Новости

Банки привяжут интернет-счета клиентов к их смартфонам и компьютерам

Банки привяжут интернет-счета клиентов к их смартфонам и компьютерам

ЦБ обязал банки регистрировать все смартфоны и ноутбуки клиентов для совершения транзакций через Сеть. Клиенты не смогут провести операции с незарегистрированных устройств.

Как выяснили «Известия», с 16 марта 2015 года вступили в силу новые требования ЦБ к банкам по борьбе с мошенничеством при дистанционном обслуживании граждан. Теперь банки должны регистрировать все устройства, с которых их клиенты собираются заходить в интернет-банк и мобильный банк, — предполагается, что операции нельзя будет провести с незарегистрированных телефона, планшета или компьютера. Кроме того, банки теперь обязаны блокировать рассылку служебных SMS (одноразовые пароли и проч.) при смене клиентом номера или SIM-карты.

Новые требования изложены в Указании ЦБ № 3361-У, которое изменяет Положение регулятора 382-П.

— Банк на основании заявления клиента определяет параметры операций, которые могут осуществляться через интернет- и мобильный банкинг. В том числе банк устанавливает перечень устройств, с использованием которых может осуществляться доступ к системам дистанционного банковского обслуживания (ДБО) с целью переводов денег на основе идентификаторов данных устройств, — говорится в документе. — Также банк устанавливает максимальную сумму перевода клиента через ДБО за одну операцию и (или) за определенный период времени (один день/один месяц).

Правда, в Указании ЦБ не указано, что такое «идентификатор» устройства.

— Логично предположить, что речь идет о МАС-адресе, — предполагают в компании Digital Security (один из лидеров в направлении анализа защищенности банковских систем). — Это уникальный идентификатор модема конкретного устройства, с которого осуществляется доступ в Сеть. Но для целей идентификации банки могут использовать и IP-адреса клиентов (сетевой адрес узла в компьютерной сети, но у ряда устройств может быть один и тот же IP — например, в корпоративной сети). Или еще можно взять сведения о конфигурации устройства и преобразовать это всё в некое число, уникальное для каждой железки. Вариантов может быть много.

Руководитель аналитического центра Zecurion Владимир Ульянов подчеркнул, что IP-адрес для идентификации клиента категорически не подходит.

— Менее 50% пользователей имеют статические (постоянные) IP-адреса, — поясняет Ульянов. — У остальных пользователей IP регулярно меняется, и никакого смысла привязываться к нему нет. Что касается использования MAС-адресов и конфигураций оборудования — эта идея кажется более разумной, однако и здесь есть свои изъяны. Конфигурация оборудования и даже MAC-адреса, которые на практике можно менять, могут оказаться одинаковыми у нескольких пользователей. Злоумышленники смогут этим воспользоваться.

Павел Крылов, руководитель направления по развитию продукта Group-IB, говорит, что IP-адрес вполне может использоваться банками, если речь идет о клиентах-юрлицах.

— Для юрлиц может быть использован его выделенный публичный IP-адрес, в этом случае любой компьютер организации может быть использован для доступа в интернет-банкинг, — поясняет Крылов. — Надежнее использовать MAC-адрес конкретного компьютера, но далеко не все системы интернет-банкинга имеют возможность автоматически получать его с компьютера клиента. Для физлиц получение и использование таких и иных идентификаторов не практикуется в силу мобильности клиентов и использования технологий «тонкого клиента». Исключение составляют только мобильные приложения, которые позволяют получить уникальные идентификационные данные устройства.

Руководитель направления по борьбе с мошенничеством центра информационной безопасности компании «Инфосистемы Джет» Алексей Сизов отметил, что те же номера IMEI, которые должны быть уникальными у каждого мобильного устройства, иногда совпадают.

— Известны случаи, когда производители телефонов при разработке обновлений добивались получения идентичного IMEI на всех устройствах, установивших обновления. Еще для сотовых телефонов существуют идентификатор IMSI, жестко привязанный к SIM-карте и защищенный специальными протоколами регистрации SIM-карты с конкретным IMSI в Сети. Однако и это нельзя считать гарантией — прецеденты использования IMSI-catcher (поддельной базовой станции) уже упоминались во многих СМИ.

В ЦБ затруднились ответить на запрос «Известий» по существу. Пока есть некая неопределенность, банки исполняют новые требования по своему разумению. Начальник управления безопасности информационных технологий СМП-банка Павел Головлев рассказал «Известиям», что в качестве идентификатора устройства банк использует IP-адрес устройства.

— Чтобы зарегистрировать устройство, через которое клиент планирует заходить в интернет-банк, ему необходимо прийти в офис банка и написать соответствующее заявление, — говорит Головлев. — Если клиент меняет устройство, то ему необходимо обратиться в банк и обновить информацию об идентификаторе устройства. Если теряет — то алгоритм действий в данном случае должен быть таким же, как и при потере банковской карты: сообщить в банк об утрате устройства и о блокировке операций, которые будут совершаться с данного IP-адреса. Банк, конечно, будет учитывать идентификаторы, так как без этого невозможно реализовать блокировку по этому признаку.

Александр Новиков, директор департамента дистанционного банковского обслуживания Бинбанка, говорит, что в банке сейчас вопрос безопасности и регистрации мобильных устройств решается в том числе с помощью push-уведомлений — это разовые пароли для подтверждения операций, которые приходят на мобильные устройства.

— Эти уведомления присылаются банком клиенту напрямую в отличие от SMS, что повышает безопасность, — указывает Новиков. — Все мобильные устройства (телефоны, планшеты), к которым подключены push-уведомления, отображаются в браузерной версии интернет-банка. При утере мобильного устройства клиент может оперативно зайти в интернет-банк через любой компьютер и удалить его из списка. Соответственно, мошенники не смогут им воспользоваться для получения пароля.

Начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева сообщила, что банк решил собирать у клиентов пакеты данных об их устройствах:

— Оптимальным способом идентификации устройства клиента при работе через интернет является определение отпечатка системы — набора параметров, являющихся уникальными для конкретного устройства (device fingerprint). При несовпадении device fingerprint банк может запросить дополнительное подтверждение по операции, связавшись, например, с клиентом по телефону, или отказать в ее проведении, если дополнительная идентификация не прошла успешно. Таким же образом может обновляться и база устройств, если клиент устройство сменил. Таким образом, выполняется требование ЦБ в части идентификации устройства клиента и значительно повышается уровень безопасности при работе через дистанционные каналы обслуживания. Именно по такому пути решил идти ВТБ24.

По словам Ульянова из Zecurion, если у клиента меняется адрес, паспорт, контактные данные, он обязан сообщить об этом в банк, и логично что, когда меняется компьютер, об этом тоже следует уведомлять — техника тоже «реквизит». А пользователи, которые привыкнут к частым обращениям службы поддержки банков по поводу подтверждения новых устройств, станут менее бдительными, считает Ульянов.

— В целом эффект от сокращения мошенничества с использованием интернет-банка в краткосрочной перспективе я оцениваю в 5–10% (от числа инцидентов), но в среднесрочной перспективе он будет нивелирован появлением новых схем, и число инцидентов может только возрасти, — сетует собеседник.

Новые правила сулят всем как бумажные (если вписывать идентификаторы в договор, придется вносить правки в договор), так и технические проблемы вкупе с ростом расходов на ДБО, которые и сейчас составляют миллионы рублей в год.

— У банков появляется техническая проблема с регистрацией устройств и отслеживанием их использования, — поясняют в Digital Security. — У клиентов появятся проблемы с удобством использования интернет-банка из-за ограничения доступности в некоторых случаях. Надо понимать, что атаки на клиентов банков — это набор действий, многоходовки. Одна атака может идти через уязвимости в ПО, другая — с использованием социальной инженерии и выуживания логинов-паролей, фишинга. Например, троян, который уведет пароль, сможет также снять копию системных параметров, как банкоматный скиммер с карты. При введении новых требований у злоумышленников может меняться последовательность действий и некоторых методов, но их текущие средства до сих пор представляют опасность.

Что касается второго нововведения, то ЦБ предписывает приостанавливать отправку клиенту служебных сообщений, если банку «стало известно... о замене SIM-карты клиента, прекращении обслуживания или смене номера телефона, указанного в договоре с клиентом». Представители МТС, «МегаФона» и «ВымпелКома» («Билайн»), однако, заявили «Известиям», что по своей инициативе не отправляют банкам данные о смене SIM-карт абонентами — подобный коммерческий продукт для банков есть разве что у «МегаФона». Закона, обязывающего операторов сотрудничать с банками, нет, а собственно сведения о клиентах составляют тайну, поэтому в этом требовании ЦБ пока вопросов тоже больше, чем ответов.

— Доступность банковских сервисов и услуг значительно снизится, а банкам значительно прибавится работы при взаимодействии с клиентами, — поясняет Сизов из компании «Инфосистемы Джет». — Например, вы выехали за границу и купили местную SIM-карту — в этом случае банк будет ограничивать ваши возможности по использованию сервисов ДБО, что очевидно вами, как клиентом, будет воспринято негативно.

Анастасия Алексеевских (Известия)

Advertology.Ru

19.03.2015

на печать


Комментарии

Написать комментарий

 Проверочный код

Архив

Пн Вт Ср Чт Пт Сб Вс

Рассылка

Подписка на рассылку

E-mail:
 

Также нашу рассылку вы можете получать через

E-mail:  

Есть мнение ...

"Азбука вкуса" в новой городской рекламе предлагает нам..."Азбука вкуса" в новой городской рекламе предлагает нам...
Нам придется искать и находить трюфели, а то мы слишком засиделись за компьютерами.
Бесконечные переименования стирают у москвичей память места и чувство...Бесконечные переименования стирают у москвичей память места и чувство...
Во вторник власти Москвы решили, что «Шереметьевской», «Рубцовской» и «Стромынки» на карте метро Москвы не будет. А Карачарово, Крюково и еще трем десяткам станций, ставшим частью МЦД, дадут другие названия.
Как использовать потребительские тренды в туризме и маркетинге...Как использовать потребительские тренды в туризме и маркетинге...
Опрос Ipsos показал: путешествия важны для благополучия россиян, но туризму сложно конкурировать с другими статьями расходов. Выиграть в этой борьбе помогут учет потребительских трендов, ориентация на опыт путешественника и маркетинг впечатлений.
Почему в разгар гастрономического бума никто не хочет покупать...Почему в разгар гастрономического бума никто не хочет покупать...
Некогда главную марку русской кухни выставили на торги. От таких новостей возникает какая-то прямо-таки ностальгическая, светлая печаль. На московской площадке для торгов продадут два бренда группы «Елки-Палки» — «Елки-Палки экспресс» и «Елки-Палки трактир». Вы еще помните эти рестораны и точки общепита?
Городские власти запретят звуковую рекламу на улицахГородские власти запретят звуковую рекламу на улицах
Интересно, что добились этого муниципальные депутаты Тверского района.Некоторым очень везет. Их окна, которые так хочется держать открытыми этим теплым летом, выходят на людные улицы с множеством магазинов. А на этих улицах с утра до вечера — то есть все рабочее время — ходят люди с мегафонами, призывающие покупателей немедленно зайти и приобрести товар — как правило, недорогой и, как правило, поддельный. Ну или зайти выпить кофе. Или съесть гамбургер — все работающие и живущие на людных улицах несчастны по-разному и от разного.

Книги по дизайну

Загрузка ...

Репортажи

В ЦДХ прошел День социальной рекламыВ ЦДХ прошел День социальной рекламы
28 марта в Центральном доме художника состоялась 25-ая выставка маркетинговых коммуникаций «Дизайн и реклама NEXT». Одним из самых ярких её событий стал День социальной рекламы, который организовала Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР) совместно с АНО «Лаборатория социальной рекламы» и оргкомитетом LIME.
Форум "Матрица рекламы": к рекламе в интернете особое...Форум "Матрица рекламы": к рекламе в интернете особое...
На VII Международном форуме «Матрица рекламы», прошедшем в ЦВК «Экспоцентр» в рамках международной выставки  «Реклама-2018», большой интерес у профессиональной аудитории вызвала VI Конференция «Интернет-реклама».
87% компаний используют три и более каналов для внутренних...87% компаний используют три и более каналов для внутренних...
«Лучшие кейсы по внутрикорпоративным коммуникациям. Ключевые тенденции последнего времени. Изменения стремительны, успеваем ли мы за ними?» - данную тему 25 апреля 2018 года обсудили на заседании  Комитета по внутрикорпоративным  коммуникациям Ассоциации менеджеров.
New media, new creativity! "Серебряный меркурий" расширяет...New media, new creativity! "Серебряный меркурий" расширяет...
21-22 марта в Санкт-Петербурге состоялся IV Фестиваль рекламы и маркетинговых услуг «Серебряный Меркурий. Северо-Запад», в рамках  которого прошла Большая конференция. Организатором мероприятия стало ведущее брендинговое агентство России – Brandson (Total Identity Group), во главе с Генеральным директоров агентства, Членом совета АБКР, Еленой Юферевой.
Выставка, посвящённая 100-летию со дня рождения Георгия ЩетининаВыставка, посвящённая 100-летию со дня рождения Георгия Щетинина (6)
В Государственном музее А. С. Пушкина открылась выставка, посвященная не столь широко известному, но заслуживающему пристального внимания художнику-иллюстратору ХХ века Георгию Щетинину.

Форум

Вакансии

  • Загрузка ...

на правах рекламы

12.11.2019 - 22:04
RSS-каналы Advertology.RuRSS    Читать Advertology.Ru на Facebookfacebook    Читать Advertology.Ru ВКонтактеВКонтакте    Читать Advertology.Ru на Twittertwitter   
Advertology.Ru - все о рекламе, маркетинге и PR

Вход | Регистрация