Главная » Налоговые споры

Факт Компрометации Ключей И Паролей По Вине Клиента Не Доказан

На чтение 16 мин. Просмотров 167 Опубликовано
Содержание

Есть ли гарантия, что банк вернет деньги

С кредитной банковской карты злоумышленники сняли наличные деньги. Карта была у меня на руках. Я пользовался ею для покупки через интернет в серьезном магазине в 22.00 в 00.59 следующего дня (ночью) произошло несанкционированное снятие наличных через банкомат. Что делать? Куда обращаться? Заявление в банке уже написано, заявление в полиции тоже. Есть ли гарантия, что банк вернет деньги?

Согласно закону «О национальной платежной системе» банк должен вернуть вам неправомерно списанные деньги, а потом разбираться, почему они были украдены. Предлагаю Вам обосновать свои претензии к банку по статье 847 ГК РФ, так как для проведения операции Вам надо было подтвердить свое распоряжение о списании средств собственноручной подписью, введением кода или пароля. До тех пор пока факт компрометации ключей и паролей по вине клиента не доказан, клиент остается прав. Правомерность операции подтвердить должен именно банк. Банк должен доказать, что Вы разгласили пин-код, номер карты или иные сведения либо передали карту другим лицам или не соблюдали меры предосторожности пользования картой.

Приказом Председателя Правления ао банк мпб №85 от 03

    1. Последовательность формирования электронной цифровой подписи под электронным документом следующая:
      1. Подписываемый электронный документ состоит из набора полей и представляется в виде:
  • =
  • =
      1. Подписываемый ЭД в виде набора полей, описанного в подп. 8.1.1 настоящего Регламента, преобразовывается в строку символов, и далее в соответствии с кодировкой UniCode преобразовывается в байтовый массив.
      2. Электронная подпись формируется от указанного в подп. 8.1.2 настоящего Регламента байтового массива в соответствии ГОСТ Р 34.11-2012.
      3. Публичные параметры P, Q, A и таблица подстановок для вычисления хеш-функции в соответствии с ГОСТ Р 34.11-2012 при контрольной проверке ЭП для указанного в подп. 8.1.2 настоящего Регламента байтового массива представляются Банком в шестнадцатеричном виде по запросу согласительной экспертной комиссии.
    1. Контрольная проверка электронной подписи Клиента под электронным документом, пришедшим в Банк, осуществляется в АРМе “Операционист”, входящим в комплекс Системы.

При проверке ЭП Клиента в АРМе «Операционист», отображается:

  • содержание электронного документа»
  • идентификаторы ключей ЭП Клиента, которыми подписан ЭД»
  • время формирования ЭП (если документ подписан несколькими ЭП – время формирования каждой ЭП)»
  • результаты проверки каждой из ЭП под ЭД.
    1. При проверке значения ЭП используется открытый ключ ЭП.

Система криптографической защиты информации позволяет выполнять проверку значения ЭП в течение установленного в Системе срока хранения открытых ключей и электронных документов (например, 3 (трех) лет), для чего в Системе должны быть предусмотрены средства ведения архивов электронных документов с ЭП и открытых ключей.

    1. Порядок доказательства принадлежности ЭП.

Разбор конфликтной ситуации проводится с использованием программного обеспечения «АРМ разбора конфликтной ситуации» СКЗИ (далее по тексту – программа CONFLICT) для электронного документа, авторство или содержание которого оспаривается.

    1. Разрешение спорных вопросов между Банком и Клиентом, связанных с подлинностью ЭД подписанных ЭП, включает установление факта наличия или отсутствия ЭД, определение авторства и/или содержания документа и осуществляется в претензионном (досудебном) порядке.

Электронный документ считается подлинным, если он был, одной стороной, надлежащим образом оформлен и подписан, а с другой – проверен и принят.

Факт Компрометации Ключей И Паролей По Вине Клиента Не Доказан

Нужно найти пункт об оспаривании произведенного платежа. Претензия также должна сопровождаться всеми доказательствами невиновности клиента в произведенных манипуляциях с картой. Необходимо придерживаться правдивой информации, чтобы у банка не возникло подозрений по поводу фальсификации с целью мошенничества.

Программа собирала данные о балансе счета, блокировала СМС-уведомления, переводила деньги на счета мошенников. Троян показывал поддельное окно Google Play, сообщавшее о необходимости введения данных пластиковой карточки. Хакеры также создали фишинговые сайты банков. После введения реквизитов карты информация отправлялась на сервер мошенников.

Постановление Седьмого арбитражного апелляционного суда от 16 декабря 2011 г

Обслуживание клиента с использованием системы «Банк-Клиент iBank2» производится в порядке, предусмотренном действующим законодательством, настоящим договором и условиями предоставления и обслуживания системы «Банк-Клиент iBank2» ООО «Промрегионбанк» юридическим лица и индивидуальным предпринимателям (пункт 1.3).

Читайте также:  Все пособия и выплаты по беременности и родам второго ребенка в 2022 году таблица

Согласно пункту 2.7 условий предоставления и обслуживания системы «Банк-Клиент iBank2» стороны признают, что получение банком по «Банк-Клиент iBank2» электронного документа, указанного в перечне электронных документов, подлежащих обработке в системе «Банк-Клиент iBank2» (приложение N 2), подписанного АСП клиента, юридически тождественно получению аналогичного документа на бумажном носителе, заверенного подписями уполномоченных лиц и печатью клиента, оформленного в соответствии с законодательством Российской Федерации и нормативными документами Банка России.

Факт Компрометации Ключей И Паролей По Вине Клиента Не Доказан

Хранить eToken и eTokenPass в надежном месте, исключающем доступ неуполномоченных лиц и повреждение материального носителя. Банк информирует Вас, что вся ответственность за конфиденциальность Ваших секретных ключей АСП полностью лежит на Вас — единственном владельце секретных ключей АСП.

В целях повышения безопасности при работе с системами дистанционного банковского обслуживания ОАО «АК БАРС» Банк рекомендует комплекс требований и рекомендаций, выполнение которых позволит снизить указанные выше риски при работе в Системе Интернет/Клиент-Банк

Компрометация карты

Фишинг и фишинговые сайты . В этом случае схема мошенничества строится так, что вы сами отдаёте свои данные злоумышленникам на подставных сайтах. Мошенники «играют» на ваших страхах и используют для выуживания конфиденциальных данных методы социальной инженерии. Подробности в этой статье.

Как правило, для кражи важных данных карточки используются специальные технические устройства, которые считывают с неё необходимую информацию. Это так называемые скимминговые устройства, которые устанавливаются мошенниками непосредственно в картоприемник (подробности об этом здесь). Достаточно один раз пропустить собственную карту через такой «модифицированный» картоприёмник, и вся информация по карте попадет в руки мошенников.

ТЕМА: Поддельный Банк-клиент

Определение ВАС РФ от 21.08.2012 N ВАС-11113/12 по делу N А40-58458/11-46-485
«. Как установлено судами, между банком и обществом (клиентом) заключены договор банковского счета от 08.02.2008 N 17376/810 и соглашение к нему от 12.05.2009 N 2455 об использовании системы обмена электронными документами «Клиент-Банк» по системе «Клиент-Банк» при осуществлении операций через расчетный и другие счета клиента, открытые в банке с использованием электронно-цифровой подписи (ЭЦП).
На основании заявления клиента подписан сертификат открытого ключа ЭЦП сотрудника клиента в системе «Интернет-Банкинг». По условиям соглашения отношения между банком и клиентом регулируются Регламентом работы с электронными системами.
В банк в электронном виде поступило платежное поручение общества от 22.06.2010 N 35 на списание с его расчетного счета на счет физического лица Олейника Николая Игоревича 163 811 рублей. В назначении платежа указано: «оплата по исполнительному документу N 301-01 от 12.06.2010 для удовлетворения требований о возмещении вреда, причиненного здоровью г-ну Олейнику Николаю Игоревичу».
Платежное поручение банком исполнено.
Судами установлено, что в результате применения средств криптографической защиты информации была подтверждена подлинность секретного ключа ЭЦП, принадлежащего согласно Сертификату открытого ключа ЭЦП исполнительному директору общества Семеновой А.А. Данная электронная цифровая подпись системой была признана подлинной. Поскольку электронное платежное поручение соответствовало по форме и содержанию установленным нормативным актам и банковским правилам, оно было исполнено банком.
Суды указали, что общество не проявило должной степени заботливости и осмотрительности при обеспечении исключения доступа посторонних лиц к электронной цифровой подписи и не представило доказательств извещения банка о компрометации ключа ЭЦП до даты списания денежных средств, а также о подписании спорного платежного поручения некорректной ЭЦП.
Суды отклонили довод общества о применении к правоотношениям положений Федерального закона «Об исполнительном производстве», поскольку списание денежных средств произведено на основании платежного поручения клиента, давшего поручение банку о списании денежных средств с его расчетного счета. «

Определение ВАС РФ от 04.10.2012 N ВАС-12223/12 по делу N А53-19532/2011
«. В банк в электронном виде поступило платежное поручение общества от 30.06.2011 N 1126 на списание с его расчетного счета на расчетный счет общества с ограниченной ответственностью «Гарант СК» 6 700 000 рублей.
Платежное поручение банком исполнено.
Ссылаясь на неправомерное списание банком денежных средств со счета клиента, общество обратилось в арбитражный суд с настоящим иском.
Оценив представленные сторонами документы с позиций статьи 71 Арбитражного процессуального кодекса Российской Федерации, руководствуясь статьями 845, 854, 863, 865 Гражданского кодекса Российской Федерации, положениями Федерального закона от 10.02.2002 N 1-ФЗ «Об электронной цифровой подписи», разъяснениями Высшего Арбитражного Суда Российской Федерации, изложенными в Постановлении Пленума от 19.04.1999 N 5 «О некоторых вопросах практики рассмотрения споров, связанных с заключением, исполнением и расторжением договоров банковского счета», условиями заключенных с банком договоров, суды трех инстанций установили отсутствие вины и неправомерности действий банка по исполнению платежного поручения.
Судами установлено, что спорное электронно-платежное поручение было подписано ЭЦП, зарегистрированной на имя директора общества Прудкова Е.Н. Следовательно, ответственность за проведение указанного платежного поручения и, соответственно, списание денежных средств со счета, в соответствии с требованиями действующего законодательства и заключенного договора лежит на обществе.
После получения заявления клиента о несанкционированной операции, банк направил запрос в закрытое акционерное общество Акционерный коммерческий банк «ЭКСПРЕСС-ВОЛГА» с просьбой вернуть денежные средства клиента, а также в соответствии с пунктом 4.7 договора прекратил прием платежных документов от клиента по системе клиент-банк, приостановив обмен электронными документами, о чем незамедлительно уведомил общество.
Кроме этого, банком была создана разрешительная комиссия для рассмотрения возникшей ситуации, о чем клиент был уведомлен, однако, от участия в работе комиссии уклонился.
Согласно ответу на запрос банка открытого акционерного общества «БИФИТ» (разработчик системы «iBank») ЭЦП клиента в спорном платежном поручении является подлинной.
В ходе рассмотрения дела судом первой инстанции предлагалось сторонам рассмотреть вопрос о необходимости назначения судебной экспертизы для определения подлинности ЭЦП на спорном платежном поручении. От проведения судебной экспертизы стороны отказались.
В силу части 2 статьи 9 Арбитражного процессуального кодекса Российской Федерации лица, участвующие в деле, несут риск наступления последствий совершения или несовершения ими процессуальных действий.
Кроме того, суды установили, что на жестком диске общества имеется вредоносное программное обеспечение. Представитель общества в судебном заседании этого не отрицал.
Наличие на жестком диске клиента программ, предназначенных для несанкционированного доступа к конфиденциальной информации, свидетельствует о том, что клиентом не принято надлежащих мер к обеспечению безопасности используемого для проведения расчетов по системе «клиент-банк» оборудования.
Вместе с тем, в договоре на обслуживание клиента по системе «iBank» предусмотрена обязанность клиента хранить в секрете и не передавать третьим лицам пароль и дискету с секретным ключом ЭЦП клиента, используемые в электронной системе «iBank» (пункт 5.4 договора).
Таким образом, учитывая, что спорное платежное поручение подписано подлинной ЭЦП, на компьютерном оборудовании клиента обнаружены программы, позволяющие несанкционированный доступ к данным, клиентом не обеспечено безопасное хранение секретного ключа ЭЦП, суды обоснованно пришли к выводу об отказе в иске.
Суды указали, что в данном случае списание денежных средств с расчетного счета клиента произведено по платежному поручению, подписанному подлинной ЭЦП, банк не мог установить факт выдачи распоряжения неуполномоченным лицом, что в силу пункта 2 Постановления Пленума Высшего Арбитражного Суда Российской Федерации от 19.04.1999 N 5 исключает ответственность банка.
Довод заявителя о нарушении банком требований о регистрации сертификатов ЭЦП, ранее заявлялся при рассмотрении дела в судах нижестоящих инстанций и ему дана соответствующая оценка. «

Читайте также:  Решение Об Установлении Факта Не Получая Пособия По Уходу За Ребенком Взыскании С Фсс Пособия По Уходу За Ребенком

Договор об обслуживании клиентов в системе Интернет-Банк (для юридических лиц и индивидуальных предпринимателей)

7.3. Настоящий Договор вступает в силу с момента его подписания обеими Сторонами и действует в течение 1 (Одного) года. При отсутствии письменного заявления одной из Сторон о прекращении или изменении настоящего Договора за 30 (Тридцать) календарных дней до окончания срока его действия он считается продленным на тот же срок и на тех же условиях, какие предусмотрены настоящим Договором.

2.6. В качестве единой шкалы времени при работе с системой Интернет-Банк Стороны принимают Московское поясное время. Контрольным временем является время системных часов аппаратных средств системы Интернет-Банк.

О задаче защиты закрытого ключа ЭЦП от компрометации

Начнем с Европы. Согласно Директиве ЕС по применению электронной подписи ( 1999 г .) и последующим, соглашениям между странами-участницами, к настоящему времени четко описаны виды ЭЦП и механизмы ее формирования и проверки. В частности, в документе [CWA 14365] указаны три типа подписи:

P.S. ИТОГО: «Электронная подпись» (в смысле «неквалифицированная») никому не нужна и ее нет в России.
Если нужна гарантированность/надежность/сертифицированность — пользуйтесь ЭЦП (в смысле «квалифицированная») в рамках закона.
А не по силам — выбирай разные решения по аутентификации, в зависимости от имеющихся рисков. Но не надо говорить, что это тоже ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ!
Все это я в полной мере отношу и к СЭД с «тренировочными» ЭЦП.

Факт Компрометации Ключей И Паролей По Вине Клиента Не Доказан

Суды первой и апелляционной инстанций отказали в удовлетворении иска на том основании, что Общество не доказало факт ненадлежащего исполнения Банком обязательств по договорам, его вину, а также наличие причинно-следственной связи между действиями Банка и причиненным Обществу ущербом.

Согласно статье 864 ГК РФ необходимым условием исполнения банком платежного поручения клиента является соответствие содержания и формы этого документа требованиям, предусмотренным законом и установленными в соответствии с ним банковскими правилами.

Компрометация IT−системы банка: на трех «китах»

О том, что системы интернет-банкинга зачастую становятся уязвимыми для злоумышленников, похищающих денежные средства, писалось и говорилось достаточно много. Однако во всех случаях, описываемых ранее, речь шла о заражении рабочего места конечного пользователя, как правило, бухгалтера, вредоносной программой, позволявшей мошенникам совершать хищения денежных средств. В данной статье хотелось бы рассказать о совершенно ином подходе, а именно – о хищениях в системах интернет-банкинга, выполненных в результате компрометации сетевых инфраструктур банковских организаций, а не рабочих мест их клиентов.

Как правило, физическим лицам для подтверждения платежей необходимо знать одноразовые пароли, которые отправляются на мобильные телефоны клиентов. Злоумышленник, обладая необходимыми правами, просто заменил в базе у самых богатых клиентов банка номер мобильного телефона на свой. В результате этого он получил возможность получать эти самые одноразовые пароли и начал активно опустошать счета клиентов. Стоит отдать должное службе безопасности банка, которая вовремя обнаружила и остановила мошенничество. Когда банк обратился к нам, первое предположение о случившемся, пришедшее в головы его специалистов по ИБ, касалось вероятного «взлома» извне, однако от него быстро отказались.

Читайте также:  Сахарный Диабет Препараты По Территориальной Програме Какие Можно Выписывать

QUIK, формировании им ключей доступа, а также в случае их компрометации в системе

5 — 4 — только необходимое количество случайно информации будет введено, начнется процесс создание ключа доступа (Рис. 8). Рис. 7 Шаг 7. Завершение Рис Программа отображает процесс создания ключа, отмечая производимый шаг. После того как появится сообщение о готовности ключа доступа «Готово!», нажатием кнопки «Закончить» завершить работу с программой (Рис. 9).

4 — 3 — Рис После подтверждения пароля перейдите к следующему шагу, нажав кнопку «Дальше». Шаг 5. Подтверждение параметров 3.8. Проверьте правильность введенных параметров, для этого в поле вывода сводной информации проверьте корректность всех указанных ранее параметров (Рис. 6). В случае необходимости изменения настроек вернитесь к предыдущим шагам нажатием кнопки «Назад». После того, как Вы убедились, что все параметры верны, нажмите кнопку «Создать». Шаг 6. Создание ключей Рис После нажатия кнопки «Создать» появится диалоговое окно (Рис. 7), в котором нужно набирать произвольный текст, для запуска процесса создания криптографических ключей. Для создания случайных чисел программа замеряет время между нажатием клавиш. Как

Проверка паролей пользователей домена Windows на стойкость к атаке по словарю без компрометации пароля

Далее необходимо извлечь из ntds.dit логины и пароли пользователей домена. Для этого воспользуемся маленькой утилитой ntds_decrypt. Взять ее можно по адресу ntds_decode.zip. Качаем архив, распаковываем. Получаем два файла. Собственно исполняемый файл и readme с описанием опций.

Получили отсортированный словарь хешей. Теперь сам скрипт. Я не специалист в Python, я только учусь, поэтому с помощью Google и разных нецензурных слов собрал скрипт и заставил его работать. Естественно скрипт не оптимален и страшно выглядит, но работает. В качестве параметров ему передается путь к файлу hashes.txt, путь к файлу словаря, и путь для записи результата (audit.txt, audit_full.txt).

Факт Компрометации Ключей И Паролей По Вине Клиента Не Доказан

Однако, тут многое зависит от механизма шифрования и ЭЦП, который реализован в БК. Если используется что-то навроде асимметричного шифрования (секретный ключ + публичный ключ, aka PGP), и клиенту позволяется менять самостоятельно секретный ключ, то доказать вину банка теоретически можно, но только в том случае, если клиент заблаговременно позаботился о смене секретного ключа и выполнил всю процедуру.
Если нет, т.е. если все ключевые носители выдаются банком, то тут почти наверняка для Вас всё плохо. Банковские админы могут сделать себе предварительно копию с ключевой дискеты, и ничего Вы не докажете — подпись будет верна. А подделать процесс прохождения документа — раз плюнуть. Тем более, обычно в договоре есть пункты, где описаны требования к хранению ключевых носителей, которые клиенты не выполняют. И банку будет раз плюнуть доказать, что могла иметь место компрометация ключей на стороне клиента.

А почему Вы полагаете, что виноват банк? Может, в самой организации мог оказаться гнилой инсайдер, который имел доступ к ключевым носителям?
Или просто прискакал чел от фирмы, принёс бумажную платёжку, сказал, что БК на фирме поломался временно, и нужно провести платёж по бумажной платёжке. А там поддельные подписи. Учитывая то, как у нас люди иногда ведут бизнес — вариантов масса. Тут и конфликты в руководстве, и работа по доверенности, и десять печатей одинаковых, и специально обученные люди, которые умеют подделывать подписи директоров и главбухов (!) и прочее. А Вы сразу банк обвиняете.

Средства защиты данных на путях транспортировки

Криптография.Будем рассматривать документы кик уникальные последовательности символов. Требова­ние уникальности связано с тем, что, если хотя бы один символ в последовательности будет как-то изменен, это будет уже совсем иной документ, не адекватный исходному. Любые виды транспортировки, будь то обычная почта, курьерская, электронная или иная, заменим термином канал связи.

Размер ключа измеряется в битах. Чем он больше, тем, соот­ветственно, больше времени необходимо на перебор возможных значений, но и тем продолжительнее работает алгоритм. Поэтому выбор оптимальной длины ключа — это вопрос баланса. Совершенно просто оценивается криптостойкость симметричных ключей. Если, например, длина симметричного ключа составляет 40 бит (такое шифрование назы­вают слабым), то для его реконструкции надо перебрать 2 40 чисел. Если для этого использовать несколько современных передовых компьютеров, то задача решается быстрее, чем за сутки. Если, например, длина ключа составляет 64 бита, то необходима сеть из нескольких десятков специализированных компьютеров, и задача решается в течение несколь­ких недель.

Инструкция по правилам обращения с ключевыми документами электронной цифровой подписи и шифрования

Сертификат ключа подписи (сертификат) документ на бумажном носителе или электронный документ, который включает в себя открытый ключ ЭЦП и который выдается удостоверяющим центром для подтверждения подлинности ЭЦП и идентификации владельца сертификата.

— случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями ( в т.ч. случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленника).

Елена - Дежурный юрист
Профессиональный юрист. Составляю любые правовые документы: договоры, претензии, исковые заявления, отзывы, жалобы и т.п. Специализируюсь на защите прав потребителей: спорах с застройщиками, страховыми, продавцами, банками и пр. Осуществляю представительство в судах. Большой опыт работы, высокое качество составления правовых документов и ведения дел.
Оцените автора
Бюро юридического и адвокатского консультирования - Адвокатариус
Вам также может понравиться
Я Не Работаю Ребёнку 1 И 6 Муж Уволился Могу Ли Я Получать Пособия На Ребенка
Муж уволился с работы, а пособие при рождении ребенка
0243
Препараты Положеные Бесплатно Больным Диабетом
Больные сахарным диабетом 2 типа льготы на получение
0195
Что Если Наркотик Меньше Значительного Размера
Никто не станет отрицать, что хранение наркотиков
0226
Что Дают В Питере За 3 Ребенка
Возникает вопрос, сколько государство обещает заплатить
0167
Городской Центр Доступного Жилья Спб Калькулятор
Как получить квартиру или жилищную субсидию в Петербурге
0175
Росстат Опубликовал Статистику Разводов В С Января По Апрель 2022 Года
Росстат: количество разводов в России выросло почти
0288
Задолженность По Оплате Жку Квартплата Долг 1621984 Пени 898218
Как узнать задолженность по услугам ЖКХ, зная лицевой
0139
Почему При Увольнении Пенсионеру Выплаты Производятся Только Через 3 Месяца
Работающий пенсионер увольняется Выходное пособие платят
0165
© 2024 Бюро юридического и адвокатского консультирования - Адвокатариус