Новости

Банки привяжут интернет-счета клиентов к их смартфонам и компьютерам

Банки привяжут интернет-счета клиентов к их смартфонам и компьютерам

ЦБ обязал банки регистрировать все смартфоны и ноутбуки клиентов для совершения транзакций через Сеть. Клиенты не смогут провести операции с незарегистрированных устройств.

Как выяснили «Известия», с 16 марта 2015 года вступили в силу новые требования ЦБ к банкам по борьбе с мошенничеством при дистанционном обслуживании граждан. Теперь банки должны регистрировать все устройства, с которых их клиенты собираются заходить в интернет-банк и мобильный банк, — предполагается, что операции нельзя будет провести с незарегистрированных телефона, планшета или компьютера. Кроме того, банки теперь обязаны блокировать рассылку служебных SMS (одноразовые пароли и проч.) при смене клиентом номера или SIM-карты.

Новые требования изложены в Указании ЦБ № 3361-У, которое изменяет Положение регулятора 382-П.

— Банк на основании заявления клиента определяет параметры операций, которые могут осуществляться через интернет- и мобильный банкинг. В том числе банк устанавливает перечень устройств, с использованием которых может осуществляться доступ к системам дистанционного банковского обслуживания (ДБО) с целью переводов денег на основе идентификаторов данных устройств, — говорится в документе. — Также банк устанавливает максимальную сумму перевода клиента через ДБО за одну операцию и (или) за определенный период времени (один день/один месяц).

Правда, в Указании ЦБ не указано, что такое «идентификатор» устройства.

— Логично предположить, что речь идет о МАС-адресе, — предполагают в компании Digital Security (один из лидеров в направлении анализа защищенности банковских систем). — Это уникальный идентификатор модема конкретного устройства, с которого осуществляется доступ в Сеть. Но для целей идентификации банки могут использовать и IP-адреса клиентов (сетевой адрес узла в компьютерной сети, но у ряда устройств может быть один и тот же IP — например, в корпоративной сети). Или еще можно взять сведения о конфигурации устройства и преобразовать это всё в некое число, уникальное для каждой железки. Вариантов может быть много.

Руководитель аналитического центра Zecurion Владимир Ульянов подчеркнул, что IP-адрес для идентификации клиента категорически не подходит.

— Менее 50% пользователей имеют статические (постоянные) IP-адреса, — поясняет Ульянов. — У остальных пользователей IP регулярно меняется, и никакого смысла привязываться к нему нет. Что касается использования MAС-адресов и конфигураций оборудования — эта идея кажется более разумной, однако и здесь есть свои изъяны. Конфигурация оборудования и даже MAC-адреса, которые на практике можно менять, могут оказаться одинаковыми у нескольких пользователей. Злоумышленники смогут этим воспользоваться.

Павел Крылов, руководитель направления по развитию продукта Group-IB, говорит, что IP-адрес вполне может использоваться банками, если речь идет о клиентах-юрлицах.

— Для юрлиц может быть использован его выделенный публичный IP-адрес, в этом случае любой компьютер организации может быть использован для доступа в интернет-банкинг, — поясняет Крылов. — Надежнее использовать MAC-адрес конкретного компьютера, но далеко не все системы интернет-банкинга имеют возможность автоматически получать его с компьютера клиента. Для физлиц получение и использование таких и иных идентификаторов не практикуется в силу мобильности клиентов и использования технологий «тонкого клиента». Исключение составляют только мобильные приложения, которые позволяют получить уникальные идентификационные данные устройства.

Руководитель направления по борьбе с мошенничеством центра информационной безопасности компании «Инфосистемы Джет» Алексей Сизов отметил, что те же номера IMEI, которые должны быть уникальными у каждого мобильного устройства, иногда совпадают.

— Известны случаи, когда производители телефонов при разработке обновлений добивались получения идентичного IMEI на всех устройствах, установивших обновления. Еще для сотовых телефонов существуют идентификатор IMSI, жестко привязанный к SIM-карте и защищенный специальными протоколами регистрации SIM-карты с конкретным IMSI в Сети. Однако и это нельзя считать гарантией — прецеденты использования IMSI-catcher (поддельной базовой станции) уже упоминались во многих СМИ.

В ЦБ затруднились ответить на запрос «Известий» по существу. Пока есть некая неопределенность, банки исполняют новые требования по своему разумению. Начальник управления безопасности информационных технологий СМП-банка Павел Головлев рассказал «Известиям», что в качестве идентификатора устройства банк использует IP-адрес устройства.

— Чтобы зарегистрировать устройство, через которое клиент планирует заходить в интернет-банк, ему необходимо прийти в офис банка и написать соответствующее заявление, — говорит Головлев. — Если клиент меняет устройство, то ему необходимо обратиться в банк и обновить информацию об идентификаторе устройства. Если теряет — то алгоритм действий в данном случае должен быть таким же, как и при потере банковской карты: сообщить в банк об утрате устройства и о блокировке операций, которые будут совершаться с данного IP-адреса. Банк, конечно, будет учитывать идентификаторы, так как без этого невозможно реализовать блокировку по этому признаку.

Александр Новиков, директор департамента дистанционного банковского обслуживания Бинбанка, говорит, что в банке сейчас вопрос безопасности и регистрации мобильных устройств решается в том числе с помощью push-уведомлений — это разовые пароли для подтверждения операций, которые приходят на мобильные устройства.

— Эти уведомления присылаются банком клиенту напрямую в отличие от SMS, что повышает безопасность, — указывает Новиков. — Все мобильные устройства (телефоны, планшеты), к которым подключены push-уведомления, отображаются в браузерной версии интернет-банка. При утере мобильного устройства клиент может оперативно зайти в интернет-банк через любой компьютер и удалить его из списка. Соответственно, мошенники не смогут им воспользоваться для получения пароля.

Начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева сообщила, что банк решил собирать у клиентов пакеты данных об их устройствах:

— Оптимальным способом идентификации устройства клиента при работе через интернет является определение отпечатка системы — набора параметров, являющихся уникальными для конкретного устройства (device fingerprint). При несовпадении device fingerprint банк может запросить дополнительное подтверждение по операции, связавшись, например, с клиентом по телефону, или отказать в ее проведении, если дополнительная идентификация не прошла успешно. Таким же образом может обновляться и база устройств, если клиент устройство сменил. Таким образом, выполняется требование ЦБ в части идентификации устройства клиента и значительно повышается уровень безопасности при работе через дистанционные каналы обслуживания. Именно по такому пути решил идти ВТБ24.

По словам Ульянова из Zecurion, если у клиента меняется адрес, паспорт, контактные данные, он обязан сообщить об этом в банк, и логично что, когда меняется компьютер, об этом тоже следует уведомлять — техника тоже «реквизит». А пользователи, которые привыкнут к частым обращениям службы поддержки банков по поводу подтверждения новых устройств, станут менее бдительными, считает Ульянов.

— В целом эффект от сокращения мошенничества с использованием интернет-банка в краткосрочной перспективе я оцениваю в 5–10% (от числа инцидентов), но в среднесрочной перспективе он будет нивелирован появлением новых схем, и число инцидентов может только возрасти, — сетует собеседник.

Новые правила сулят всем как бумажные (если вписывать идентификаторы в договор, придется вносить правки в договор), так и технические проблемы вкупе с ростом расходов на ДБО, которые и сейчас составляют миллионы рублей в год.

— У банков появляется техническая проблема с регистрацией устройств и отслеживанием их использования, — поясняют в Digital Security. — У клиентов появятся проблемы с удобством использования интернет-банка из-за ограничения доступности в некоторых случаях. Надо понимать, что атаки на клиентов банков — это набор действий, многоходовки. Одна атака может идти через уязвимости в ПО, другая — с использованием социальной инженерии и выуживания логинов-паролей, фишинга. Например, троян, который уведет пароль, сможет также снять копию системных параметров, как банкоматный скиммер с карты. При введении новых требований у злоумышленников может меняться последовательность действий и некоторых методов, но их текущие средства до сих пор представляют опасность.

Что касается второго нововведения, то ЦБ предписывает приостанавливать отправку клиенту служебных сообщений, если банку «стало известно... о замене SIM-карты клиента, прекращении обслуживания или смене номера телефона, указанного в договоре с клиентом». Представители МТС, «МегаФона» и «ВымпелКома» («Билайн»), однако, заявили «Известиям», что по своей инициативе не отправляют банкам данные о смене SIM-карт абонентами — подобный коммерческий продукт для банков есть разве что у «МегаФона». Закона, обязывающего операторов сотрудничать с банками, нет, а собственно сведения о клиентах составляют тайну, поэтому в этом требовании ЦБ пока вопросов тоже больше, чем ответов.

— Доступность банковских сервисов и услуг значительно снизится, а банкам значительно прибавится работы при взаимодействии с клиентами, — поясняет Сизов из компании «Инфосистемы Джет». — Например, вы выехали за границу и купили местную SIM-карту — в этом случае банк будет ограничивать ваши возможности по использованию сервисов ДБО, что очевидно вами, как клиентом, будет воспринято негативно.

Анастасия Алексеевских (Известия)

Advertology.Ru

19.03.2015

на печать


Комментарии

Написать комментарий

 Проверочный код

Архив

Пн Вт Ср Чт Пт Сб Вс

Рассылка

Подписка на рассылку

E-mail:
 

Также нашу рассылку вы можете получать через

E-mail:  

на правах рекламы

Есть мнение ...

Как банки в рекламе ищут новые смыслы и старые ценностиКак банки в рекламе ищут новые смыслы и старые ценности
За последние пару лет реклама банков изменилась. Появились новые сюжеты и герои. Реклама по-прежнему — не только инструмент продвижения услуг, но и способ формирования доверия к финансовым организациям. Главный тренд, который отмечают  эксперты,— переход от сухого перечисления выгод к эмоционально окрашенным коммуникациям.
Антитренды наружной рекламыАнтитренды наружной рекламы
Антитрендами наружной рекламы в текущем году стали прямолинейность и чрезмерная перегруженность сообщений. Наружная реклама продолжает показывать рост: число рекламных конструкций за последний год увеличилось более чем на 2 тысячи.
Мария Бар-Бирюкова, Sellty: продажи на маркетплейсах не заменят...Мария Бар-Бирюкова, Sellty: продажи на маркетплейсах не заменят...
В компании Sellty спрогнозировали развитие рынка электронной коммерции в сегменте СМБ на ближайший год. По оценке основателя Sellty Марии Бар-Бирюковой, число собственных интернет-магазинов среднего, малого и микробизнеса продолжит расти и увеличится минимум на 40% до конца 2025 года. Компании будут и дальше развиваться на маркетплейсах, но станут чаще комбинировать несколько каналов продаж. 
Более двух третей представителей сферы рекламы, маркетинга и PR...Более двух третей представителей сферы рекламы, маркетинга и PR...
10 сентября – Всемирный день психического здоровья. Специально к этой дате компания HINT опросила коллег в сфере маркетинга, рекламы и пиара, чтобы понять, как представители этих профессий могут помочь себе и другим поддержать в норме психическое здоровье.
День знаний для маркетологовДень знаний для маркетологов
Как не ошибиться с выбором формата обучения и предстать перед будущим работодателем успешным специалистом. Директор по маркетингу ведущего IT-холдинга Fplus Ирина Васильева рассказала, на что теперь смотрят работодатели при приеме на работу, как нестандартно можно развиваться в профессии и стоит ли действующим маркетологам обучаться на онлайн-курсах.

Книги по дизайну

Загрузка ...

Репортажи

Дизайн под грифом "секретно"Дизайн под грифом "секретно"
На чем раньше ездили первые лица страны? Эскизы, редкие фотографии и прототипы уникальных машин.
"Наша индустрия – самодостаточна": ГПМ Радио на конференции..."Наша индустрия – самодостаточна": ГПМ Радио на конференции...
Чего не хватает радио, чтобы увеличить свою долю на рекламном рынке? Аудиопиратство: угроза или возможности для отрасли? Каковы первые результаты общероссийской кампании по продвижению индустриального радиоплеера? Эти и другие вопросы были рассмотрены на конференции «Радио в глобальной медиаконкуренции», спикерами и участниками которой стали эксперты ГПМ Радио.
Форум "Матрица рекламы" о технологиях работы в период...Форум "Матрица рекламы" о технологиях работы в период...
Деловая программа 28-й международной специализированной выставки технологий и услуг для производителей и заказчиков рекламы «Реклама-2021» открылась десятым юбилейным форумом «Матрица рекламы». Его организовали КВК «Империя» и «Экспоцентр».
В ЦДХ прошел День социальной рекламыВ ЦДХ прошел День социальной рекламы (3)
28 марта в Центральном доме художника состоялась 25-ая выставка маркетинговых коммуникаций «Дизайн и реклама NEXT». Одним из самых ярких её событий стал День социальной рекламы, который организовала Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР) совместно с АНО «Лаборатория социальной рекламы» и оргкомитетом LIME.
Форум "Матрица рекламы": к рекламе в интернете особое...Форум "Матрица рекламы": к рекламе в интернете особое... (2)
На VII Международном форуме «Матрица рекламы», прошедшем в ЦВК «Экспоцентр» в рамках международной выставки  «Реклама-2018», большой интерес у профессиональной аудитории вызвала VI Конференция «Интернет-реклама».

Форум

на правах рекламы

24.12.2024 - 09:39
RSS-каналы Advertology.RuRSS    Читать Advertology.Ru ВКонтактеВКонтакте    Читать Advertology.Ru на Twittertwitter   
Advertology.Ru - все о рекламе, маркетинге и PR
реклама

Вход | Регистрация