Решением Центробанка теперь банкам вменена в обязанность регистрация всех смартфонов и ноутбуков, принадлежащих их клиентам для совершения транзакций через Интернет. Клиенты лишаются возможности проводить операции с устройств, если они не зарегистрированы.
Так, 16 марта 2015 года началось действие новых требований ЦБ к банкам, направленных на борьбу с мошенничествами при дистанционном обслуживании клиентов. Банки обязаны совершать регистрацию всех устройств, с которых их клиенты заходят в системы Интернет-или- Мобильный банк. По задумке регулятора, клиент не сможет совершить ту или иную операцию с незарегистрированного телефона (ПК, планшета). Наряду с этим, банки должны будут заниматься блокировкой рассылки служебных SMS (одноразовых паролей и прочего), если клиент сменит номер или SIM-карту.
С новыми требованиями можно ознакомиться в Указании ЦБ № 3361-У.
Банк, основываясь на заявлении клиента, определяется с операциями, которые этот клиент может совершать через интернет- и мобильный банкинг. В то же время банк вправе установить список устройств, через которые можно получить доступ к системам ДБО, чтобы, например, перевести деньги, посредством идентификации этих устройств. Дополнительно банк имеет право на установление максимальной суммы совершаемого клиентом через ДБО перевода за одну операцию и (или) за конкретный временной период (1 день/1 месяц).
По мнению руководителя аналитического центра Zecurion Владимира Ульянова, было бы логично предположить, что идентифицирующее устройство, в данном случае, это МАС-адрес, являющийся уникальным идентификатором модема конкретного устройства, с которого пользователь заходит в Сеть. Но в идентификационных целях банки могут воспользоваться и IP-адресами клиентов. Можно – как вариант - взять информацию о конфигурации устройства для преобразования этого всего в некое число, уникальное для каждого гаджета. Вариантов – множество, но IP-адрес для идентификации клиентов не подходит категорически.
Меньше половины пользователей обладают статическими (постоянными) IP-адресами. У второй половины пользователей IP систематически изменяется, и привязка к нему бессмысленна. Если говорить об использовании MAС-адресов и конфигураций оборудования, то в этой идее разумное зерно, но и тут не без изъянов. И то, и другое на практике можно изменить, но они могут быть одинаковы у разных пользователей. Понятно, что этим воспользуются злоумышленники.
По словам Павла Крылова, руководителя направления по развитию продукта Group-IB, банки могут взять на вооружение использование IP-адресов, если они принадлежат клиентам-юрлицам, которые могут пользоваться выделенным публичным IP-адресом, тогда любой компьютер этой компании можно использовать при доступе в интернет-банкинг. Надежнее пользоваться MAC-адресом конкретного компьютера, но не все системы интернет-банкинга смогут в автоматическом режиме получать его с клиентского компьютера. Если говорить о физических лицах, то тут практика получения и использования идентификаторов отсутствует в силу их мобильности и того, что здесь, как правило, используются технологии «тонкого клиента». Исключение относится к мобильным приложениям, способствующим получению уникальных идентификационных данных устройства.
По мнению руководителя направления по борьбе с кибер-мошенничествами центра информационной безопасности компании «Инфосистемы Джет» Алексея Сизова, те же номера IMEI, которым, по сути, следует быть уникальными для каждого мобильного устройства, порой имеют 100%-е совпадение.
В Центробанке на запрос по этой теме ответить не смогли. Сегодня налицо присутствие некоторой неопределенности, новые требования исполняются банками, но на свое усмотрение — никто не требует, чтобы стационарные компьютеры были идентифицированы. По словам начальника управления безопасности информационных технологий СМП-банка Павла Головлева, банки заменили идентификатор устройств IP-адресами мобильных устройств и это их вполне устраивает.
Чтобы устройство, через которое клиент заходит в интернет-банк, было зарегистрировано, человек должен посетить банковский офис для написания соответствующего заявления. Если клиент решит сменить устройство, то ему также нужно будет прийти в банк для обновления информации об идентификаторе устройства. Если устройство потерялось — то алгоритм действий в этом случае совпадает с тем, который прописан на случай потере карты банка: уведомить банк о потере устройства и о блокировке операций, которые могут быть совершены с этого IP-адреса.
По словам Александра Новикова, директора департамента ДБО Бинбанка, сегодня в банке все вопроса, касающиеся безопасности и регистрации мобильных устройств решаются, в том числе посредством push-уведомлений — разовых паролей, приходящих на мобильные устройства, которыми подтверждаются операции.
Банк занимается рассылкой этих уведомлений клиентам напрямую, что повышает уровень безопасности. Любое мобильное устройство (телефон, планшет), если к нему подключены push-уведомления, отображается в браузере интернет-банка. Если клиент потерял мобильное устройство, он может сразу же зайти в интернет-банк, воспользовавшись любым компьютером и отредактировать список своих устройств. Понятно, что злоумышленникам не удастся им воспользоваться, чтобы получить пароль.
По словам начальника управления ДБО ВТБ24 Елены Дегтевой, банк решил приступить к сбору у клиентов пакетов информации о принадлежащих им устройствах. Оптимальный способ идентифицировать устройство клиента при работе через интернет - определить отпечаток системы — набор параметров, уникальных для этого устройства (device fingerprint). Если device fingerprint не совпадает, банк вправе направить запрос дополнительного подтверждения по операции, для чего можно позвонить клиенту по телефону, или отказать в проведении операции при безуспешном исходе дополнительной идентификации. Так же можно обновлять и базу устройств при их смене клиентом. Так можно выполнить требование Центробанка по идентификации клиентских устройств и значительно повысить уровень безопасности при работе по дистанционным каналам обслуживания. Этот путь выбрал ВТБ24.
Как считает Ульянов (Zecurion), если клиент меняет адрес, паспорт, контакты, он обязан уведомить банк, и когда он меняет компьютер, об этом тоже нужно сообщать. А пользователи, уже привыкнувшие к часто обращающимся службам поддержки банков по вопросам, связанным с подтверждением новых устройств, могут утратить бдительность.
Благодаря запуску новых правил, неизбежно столкновение с бумажными (вписывание идентификаторов в договор, внесение правок), так и с техническими проблемами вместе с увеличением расходов на ДБО, которые и сегодня ежегодно выливаются в миллионы рублей.
Банки столкнутся с технической проблемой по регистрации устройств и отслеживанию их использования. Клиенты – с проблемами в удобстве пользования интернет-банком ввиду ограничения доступности в ряде случаев. Дело в том, что атаки на банковских клиентов — это комплекс действий со множеством ходов. Одна атака направлена на уязвимость программного обеспечения, при другой используется социальная инженерия и выуживание логинов-паролей, фишинг-атаки. Допустим, троян, уводящий пароль, может скопировать системные параметры подобно банкоматному скиммеру с карты. Если запустить новые требования, злоумышленники могут изменить очередность своих действий и методов, но средства, которыми они пользуются сегодня, до сих пор опасны.
Если говорить о втором нововведении, ЦБ предписал приостанавливать отправку клиентам служебных сообщений, если банк узнал о смене клиентом SIM-карты, о том, что клиент прекратил обслуживать или сменил номер телефона, указанного в договоре с ним. Однако по словам представителей ряда крупных операторов (МТС, «МегаФон» и «ВымпелКом» («Билайн»), они не являются инициаторами отправки в банки данных о смене SIM-карт абонентами — с таким коммерческим продуктом для банков работает только «МегаФон». А закон, обязывающий операторов вступать в сотрудничество с банками, отсутствует, а собственно сведения, касающиеся клиентов, являются тайной, поэтому по данному требованию ЦБ есть много вопросов.
По мнению Алексея Сизова (компания «Инфосистемы Джет»), запуск новых требований может привести к существенному снижению доступности сервисов и услуг банков, а банкам добавится работы по взаимодействию с клиентами. К примеру, вы уехали за границу и приобрели уже на месте SIM-карту — тогда банк ограничит набор ваших возможностей в использовании сервисов ДБО, что – и это естественно - вас, как клиента, категорически не устроит.
