фоне остальных не вызоветподозрения у операциониста.

И потом, у юридических лиц нет подтверждения черезмобильники и прочей лабуды, что напридумывали для физических лиц взаменэлектронно-цифровой подписи (ЭЦП) на платежку (у них только ЭЦП). Следующийфактор — больше возможностей для маневра и взлома.

Фактически, взламывая ЛЮБУЮфирму или компанию, можно смело утверждать, что где-то там в локалке естькомпьютер с установленным банк-клиентом. Более того, в действительно большихфирмах финансисты, которые от имени фирмы осуществляют платежи, имеют договорысразу с НЕСКОЛЬКИМИ банками и БК соответственно, более того, они же непридумывают и, тем более, не знают, что именно они делают.

Что я сейчас сказал?🙂 Вот именно — не знают. В большинстве случаев такие операторы просто получаютТЕКСТОВЫЙ ФАЙЛ без подписи из 1С или из ERP-системы со списком, куда, сколькоотправить, что они уже и выполняют в БК.

В чем плюсы работы с Клиент-банком?

Банк-клиент представляет собой систему дистанционного банковского обслуживания (ДБО), предназначенную для удаленного проведения платежей и прочих банковских операций, контроля расчетного счета в режиме реального времени посредством обмена информацией с банковским сервером через интернет.

Характеристики системы:

  • Представляет собой программу, устанавливаемую на ПК клиента.
  • Банковские документы (платежки, выписки) хранятся на компьютере пользователя
  • Возможна работа вне сети. Банк-клиент позволяет в офлайн-режиме формировать новые документы, использовать возможности экспорта и импорта, создавать новые документы, выгружать старые выписки. Однако отправлять платежки, загружать новые выписки банк-клиент не позволяет, так как для этого нужна связь с сервером банка.

О том, как учитывать операции по расчетному счету, читайте в статье «Операции по расчетному счету в бухгалтерском учете».

Клиент-банк в классическом понимании — это совокупность способов удаленного банковского обслуживания, доступ к которым происходит через ПК пользователя. Банк предоставляет клиенту необходимое программное обеспечение, техническую и методическую поддержку.

Однако в зависимости от способа сетевых коммуникаций выделяют 2 вида ДБО: «толстый» клиент (банк-клиент, или программа клиент-банк) и «тонкий» клиент (интернет-банк).

Основное отличие в работе двух систем удаленного доступа в том, что интернет-банк работает полностью через интернет посредством браузера (вся информация о банковском счете находится на сервере банка), в то время как банк-клиент (толстый клиент) работает через программу, установленную на компьютере пользователя.

  1. Работа с документами вне сети интернет.
Предлагаем ознакомиться:  Заложить землю в банк по кадастровой стоимости

Доступна для программы банк-клиент, для интернет-банка недоступна.

  1. Возможности доступа с нескольких устройств.

Для одновременного доступа к данным через интернет-банк необходим лишь специально настроенный браузер. Для доступа в банк-клиент нужна установка программы на каждом компьютере.

  1. Хранение данных, защита информации.

Данные в системе интернет-банк хранятся на сервере банка, при использовании программы банк-клиент — на компьютере пользователя, поэтому в системе банк-клиент информация о счетах подвержена большей опасности.

В случае если выйдет из строя компьютер с системой пользователя интернет-банка, он сможет просто переустановить браузер или зайти в онлайн-банк с другого устройства, в то время как пользователь банк-клиента, возможно, потеряет часть информации о счете, и эти данные придется восстанавливать.

  1. Расширенные функции.

Как правило, система банк-клиент предоставляет больше опций, например просмотр истории изменения статуса документа и другие. Также немаловажным плюсом для некоторых организаций будут возможности взаимодействия системы обслуживания с различными бухгалтерскими сервисами и программами (для банк-клиента они, как правило, шире).

В зависимости от необходимых параметров работы организация может выбрать тот или иной вариант дистанционного банковского обслуживания либо совместно использовать и ту и другую систему.

Доступ к банк клиенту

Большинство финансовых организаций, желающих прибавить к своим действующим сервисам услуги «Клиент-Банка», стараются сделать заказ напрямую у разработчика. В данном случае им не нужно изобретать колесо.

Другие же банки стараются сделать эксклюзивный продукт своими силами. В этом случае они сами создают систему по своему усмотрению. Однако как таковых общих правил по изготовлению подобного программного обеспечения нет.

Не предусмотрен и общий подход представителей банка при подключении услуги. Например, в одних финансовых институтах за доступ к сервису деньги не берут. У других такие услуги являются платными. Третьи предлагают клиентам ежемесячное платное обслуживание и т. д.

Основная функция системы «Клиент-Банк» (для юридических лиц это настоящая находка) — предоставление возможности выполнения платежей предприятия без личного посещения финансовой организации. Более того, данный сервис дает возможность отслеживать движения на текущих счетах компании.

Как правило, такие обязанности возлагаются на плечи бухгалтеров. При помощи данной услуги они, к примеру, могут узнавать о зачислении средств от клиентов предприятия. После того как оплата будет выполнена, организация вправе отгрузить товар.

Кроме того, в пределах системы руководители компании или уполномоченные ими люди могут получать готовые выписки по счетам, узнавать текущий курс валют, вести записи действующих контрагентов. А также при помощи «Клиент-Банка» всегда можно быть в курсе самых свежих новостей финансового учреждения, включая появление новых продуктов, снижение процентов по кредитам, рост ставок по депозитам и различные акции.

Среди основных преимуществ программного обеспечения банков можно выделить следующие:

  • Простота подключения.
  • Простота управления (не требуется дополнительного обучения и навыков работы).
  • Удобство использования (без необходимости посещать отделение банка).
  • Контроль всех движений по счетам в удаленном режиме.
  • Возможность создавать готовые шаблоны для выполнения платежей.
  • Получение самых свежих новостей о банковских продуктах.
  • Предоставление сведений о текущих курсах валют (незаменимо при выполнении обменных операций).
  • Простота использования электронного документооборота.

И конечно, система славится своей оперативностью. При ее использовании клиенты банка, включая юридических лиц, восхищаются высокой скоростью выполнения платежей. Более того, все данные хранятся в едином электронном реестре и не требуют документального подтверждения.

И наконец, система работает круглосуточно. Это позволяет клиентам организации контролировать свои счета в течение всего рабочего дня. Более того, система надежно защищена. Она контролирует действия при помощи одноразовых паролей, а также дополнительных электронных ключей.

Иногда в работе системы могут возникать и неприятные ситуации. В частности, большая часть из них связана с несогласованными действиями руководителей предприятия и банка. Особенно остро проблема чувствуется тогда, когда система приобретается и устанавливается самостоятельно.

Работа с онлайн-банкингом имеет ряд преимуществ:

  1. Оперативность. Применение услуги Клиент-банка — возможность дистанционно управлять имеющимися в распоряжении средствами из офиса или дома. Благодаря этому, удается свести к минимуму затраты времени на посещение кредитной организации.
  1. Простота. Банк-клиент полностью автоматизирована. Кроме того, благодаря контролю заполнения реквизитов, удается избежать многих ошибок в процессе проведения финансовых операций.
  1. Безопасность. Дистанционное обслуживание — популярная опция, алгоритм работы которой налажен на 100%, а сама система Клиент-банка надежно защищена от постороннего вмешательства. По этой причине можно быть уверенным в конфиденциальности данных и безопасности проведения операций. Здесь предусмотрено несколько уровней защиты:
  • Пароль.
  • Шифрование.
  • Применение ЭЦП.
Предлагаем ознакомиться:  Узнать судебный приказ по номеру исполнительного производства

Также Банк-клиент — это:

  • Сокращение расходов на покупку вычислительной техники.
  • Проведение операций из любой точки планеты.
  • Легкость установки требуемого ПО.
  • Уверенность в сохранности данных.

Какие разновидности сервиса существуют?

«Клиент-Банк» условно можно разделить на два вида:

  • «Толстый клиент».
  • «Тонкий клиент».

В первом случае имеется в виду классический вариант программы, предполагающий установку отдельного сервиса на рабочую станцию пользователя. Что это значит? Иными словами, программа устанавливается на компьютер или мобильное устройство.

Все необходимые данные, включая разнообразные выписки по счетам и документы, также сохраняются на ПК и в сервисе «Клиент-Банк». Входв систему выполняется посредством портативного устройства, подключенного к Сети.

«Толстый клиент» предполагает различные варианты соединения с банком. Самым простым среди них является вариант с использованием телефонных линий, модема либо подключения к интернету. Данный тип системы не требует постоянного доступа к технологии дистанционного банковского обслуживания (сокращенно ДБО).

Все дело в том, что изначально такая программа может устанавливаться на собственную систему управления баз данных. Такой подход помогает выполнять резервирование соответствующих баз данных и обеспечивает работой пользователей с сетевой версией сервиса.

В случае же с «тонким клиентом» вход в систему выполняется через интернет-браузер. При этом сама программа устанавливается на виртуальный сервис кредитного учреждения, а все данные о пользователе хранятся на сайте банка (в разделе «Личного кабинета»).

По сути, этот тот же интернет-банкинг для ПК или мобильный банкинг для телефонов и смартфонов. Однако все в комплексе называется «Банк-Клиент». Кредит, отправление переводов, оплата счетов и прочие финансовые функции становятся доступными после подключения данной программы.

Что такое банк-клиент и как в нем работать?

На современном этапе система Клиент-банка для юридических лиц, граждан и ИП позволяет:

  • Получать из кредитной организации выписки по аккаунту.
  • Передавать в финансовое учреждение платежные поручения.
  • Создавать и направлять различные бумаги в электронной форме.
  • Формировать и вести архив переданных в банк указаний.
  • Получать дополнительную информацию, в том числе и по курсам валют.
  • Вести неограниченное число счетов. При работе с Клиент-банком можно использовать несколько р/с, контролировать проведение транзакций, следить за остатком средств на счету.

Система онлайн-банкинга доступна всем клиентам кредитных учреждений (ИП, юрлицам и гражданам). Чтобы подключить услугу, необходимо:

  • Иметь под рукой персональный компьютер, связанный с глобальной сетью.
  • Направиться в банк с заявлением о подключении. Здесь стоит указать вариант подсистемы (это может быть интернет-клиент, банк-клиент и прочие).
  • Обговорить с сотрудниками учреждения возможность подключения такой опции с позиции программных и технических параметров. В ряде случаев требуется доукомплектация рабочего места.
  • Оформить дополнительное соглашение на РКО. Иногда применение Клиент-банка приводит к повышению общих затрат на содержание расчетного счета.

Стоимость подключения онлайн-банкинга зависит от ряда факторов:

  • Банковского учреждения.
  • Вида тарифного плана.
  • Наличия технической возможности.
  • Количества предоставляемых опций и прочих.

Чаще всего подключение услуги Клиент-банк бесплатно. В большей части случаев услуга интернет-банкинга уже включена в тарифный пакет РКО (для юрлиц), что приводит к большим ежемесячным расходам на содержание аккаунта.

Но практика показывает, что такие расходы оправдывают себя на 100%, ведь работа с Клиент-банком — удобно, выгодно и просто.

Доступ к банк клиенту

Как мы уже выяснили, клиент-банк — это обобщенное понятие, объединяющее системы банк-клиент и интернет-банк (интернет-клиент). Назвать интернет-систему, работающую через специальную банковскую программу, можно и банк-клиентом, и клиент-банком. Однако в договорах банковского обслуживания, как правило, используется термин «клиент-банк».

Перед тем, как заблокировать доступ к системе «Клиент-банк» сотрудники банковского учреждения нередко звонят в фирму, чтобы запросить разъяснения на тему подозрительных операций по счету. Кроме того, банк вправе пригласить учредителя фирмы или ее руководителя для личной беседы.

Как правило, банк, задавая вопросы по отчетности компании, может попросить представить ему подтверждающие бумаги. Это могут быть: учредительные документы организации, договоры аренды недвижимого имущества, а также копии договоров с действующими контрагентами. Нередко банк запрашивает и копии платежных поручений, представляемых в бюджет.

Кстати, облачная бухгалтерия от Бухсофт с возможностью подготовки платежных поручений позволяет взаимодействовать с вашим банком доступно и легко, исключая любые неточности и ошибки с вашей стороны.

Только вот банк вовсе не обязан уведомлять клиента о блокировании «Клиент-банка» и делает это зачастую без выяснения обстоятельств. Как правильно реагировать на такие действия юридическому лицу или ИП?

В первую очередь, в произвольной форме, но корректно составьте пояснение о произведенных операциях по расчетному счету, которые вызвали сомнения у банка. И вместе с пояснением предоставьте подтверждающую документацию.

В век высоких технологий глупо работать с бумажками, ходить в банк, чтобыподписывать их, и делать таким образом денежные переводы партнерам по бизнесу.Средние по размеру фирмы в день могут проводить от трех до сотни таких операций,поэтому неудивительно, что все это делается через интернет.

Предлагаем ознакомиться:  Как себя вести, если вам звонят из банка по поводу просроченного кредита?

Как это работает: банк устанавливает у себя ПО, работающее с БД, где можнорулить деньгами на счетах. Кроме этого ставится сервер с доступом в инет. Любойклиент может использовать этот сервис (предварительно пройдя аутентификацию),чтобы получить доступ к своему счету и отправить деньги куда угодно.

Отправкаденег выглядит как забивка текста в специальные формы — там указываетсяполучатель перевода (счет, ИНН и т.д.), с какой целью и сколько, собственно,денег отправляется и еще много чего подобного.

Это называется «платежноепоручение». Далее операционист банка (сотрудник) просматривает все накопившиесяплатежные поручения и жмет кнопку «ОК», после чего ПО снимает деньги со счетапользователя в БД и формирует файл/запись в БД/иное указание для банка, кудаотправляются деньги.

Тут в дело вступает наше законодательство и правила Центробанка (самыйглавный банк страны). В частности, при работе с юридическими лицами (фирмы,компании, корпорации и т.д.) требуется, чтобы платежные поручения были завереныцифровой подписью. Но не простой, а единственно правильной — на ГОСТ’овскомалгоритме.

К слову, ломать могут не только клиентов, но и сам банк. Казалось бы, этонереально, но тут есть, где развернуться — последний опыт пен-тестов показал,что нашим разработчикам систем есть куда развиваться.

В разное время и в разныхсистемах был найден классический набор ошибок: XSS-, SQL-инъекции, логическиеошибки доступа, отсутствие шифрования критичных данных и т.д., и т.п. Примерывекторов атак при этом могут быть разными, но основа все-таки почти всегдаполу-инсайдерская.

Дело в том, что если у тебя уже есть доступ к БК, то есть,фактически, ты — клиент банка, то возможностей по взлому самого банка у тебя напорядок больше, нежели ты был бы простым внешним пользователем.

Мой любимыйпример логической ошибки: хочешь ты перевести рубли в доллары, БК предоставляеттакой функционал, у тебя, соответственно, два счета — валютный и наш,деревянный. Скрипт перевода выглядит так:

Доступ к банк клиенту

на вход сумма в рублях и валюта. Навыходе — сумма в рублях, текущий курс, сумма в долларах и хеш. Послеподтверждения пользователем, что он согласен на перевод, это все кидается втретий скрипт, который проверяет хеш (это от CSRF) и обрабатывает ввод, делаяupdate в БД.

Так вот, на втором шаге можно изменить курс доллара на болеевыгодный, а второй скрипт уже не проверяет курс… Это пример логической ошибки.Описывать SQL-инъекции и XSS не смысла — все уже знакомы с таким видом дырок…

Приведем пример подключения системы. В качестве образца выберем банк «Открытие». Для работы с программой финансового учреждения необходимо выполнить четыре простых шага:

  • Установить и запустить специальный драйвер «Рутокен».
  • Настроить интернет-браузер Explorer.
  • Установить и подключить специальные компоненты ActaveX.
  • Придумать или внедрить готовую электронную подпись.

Финиш

Каковы же правила выживания? Да просты они, как и всегда, многое ужепрозвучало и не один раз в тексте статьи, многое итак очевидно, но кое-что и неособо, так что я соберу все в одном абзаце.

  1. Сегментация — компы с БК в отдельной подсетке;
  2. Политика пользования — должны быть правила по работе с этими ПК;
  3. Антивирусная защита;
  4. Ключевая политика — использование USB-тoken’ов и правила их
    использования также важны — не оставлять токен все время в системнике — это
    приводит к хищению денег!
  5. Парольная политика — разные юзеры — разные сложные пароли и все в
    таком духе;
  6. ПК, его софт, процессы и порты должны быть обоснованы для
    использования. Все лишнее — в топку;
  7. Фильтрация доступа на сетевом уровне — с БК машин могут ходить
    только на IP банков и на определенные порты, входящий трафик запрещен
    (динамическая фильтрация входящих пакетов);
  8. Патч-менеджмент;
  9. Аудит — важный шаг, чтобы понять, можно ли в БД или в выгрузочном
    файле подсунуть платежку. БД тут — вообще тонкий момент;
  10. Проверка внешнего периметра;
  11.  — проверка, что локальная БД не светится в локалку, нет
    паролей по умолчанию.

Для банков я ничего писать не буду, они там сами умные — разберутся, в любомслучае всегда страдает пользователь, поэтому он должен сам беспокоиться о своемБК, ключах, паролях и безопасности. Не было сказано про интернет и мобильныеклиенты, а также АТМ-клиенты, но для первых двух атаки почти идентичны, заисключением некоторых деталей, а АТМ-клиент — совсем другая история.

Отдельнойпроблемой стоят вопросы об ошибках в отечественном ПО. Как показали мои опыты,уязвимости можно найти даже в банковском ПО, которое изначально должно былоразрабатываться с учетом вопросов безопасности…

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *


Adblock detector