Обзор интернет-банков ::
Сбербанк ОнЛайн

Неофициальный обзор онлайн-банков финансово-кредитных учреждений России – как пройти регистрацию, правила входа в личный кабинет, выполнение переводов

Главное меню

Новые требования Центробанка к использованию онлайн-банков – забота о людях

Центробанк России издал указание, согласно которому определяются новые требования к осуществлению дистанционного обслуживания клиентов банков. С этого момента у банков появляется обязанность регистрировать любые устройства пользователя, откуда их клиент заходит в приложения мобильных банков либо банковские онлайн-кабинеты.

Система Сбербанк ОнЛайн на планшете Android

Проводить финансовые операции с незарегистрированных устройств стало запрещено. К тому же, банкам с этого момента запрещается рассылать служебные SMS-сообщения (к примеру, с одноразовым кодом для совершения входа в онлайн-кабинет либо выполнения платежа) тогда, когда клиент сменил свой номер телефона.

В документе указано следующее:

Банк на основании заявления клиента определяет параметры операций, которые могут осуществляться через интернет- и мобильный банкинг. В том числе банк устанавливает перечень устройств, с использованием которых может осуществляться доступ к системам дистанционного банковского обслуживания (ДБО) с целью переводов денег на основе идентификаторов данных устройств. Также банк устанавливает максимальную сумму перевода клиента через ДБО за одну операцию и (или) за определенный период времени (один день/один месяц).

Особенности идентификации

В документе под «идентификатором» понимаются следующие наименования:

  1. номер телефона;
  2. номер SIM-карты;
  3. MAC-адрес;
  4. IP-адрес.

Для целей идентификации, скорее всего, будут применяться сведения о конфигурации устройств, которые будут преобразованы в уникальный для любого из устройств код.

Недостатки методов идентификации

У любых из перечисленных методов идентификации при этом имеются свои индивидуальные изъяны:

  1. у большинства пользователей сети регулярно происходит смена IP (включая случаи, когда пользователю приходится заходить в интернет из различных сетей);
  2. MAC-адрес довольно легко подделать, этим наверняка будут пользоваться злоумышленники.
  3. Смена номера SIM-карты либо IMEI-номера для злоумышленников также не представит трудностей.

Только комплексное применение различных методов идентификации в теории должно обеспечить рост безопасности банковских систем.

Взаимодействие банков с клиентами

Работать с юридическими лицами банкам будет на порядок проще – потребуется лишь зарегистрировать в системе постоянный статический IP-адрес, с которого работники организации будут совершать онлайн-расчеты.

В то же время эксперты предполагают, что возникнут трудности с физическими лицами, ведь они довольно мобильны, могут выходить в интернет с различных сетей (от знакомых, из дома, через мобильную связь и публичные точки Wi-Fi), часто меняют оборудование, а также переходят от разонравившегося оператора к другому.

Использование идентификации устройства на практике

По словам Павла Головлева, начальника управления безопасности по информационным технологиям СМП-банка, подобные схемы защиты используются уже сегодня, а клиенту для регистрации устройства следует обращаться в отделения банка. В то же время, когда клиент теряет доступ к устройству, применяется такой же алгоритм действий, как и при потере банковской карты: следует сообщить банку о случившемся факте, после этого совершение операций полностью блокируется. Банк при идентификации устройств учитывает и IP-адреса и некоторые другие параметры.

Оптимальным способом идентификации в банке ВТБ-24 считают «отпечаток системы» – это специальный набор параметров, который уникален для каждого устройства. В случае его несовпадении банк должен был бы запросить дополнительные сведения у клиента, они позволили бы установить, какую операцию желает выполнить законный владелец средств, а не злоумышленник.

Согласно мнению специалистов Digital Security, вследствие нового указания ЦБ могут появиться сложности и у клиентов и у банков, однако на злоумышленниках оно практически не повлияет. Мошенники, как правило, применяют сложный подход: происходит атака ПО через уязвимости, прим помощи фишинга или социальной инженерии выуживают пароли и логины, подкидывают трояна, снимающего копию системной информации устройства и так далее. У хакеров в новых условиях изменится только алгоритм действий, а это на безопасность применения банковских онлайн-сервисов никак не повлияет.

У банков появятся трудности и при запрете отправки SMS клиентам, которые сменят номер телефона. Сегодня у физических лиц нет обязанности сообщать банкам, что ими проведена смена оператора или телефона. Также нет закона, чтобы операторы извещали банки о смене телефонных номеров абонентов. Проблемы способны появиться и у тех, кто часто выезжает за рубеж, что связано с приобретением местных SIM-карт.



  • Категория:
  • Автор:
  • Рейтинг:
    0.0/0

Никто не решился оставить свой комментарий.
Будьте первым, поделитесь мнением с остальными.
avatar