Рекомендации по обеспечению безопасной работы
Обязательно используйте и постоянно обновляйте персональные средства защиты:
- антивирусное программное обеспечение и другие средства выявления вредоносных программ (троянов);
- персональные межсетевые экраны (файрволы);
- средства защиты от несанкционированного доступа и пр.
Не вводите конфиденциальные данные, если окно для ввода отличается от стандартных окон Системы "Интернет-Банк" (логотип другого банка, другие надписи, шрифт и тому подобное) или отображается не так как всегда (нарушен порядок работы в системе). Внимательно следите за сообщениями, которые появляются на экране компьютера.
Периодически меняйте пароль для входа в Систему "Интернет-Банк" (наиболее оптимальным сроком действия пароля является 2-3 месяца).
Не делайте простых и легких паролей (111111, 12345, abcdefg, qwerty и т.п.), не стоит ставить в качестве пароля дату рождения, номер телефона и другие данные, которые можно легко узнать.
Уделите вопросу хранения ключей Системы "Интернет-Банк" должное внимание. Помните, что наличие ключа позволяет заверить от Вашего имени документ и передать его на исполнение в Банк. Храните ключи обязательно на съемных носителях (дискета, флеш-носители). Не держите носители постоянно вставленными в компьютер, используйте их только в случае необходимости заверения документов. Ни в коем случае не храните ключи на жестком диске персонального компьютера.
Обязательно используйте пароли на доступ к секретным ключам. Наличие пароля гораздо усложняет возможность использования ключа в случае его похищения злоумышленником. Не распространяйте пароли к секретным ключам, не записывайте их и не сохраняйте вместе с носителем ключа (дискета, флешка).
Если возможно, используйте более защищенные средства криптографической защиты информации в сочетании с отчуждаемыми ключевыми носителями.
Постарайтесь внедрить использование для отправки документов двух подписей (2-х ключей). Украсть два ключа сложнее, чем один.
Не отвечайте на подозрительные письма с просьбой выслать секретный ключ ЭП, пароль и другие конфиденциальные данные. Подобное письмо наверняка создано злоумышленниками. Банк никогда не запрашивает у клиентов конфиденциальную информацию по электронной почте.
При вводе ключа и пароля особое внимание, обращайте на правильное отображение названия ключа.
При работе через Систему "Интернет-Банк" адрес сайта должен начинаться с https://cibank.ru. Особое внимание уделяйте наличию https в начале адреса, который свидетельствует о наличии защищенного соединения, и что имя домена cibank.ru не содержит спереди ничего или отделено точкой.
При входе в Систему "Интернет-Банк" обратите внимание на наличие индикатора подлинности сертификата центра THAWTE (так называемую печать), который гарантирует безопасный обмен данными с этого сайта. Кликнув по нему можно просмотреть информацию о владельце сертификата и его подлинности.
Незамедлительно сообщайте в Банк о факте невозможности получения доступа к Системе "Интернет-Банк", по причине несовпадения пароля на вход в систему. Обычной практикой злоумышленников является смена пароля для маскировки своих действий и получения дополнительного времени для успешного выполнения операций от имени Клиента.
При компрометации или попытке компрометации секретных ключей или компьютера, увольнения ответственного сотрудника или ИТ специалиста Вашей компании, который имел доступ к компьютеру или к секретным ключам, срочно обратитесь в Банк для блокировки ключей и генерации новых.
По возможности не используйте компьютер, с которого осуществляется работа в Системе "Интернет-Банк", для развлечений и Интернет-серфинга, не посещайте сайты сомнительного содержания (наибольшие источники распространения вредоносных программ).
На компьютере, через который выполняется работа в Системе "Интернет-Банк", необходимо устанавливать обновление безопасности операционной системы (желательно в автоматическом режиме).
Ограничьте доступ к компьютеру посторонних лиц.
Не работайте на компьютере с правами администратора.
Настройте web-браузер для запрета:
- автоматической загрузки файлов из сети Интернет;
- автоматического запуска файлов из сети Интернет;
- автоматической загрузки не подписанных элементов ActiveX.
При непосредственной работе в Системе "Интернет-Банк":
Не оставляйте компьютер с активной Системой "Интернет-Банк" без присмотра.
Выходите из Системы "Интернет-Банк", даже если необходимо отойти на непродолжительное время.
Если заметите подозрительную активность на компьютере с установленной Системой "Интернет-Банк" (самопроизвольные движения мышью, открытие/закрытие окон, набор текста) - немедленно выключите компьютер и сообщите в Банк о возможной попытке несанкционированного доступа к счету(-ам).
При работе с почтой:
Не устанавливайте и не сохраняйте подозрительные файлы, полученные из ненадежных источников, скачанные с неизвестных web-сайтов, присланные по электронной почте, полученные в телеконференциях. Такие файлы лучше немедленно удалять. В случае необходимости загрузки файла, убедитесь, что он проверен антивирусом.
Обращайте особое внимание на отправителя почтовой корреспонденции при работе с электронной почтой, будь то работа с почтой через web-интерфейс одной из известных почтовых систем mail.ru, yandex.ru и т.п., или в локально установленных программах типа Outlook, Outlook Express, The Bat!. Если отправитель почтового сообщения Вам неизвестен — открывать вложение из такого письма категорически не рекомендуется, чтобы ни содержало данное сообщение.
Никакие обновления, заплатки, обновления для компьютеров не распространяются по почте! Даже если отправитель Вам известен, и Вы давно ведете с ним переписку, это не гарантия, что вложение безопасно. В таких случаях рекомендуется сохранять вложения в специально созданную папку на жестком диске и предварительно проверять их антивирусом. После успешной проверки вложения антивирусом открывайте его уже из этой папки.
Большинство случаев современных атак связаны с использованием уязвимостей в web-браузерах. Для снижения вероятности использования злоумышленником уязвимостей необходимо задать максимальный уровень безопасности web-браузера по умолчанию (запрет языка Java, запрет сценариев, запрет загрузки элементов ActiveX). Для тех сайтов, которые требуют разрешения исполнения соответствующих элементов (в частности, сайт Системы "Интернет-Банк"), необходимо индивидуально разрешить их исполнение, добавив сайты в список надежных.
При использовании служб мгновенного обмена сообщениями — ICQ, Instant Messaging, Mail.ru-агент и т.д., необходимо соблюдать рекомендации аналогично работе с почтовыми клиентами — не принимайте файлы из неизвестных источников, к файлам из известных источников относитесь с осторожностью. Проверяйте все полученные файлы антивирусными программами.
Напоминаем, что Банк:
Никогда не осуществляет рассылку электронных писем с просьбой предоставить конфиденциальную информацию, или таких, которые содержат компьютерные программы.
Если Вы получили письмо от имени Банка, содержание которого вызывает подозрение, либо с Вами связались по телефону от имени Банка, с просьбой установить какое-либо программное обеспечение, просьба связаться со службой поддержки Банка и уточнить ситуацию. Всегда используйте контактную информацию служб поддержки Банка, указанную в официальных источниках информации, и не используйте контактную информацию, указанную в письме или полученную в ходе телефонного разговора.
Напоминаем, что основными способами электронного взаимодействия Банка и клиентов являются штатные возможности и информационные каналы, предоставляемые системами ДБО. Любые электронные сообщения, отправленные с бесплатных почтовых служб Интернет (@mail.ru, @yandex.ru, @rambler.ru, @gmail.com, @yahoo.com и т.п.), не являются почтой, отправленной Банком.
Ответственность за сохранение ключа ложится на пользователя системы, и в случае подозрения на компрометацию ключа нужно незамедлительно связаться с Банком для блокировки ключа и регистрации новых ключей.