Как узнали «Известия», с 16 марта 2015 года вступили в силу новейшие...

Как узнали «Известия», с 16 марта 2015 года вступили в силу новейшие требования ЦБ к банкам по борьбе с мошенничеством при дистанционном обслуживании людей. Сейчас банки должны регистрировать все устройства, с которых их клиенты собираются входить в интернет-банк и мобильный банк, — предполагается, что операции нельзя будет провести с незарегистрированных телефона, планшета либо компа. Не считая того, банки сейчас должны перекрыть рассылку служебных SMS (одноразовые пароли и пр.) при смене клиентом номера либо SIM-карты.

Новейшие требования изложены в Указании ЦБ № 3361-У, которое изменяет Положение регулятора 382-П. — Банк на основании заявления клиента описывает характеристики операций, которые могут осуществляться через интернет - и мобильный банкинг. В том числе банк устанавливает список устройств, с внедрением которых может осуществляться доступ к системам дистанционного банковского обслуживания (ДБО) с целью переводов средств на базе идентификаторов данных устройств, — говорится в документе. — Также банк устанавливает наивысшую сумму перевода клиента через ДБО за одну операцию и (либо) за определенный период времени (один день/один месяц). Правда, в Указании ЦБ не указано, что такое «идентификатор» устройства. — Разумно представить, что идет речь о МАС-адресе, — подразумевают в компании Digital Security (один из фаворитов в направлении анализа защищенности банковских систем). — Это неповторимый идентификатор модема определенного устройства, с которого осуществляется доступ в Сеть. Но для целей идентификации банки могут применять и Айпишника клиентов (сетевой адресок узла в компьютерной сети, но у ряда устройств быть может один и этот же IP — к примеру, в корпоративной сети). Либо еще можно взять сведения о конфигурации устройства и преобразовать это всё в некоторое число, неповторимое для каждой железки. Вариантов быть может много. Управляющий аналитического центра Zecurion Владимир Ульянов выделил, что Айпишник для идентификации клиента категорически не подступает. — Наименее 50% юзеров имеют статические (неизменные) Айпишника, — объясняет Ульянов. — У других юзеров IP часто изменяется, и никакого смысла привязываться к нему нет. Что касается использования MAС-адресов и конфигураций оборудования — эта мысль кажется наиболее разумной, но и тут есть свои изъяны. Конфигурация оборудования и даже MAC-адреса, которые на практике можно поменять, могут оказаться схожими у пары юзеров. Злоумышленники сумеют сиим пользоваться. Павел Крылов, управляющий направления по развитию продукта Group-IB, говорит, что Айпишник полностью может употребляться банками, ежели идет речь о клиентах-юрлицах. — Для юрлиц быть может применен его выделенный общественный Айпишник, в данном случае хоть какой комп организации быть может применен для доступа в интернет-банкинг, — объясняет Крылов. — Надежнее применять MAC-адрес определенного компа, но далековато не все системы интернет-банкинга имеют возможность автоматом получать его с компа клиента. Для физлиц получение и внедрение таковых и других идентификаторов не практикуется в силу мобильности клиентов и использования технологий «тонкого клиента». Исключение составляют лишь мобильные приложения, которые разрешают получить неповторимые идентификационные данные устройства. Управляющий направления по борьбе с мошенничеством центра информационной сохранности компании «Инфосистемы Джет» Алексей Сизов отметил, что те же номера IMEI, которые должны быть неповторимыми у каждого мобильного устройства, время от времени совпадают. — Известны случаи, когда производители телефонов при разработке обновлений добивались получения схожего IMEI на всех устройствах, установивших обновления. Еще для сотовых телефонов существует идентификатор IMSI, агрессивно привязанный к SIM-карте и защищенный особыми протоколами регистрации SIM-карты с определенным IMSI в Сети. Но и это нельзя считать гарантией — прецеденты использования IMSI-catcher (поддельной базисной станции) уже упоминались во почти всех СМИ. В ЦБ затруднились ответить на запрос «Известий» по существу. Пока есть некоторая неопределенность, банки исполняют новейшие требования по собственному разумению. Начальник управления сохранности информационных технологий СМП-банка Павел Головлев поведал «Известиям», что в качестве идентификатора устройства банк употребляет Айпишник устройства. — Чтоб зарегистрировать устройство, через которое клиент планирует входить в интернет-банк, ему нужно придти в кабинет банка и написать соответственное заявление, — говорит Головлев. — Ежели клиент меняет устройство, то ему нужно обратиться в банк и обновить информацию о идентификаторе устройства. Ежели теряет — то метод действий в данном случае должен быть таковым же, как и при потере банковской карты: сказать в банк о утрате устройства и о блокировке операций, которые будут совершаться с данного Айпишника. Банк, естественно, будет учесть идентификаторы, потому что без этого нереально воплотить блокировку по этому признаку. Александр Новиков, директор департамента дистанционного банковского обслуживания Бинбанка, говорит, что в банке на данный момент вопросец сохранности и регистрации мобильных устройств решается в том числе при помощи push-уведомлений — это разовые пароли для доказательства операций, которые приходят на мобильные устройства. — Эти уведомления присылаются банком клиенту впрямую в отличие от SMS, что увеличивает сохранность, — показывает Новиков. — Все мобильные устройства (телефоны, планшеты), к которым подключены push-уведомления, показываются в браузерной версии интернет-банка. При утере мобильного устройства клиент может оперативно зайти в интернет-банк через хоть какой комп и удалить его из перечня. Соответственно, мошенники не сумеют им пользоваться для получения пароля. Начальник управления дистанционного банковского обслуживания ВТБ24 Лена Дегтева сказала, что банк решил собирать у клиентов пакеты данных о их устройствах: — Хорошим методом идентификации устройства клиента при работе через веб является определение отпечатка системы — набора характеристик, являющихся неповторимыми для определенного устройства (device fingerprint). При несовпадении device fingerprint банк может запросить доп доказательство по операции, связавшись, к примеру, с клиентом по телефону, либо отказать в ее проведении, ежели доборная идентификация не прошла удачно. Таковым же образом может обновляться и база устройств, ежели клиент устройство сменил. Таковым образом, выполняется требование ЦБ в части идентификации устройства клиента и существенно увеличивается уровень сохранности при работе через дистанционные каналы обслуживания. Конкретно по такому пути решил идти ВТБ24. По словам Ульянова из Zecurion, ежели у клиента изменяется адресок, паспорт, контактные данные, он должен сказать о этом в банк, и разумно что, когда изменяется комп, о этом тоже следует уведомлять — техника тоже «реквизит». А юзеры, которые привыкнут к частым обращениям службы поддержки банков по поводу доказательства новейших устройств, станут наименее бдительными, считает Ульянов. — В целом эффект от сокращения мошенничества с внедрением интернет-банка в короткосрочной перспективе я оцениваю в 5–10% (от числа инцидентов), но в среднесрочной перспективе он будет нивелирован возникновением новейших схем, и число инцидентов может лишь возрасти, — сетует собеседник. Новейшие правила сулят всем как бумажные (ежели вчеркивать идентификаторы в контракт, придется вносить правки в контракт), так и технические трудности вместе с ростом расходов на ДБО, которые и на данный момент составляют миллионы рублей в год. — У банков возникает техно неувязка с регистрацией устройств и отслеживанием их использования, — объясняют в Digital Security. — У клиентов покажутся трудности с удобством использования интернет-банка из-за ограничения доступности в неких вариантах. Нужно осознавать, что атаки на клиентов банков — это набор действий, многоходовки. Одна атака может идти через уязвимости в ПО, иная — с внедрением социальной инженерии и выуживания логинов-паролей, фишинга. К примеру, троян, который уведет пароль, сумеет также снять копию системных характеристик, как банкоматный скиммер с карты. При внедрении новейших требований у злоумышленников может изменяться последовательность действий и неких способов, но их текущие средства до этого времени представляют опасность. Что касается второго нововведения, то ЦБ предписывает приостанавливать отправку клиенту служебных сообщений, ежели банку «стало понятно... о подмене SIM-карты клиента, прекращении обслуживания либо смене номера телефона, указанного в договоре с клиентом». Представители МТС, «МегаФона» и «ВымпелКома» («Билайн»), но, заявили «Известиям», что по собственной инициативе не посылают банкам данные о смене SIM-карт абонентами — схожий коммерческий продукт для банков есть разве что у «МегаФона». Закона, обязывающего операторов сотрудничать с банками, нет, а фактически сведения о клиентах составляют тайну, потому в этом требовании ЦБ пока вопросцев тоже больше, чем ответов. — Доступность банковских сервисов и услуг существенно снизится, а банкам существенно прибавится работы при содействии с клиентами, — объясняет Сизов из компании «Инфосистемы Джет». — К примеру, вы выехали за границу и приобрели местную SIM-карту — в данном случае банк будет ограничивать ваши способности по использованию сервисов ДБО, что разумеется вами, как клиентом, будет воспринято плохо.