Безопасность Мобильного банка – как защитить от подмены SIM-карты

Россия+7 (910) 990-43-11
Обновлено: 2020-01-15

За прошедший год, как следует из данных исследований различных аналитических агентств, мобильные устройства уверено обошли стационарные персональные компьютеры по частоте доступа в сеть Интернет.

Существенно выросла популярность систем удаленного банковского обслуживания, используемых через мобильные устройства. Но, вместе с тем, значительно возросли риски атак со стороны мошенников, что, очевидно, чревато кражей денег с банковских счетов клиентов.

Как защитить Мобильный банк от атак

Атаки на SIM-карту и SMS-сообщения

Основным объектом атак со стороны мошенников становятся SMS-сообщения. Так как, на данный момент, это наиболее часто используемый метод подтверждения действий клиента при удаленном банковском обслуживании, будь то онлайн банк или Мобильный банк.

Иллюстрация защиты платежей в мобильном банке

Весьма распространённой формой мошенничества стала, так называемая, «социальная инженерия», то есть введение в заблуждение жертв с помощью отработанных психологических техник. Противодействие такому виду SMS-мошенничеств сводится, главным образом, к информированию клиентов о существующих угрозах и о недопустимости игнорирования правил безопасности при использовании Мобильного банка. Но, разумеется, нельзя забывать и о угрозе чисто технических атак на каналы SMS-связи при дистанционном банковском обслуживании. При успешном исходе такой программно-технической атаки мошенники могут похитить денежные средства пользователя, даже если он строго соблюдает правила безопасности и не совершает никаких ошибок.

Одним из примером такой атаки может быть следующая ситуация: злоумышленники заполучают дубликат SIM-карты, которой подключен, например, Мобильный банк. Для этого они предоставляют в обслуживающий офис сотового оператора или партнёрской сети фальшивые документы, якобы удостоверяющие личность потенциальной жертвы. SIM-карта, используемая в мобильном устройстве клиента, неожиданно перестает работать. Как правило, это происходит в ночное время, поэтому в течение нескольких часов настоящий владелец SIM-карты остается в неведении. Мошенники за это время активируют полученную SIM-карту, получают одноразовые пароли для подтверждения операций со счётом в банке и быстро выводят деньги жертвы на подконтрольные счета.

Причина такой уязвимости системы сотовой связи в том, что сотовые операторы, желая упростить для клиентов операцию замены SIM-карты, в том числе и при смене её версий, передали функцию их выпуска партнерским сетям. В итоге существенно снизился уровень контроля подлинности паспортных данных и полномочий лица, переоформляющего SIM-карту. Сейчас даже можно заказать новую SIM-карту в режиме онлайн с доставкой через курьерскую службу.

Контроль подлинности абонента

В последнее время банковское сообщество, при непосредственном участии Ассоциации российских банков, прорабатывает формы взаимодействия банков и операторов сотовой связи в плане совместной борьбы против атак на SIM-карты и каналы доставки SMS-сообщений. В частности, операторы сотовой связи предлагают внедрить функционал, позволяющий финансовым учреждением отслеживать данные о смене клиентом SIM-карты.

С одной стороны, такая услуга может эффективно предотвращать обозначенный выше тип мошенничества, но, к сожалению, такой способ контроля имеет ряд критических изъянов. Первый заключается в том, что операторы намерены передавать такую информацию банкам за дополнительную плату. Например, ОАО «Мобильные телесистемы» (МТС) уже готовит к запуску такой сервис. Весь вопрос в том, какими в реальности окажутся тарифы на предоставление такой информации.

Ещё один изъян этого, пока гипотетического сервиса, состоит в том, что разработка, создание и запуск нового блока обработки информации в многоуровневой системе банка, особенно такого крупного как Сбербанка, потребует много времени и существенных затрат.

У информирования операторами сотовой связи банков о замене SIM-карт клиентов имеется ещё один недостаток – отсутствует достаточно конкретное правовое регулирование этой сферы. Сразу особую актуальность приобретает несколько вопросов: на основании каких законов сотовые операторы будут предоставлять банку конфиденциальную информацию о клиентах? Допустимо ли предоставлять такую информацию о замене SIM-карты любой финансово-кредитной организации или это потребует каких-либо дополнительных нормативных актов, договоров? Кого и в какой мере информировать сотовому оператору, если абонент пользуется несколькими сервисами дистанционного банковского обслуживания разных банков, в какой мере допустимо использовать один номер телефона в различных банках? Без точных ответов на поставленные вопросы обсуждаемый сервис реализовывать не имеет смысла.

Существует ещё один альтернативный метод борьбы с мошеннической заменой SIM-карты. Банк может может осуществлять автоматический контроль IMSI-идентификатора SIM-карты телефонного номера, от которого поступил запрос на выполнение тех или иных действий со счетом.

IMSI (Inter-national Mobile Subscriber Identity) – это международный идентификатор мобильного абонента, его индивидуальный номер, который присваивается каждому пользователю мобильной связи.

Этот механизм позволяет банкам сравнивать исходный идентификатор SIM-карты с текущим, и, в случае расхождения, требовать от клиента дополнительных подтверждений на операции по счету. Это сравнительно простой способ контроля подлинности SIM-карты, который не требует сложных разработок или существенной перенастройки автоматизированных банковских систем.

К сожалению, и этот метод борьбы против мошенничества с SIM-картами имеет слабые стороны. В частности, имеется серьезное ограничение, проистекающее из специфики работы GSM-сетей. Операторы сотовой связи иногда, при нахождении абонента в роуминге, могут искусственно изменять IMSI клиента. Эта техническая особенность приводит к значительным ограничениям использования альтернативного способа защиты от атаки мошенников на SIM-карту.


5.0/1

<