logo
Диплом / 18

1.4.1 Классификация

Системы ДБО бывают разными, и поэтому работа с ними тоже протекает по-разному. Проведу классификацию:

1.4.2 Типы Банк-Клинтов

Толстый Банк-Клиент

Прародитель системы – в настоящий момент используется крайне редко. Его особенность в том, что пользователь системы работает с БД локально. Это означает, что копия его счета лежит у него в файле, и он аутентифицируется локально в БД, а там с помощью выданного банком ПО он и работает — создает платежки. Потом он соединяется сервером банка — по модему напрямую или через интернет, базы синхронизируются, подписи проверяются, и клиент может обрывать соединение и смотреть, что и как синхронизировалось, какие платежки ушли, какие нет, и сколько денег у него осталось.

Тонкий Банк-Клиент

Клиент работает со счетом из браузера. Это означает, что он работает уже через веб-интрефейс (иногда через специальный интерфейс на Java) и локальной базы у него нет, но, тем не менее, ему накатываются плагины к браузеру в виде Java-апплетов или ActiveX, чтобы делать подписи (электронная подпись ставится локально, так как секретный ключ находится у клиента. ActiveX, используется потому- что в Windows по умолчанию нет криптопровайдера для подписи согласно ГОСТ. Поэтому необходимо дополнительное ПО, которое будет ставить подпись по всем законам.

Интернет-Клиент

То же самое, что и тонкий, только тут я его выделил в отдельную группу, так как ActiveX не ставится, а используются одноразовые пароли, без установки ПО от банка. Такое чаще всего реализовано для физических лиц, которым электронная подпись не нужна.

Мобильный

То же, что и интернет, только подтверждение платежа происходит с помощью мобильного телефона. Например, с помощью посылки на телефон одноразового пароля.

АТМ

Работа со счетом осуществляется через банкомат.

Юридические лица — компании, фирмы, государственные учреждения используют в большинстве своем толстые и тонкие БК. При этом еще остались компании, которое работают по телефонной линии через модем. Но наибольшую популярность набирают именно тонкие клиенты, так как они легче в установке и эксплуатации.

1.4.3 Атаки на Юридических Лиц

В случае атаки на Банк-Клиент, основной целью являются юридические лица. Вот основные причины выбора юридических лиц, как жертв атак. Во-первых, у них большой поток денег и множество переводов в сутки. Если добавить одну платежку, на сравнительно небольшую сумму, то такая платежка на фоне остальных не вызовет подозрения у операциониста. У юридических лиц нет подтверждения через мобильные телефоны, тех средств, которые используются для физических лиц взамен электронно-цифровой подписи (ЭЦП) на платежку (у них только ЭЦП). Следующий фактор — больше возможностей для маневра и взлома. Фактически, взламывая любую фирму или компанию, можно смело утверждать, что в локальной сети есть компьютер с установленным банк-клиентом. Более того, в действительно больших фирмах финансисты, которые от имени фирмы осуществляют платежи, имеют договоры сразу с несколькими банками и БК соответственно, более того, они же не придумывают и, тем более, не знают, что именно они делают. В большинстве случаев такие операторы просто получают текстовый файл без подписи из 1С или из ERP-системы со списком, куда, сколько отправить, что они уже и выполняют в БК.