За прошедший год, как следует из данных исследований различных аналитических агентств, мобильные устройства уверено обошли стационарные персональные компьютеры по частоте доступа в сеть Интернет.
Существенно выросла популярность систем удаленного банковского обслуживания, используемых через мобильные устройства. Но, вместе с тем, значительно возросли риски атак со стороны мошенников, что, очевидно, чревато кражей денег с банковских счетов клиентов.
Как защитить Мобильный банк от атак
Атаки на SIM-карту и SMS-сообщения
Основным объектом атак со стороны мошенников становятся SMS-сообщения. Так как, на данный момент, это наиболее часто используемый метод подтверждения действий клиента при удаленном банковском обслуживании, будь то онлайн банк или Мобильный банк.
Весьма распространённой формой мошенничества стала, так называемая, «социальная инженерия», то есть введение в заблуждение жертв с помощью отработанных психологических техник. Противодействие такому виду SMS-мошенничеств сводится, главным образом, к информированию клиентов о существующих угрозах и о недопустимости игнорирования правил безопасности при использовании Мобильного банка. Но, разумеется, нельзя забывать и о угрозе чисто технических атак на каналы SMS-связи при дистанционном банковском обслуживании. При успешном исходе такой программно-технической атаки мошенники могут похитить денежные средства пользователя, даже если он строго соблюдает правила безопасности и не совершает никаких ошибок.
Одним из примером такой атаки может быть следующая ситуация: злоумышленники заполучают дубликат SIM-карты, которой подключен, например, Мобильный банк. Для этого они предоставляют в обслуживающий офис сотового оператора или партнёрской сети фальшивые документы, якобы удостоверяющие личность потенциальной жертвы. SIM-карта, используемая в мобильном устройстве клиента, неожиданно перестает работать. Как правило, это происходит в ночное время, поэтому в течение нескольких часов настоящий владелец SIM-карты остается в неведении. Мошенники за это время активируют полученную SIM-карту, получают одноразовые пароли для подтверждения операций со счётом в банке и быстро выводят деньги жертвы на подконтрольные счета.
Причина такой уязвимости системы сотовой связи в том, что сотовые операторы, желая упростить для клиентов операцию замены SIM-карты, в том числе и при смене её версий, передали функцию их выпуска партнерским сетям. В итоге существенно снизился уровень контроля подлинности паспортных данных и полномочий лица, переоформляющего SIM-карту. Сейчас даже можно заказать новую SIM-карту в режиме онлайн с доставкой через курьерскую службу.
Контроль подлинности абонента
В последнее время банковское сообщество, при непосредственном участии Ассоциации российских банков, прорабатывает формы взаимодействия банков и операторов сотовой связи в плане совместной борьбы против атак на SIM-карты и каналы доставки SMS-сообщений. В частности, операторы сотовой связи предлагают внедрить функционал, позволяющий финансовым учреждением отслеживать данные о смене клиентом SIM-карты.
С одной стороны, такая услуга может эффективно предотвращать обозначенный выше тип мошенничества, но, к сожалению, такой способ контроля имеет ряд критических изъянов. Первый заключается в том, что операторы намерены передавать такую информацию банкам за дополнительную плату. Например, ОАО «Мобильные телесистемы» (МТС) уже готовит к запуску такой сервис. Весь вопрос в том, какими в реальности окажутся тарифы на предоставление такой информации.
Ещё один изъян этого, пока гипотетического сервиса, состоит в том, что разработка, создание и запуск нового блока обработки информации в многоуровневой системе банка, особенно такого крупного как Сбербанка, потребует много времени и существенных затрат.
У информирования операторами сотовой связи банков о замене SIM-карт клиентов имеется ещё один недостаток – отсутствует достаточно конкретное правовое регулирование этой сферы. Сразу особую актуальность приобретает несколько вопросов: на основании каких законов сотовые операторы будут предоставлять банку конфиденциальную информацию о клиентах? Допустимо ли предоставлять такую информацию о замене SIM-карты любой финансово-кредитной организации или это потребует каких-либо дополнительных нормативных актов, договоров? Кого и в какой мере информировать сотовому оператору, если абонент пользуется несколькими сервисами дистанционного банковского обслуживания разных банков, в какой мере допустимо использовать один номер телефона в различных банках? Без точных ответов на поставленные вопросы обсуждаемый сервис реализовывать не имеет смысла.
Существует ещё один альтернативный метод борьбы с мошеннической заменой SIM-карты. Банк может может осуществлять автоматический контроль IMSI-идентификатора SIM-карты телефонного номера, от которого поступил запрос на выполнение тех или иных действий со счетом.
IMSI (Inter-national Mobile Subscriber Identity) – это международный идентификатор мобильного абонента, его индивидуальный номер, который присваивается каждому пользователю мобильной связи.
Этот механизм позволяет банкам сравнивать исходный идентификатор SIM-карты с текущим, и, в случае расхождения, требовать от клиента дополнительных подтверждений на операции по счету. Это сравнительно простой способ контроля подлинности SIM-карты, который не требует сложных разработок или существенной перенастройки автоматизированных банковских систем.
К сожалению, и этот метод борьбы против мошенничества с SIM-картами имеет слабые стороны. В частности, имеется серьезное ограничение, проистекающее из специфики работы GSM-сетей. Операторы сотовой связи иногда, при нахождении абонента в роуминге, могут искусственно изменять IMSI клиента. Эта техническая особенность приводит к значительным ограничениям использования альтернативного способа защиты от атаки мошенников на SIM-карту.
