Центробанк России издал указание, согласно которому определяются новые требования к осуществлению дистанционного обслуживания клиентов банков.
С этого момента у банков появляется обязанность регистрировать любые устройства пользователя, откуда их клиент заходит в приложения мобильных банков либо банковские онлайн-кабинеты.
Проводить финансовые операции с незарегистрированных устройств стало запрещено. К тому же, банкам с этого момента запрещается рассылать служебные SMS-сообщения (к примеру, с одноразовым кодом для совершения входа в онлайн-кабинет либо выполнения платежа) тогда, когда клиент сменил свой номер телефона.
В документе указано следующее:
Банк на основании заявления клиента определяет параметры операций, которые могут осуществляться через интернет и мобильный банкинг. В том числе банк устанавливает перечень устройств, с использованием которых может осуществляться доступ к системам дистанционного банковского обслуживания (ДБО) с целью переводов денег на основе идентификаторов данных устройств. Также банк устанавливает максимальную сумму перевода клиента через ДБО за одну операцию и (или) за определенный период времени (один день/один месяц).
Особенности идентификации
В документе под «идентификатором» понимаются следующие наименования:
- номер телефона;
- номер SIM-карты;
- MAC-адрес;
- IP-адрес.
Для целей идентификации, скорее всего, будут применяться сведения о конфигурации устройств, которые будут преобразованы в уникальный для любого из устройств код.
Недостатки методов идентификации
У любых из перечисленных методов идентификации при этом имеются свои индивидуальные изъяны:
- у большинства пользователей сети регулярно происходит смена IP (включая случаи, когда пользователю приходится заходить в интернет из различных сетей);
- MAC-адрес довольно легко подделать, этим наверняка будут пользоваться злоумышленники.
- Смена номера SIM-карты либо IMEI-номера для злоумышленников также не представит трудностей.
Только комплексное применение различных методов идентификации в теории должно обеспечить рост безопасности банковских систем.
Взаимодействие банков с клиентами
Работать с юридическими лицами банкам будет на порядок проще – потребуется лишь зарегистрировать в системе постоянный статический IP-адрес, с которого работники организации будут совершать онлайн-расчеты.
В то же время эксперты предполагают, что возникнут трудности с физическими лицами, ведь они довольно мобильны, могут выходить в интернет с различных сетей (от знакомых, из дома, через мобильную связь и публичные точки Wi-Fi), часто меняют оборудование, а также переходят от разонравившегося оператора к другому.
Использование идентификации устройства на практике
По словам Павла Головлева, начальника управления безопасности по информационным технологиям СМП-банка, подобные схемы защиты используются уже сегодня, а клиенту для регистрации устройства следует обращаться в отделения банка.
В то же время, когда клиент теряет доступ к устройству, применяется такой же алгоритм действий, как и при потере банковской карты: следует сообщить банку о случившемся факте, после этого совершение операций полностью блокируется. Банк при идентификации устройств учитывает и IP-адреса и некоторые другие параметры.
Оптимальным способом идентификации в банке ВТБ-24 считают «отпечаток системы» – это специальный набор параметров, который уникален для каждого устройства. В случае его несовпадении банк должен был бы запросить дополнительные сведения у клиента, они позволили бы установить, какую операцию желает выполнить законный владелец средств, а не злоумышленник.
Согласно мнению специалистов Digital Security, вследствие нового указания ЦБ могут появиться сложности и у клиентов и у банков, однако на злоумышленниках оно практически не повлияет. Мошенники, как правило, применяют сложный подход: происходит атака ПО через уязвимости, прим помощи фишинга или социальной инженерии выуживают пароли и логины, подкидывают трояна, снимающего копию системной информации устройства и так далее. У хакеров в новых условиях изменится только алгоритм действий, а это на безопасность применения банковских онлайн-сервисов никак не повлияет.
У банков появятся трудности и при запрете отправки SMS клиентам, которые сменят номер телефона. Сегодня у физических лиц нет обязанности сообщать банкам, что ими проведена смена оператора или телефона. Также нет закона, чтобы операторы извещали банки о смене телефонных номеров абонентов. Проблемы способны появиться и у тех, кто часто выезжает за рубеж, что связано с приобретением местных SIM-карт.
