MMGP logo
Присоединяйтесь к нашему инвестиционному форуму, на котором уже 649,768 пользователей. Чтобы получить доступ ко многим закрытым разделам и начать общение - зарегистрируйтесь прямо сейчас.
Обсуждение новостей, связанных с банками и страхованием.
Первый пост Опции темы
Старый 19.03.2015, 14:27
#1
Любитель
 
Пол: Мужской
Адрес: живу в интернете...
Регистрация: 08.01.2015
Сообщений: 465
Благодарностей: 137
Банки привяжут интернет-счета клиентов к их смартфонам и компьютерам

ЦБ обязал банки регистрировать все смартфоны и ноутбуки клиентов для совершения транзакций через Сеть. Клиенты не смогут провести операции с незарегистрированных устройств


Как выяснили «Известия», с 16 марта 2015 года вступили в силу новые требования ЦБ к банкам по борьбе с мошенничеством при дистанционном обслуживании граждан. Теперь банки должны регистрировать все устройства, с которых их клиенты собираются заходить в интернет-банк и мобильный банк, — предполагается, что операции нельзя будет провести с незарегистрированных телефона, планшета или компьютера. Кроме того, банки теперь обязаны блокировать рассылку служебных SMS (одноразовые пароли и проч.) при смене клиентом номера или SIM-карты.

Новые требования изложены в Указании ЦБ № 3361-У, которое изменяет Положение регулятора 382-П.

— Банк на основании заявления клиента определяет параметры операций, которые могут осуществляться через интернет- и мобильный банкинг. В том числе банк устанавливает перечень устройств, с использованием которых может осуществляться доступ к системам дистанционного банковского обслуживания (ДБО) с целью переводов денег на основе идентификаторов данных устройств, — говорится в документе. — Также банк устанавливает максимальную сумму перевода клиента через ДБО за одну операцию и (или) за определенный период времени (один день/один месяц).

Правда, в Указании ЦБ не указано, что такое «идентификатор» устройства.

— Логично предположить, что речь идет о МАС-адресе, — предполагают в компании Digital Security (один из лидеров в направлении анализа защищенности банковских систем). — Это уникальный идентификатор модема конкретного устройства, с которого осуществляется доступ в Сеть. Но для целей идентификации банки могут использовать и IP-адреса клиентов (сетевой адрес узла в компьютерной сети, но у ряда устройств может быть один и тот же IP — например, в корпоративной сети). Или еще можно взять сведения о конфигурации устройства и преобразовать это всё в некое число, уникальное для каждой железки. Вариантов может быть много.

Руководитель аналитического центра Zecurion Владимир Ульянов подчеркнул, что IP-адрес для идентификации клиента категорически не подходит.

— Менее 50% пользователей имеют статические (постоянные) IP-адреса, — поясняет Ульянов. — У остальных пользователей IP регулярно меняется, и никакого смысла привязываться к нему нет. Что касается использования MAС-адресов и конфигураций оборудования — эта идея кажется более разумной, однако и здесь есть свои изъяны. Конфигурация оборудования и даже MAC-адреса, которые на практике можно менять, могут оказаться одинаковыми у нескольких пользователей. Злоумышленники смогут этим воспользоваться.

Павел Крылов, руководитель направления по развитию продукта Group-IB, говорит, что IP-адрес вполне может использоваться банками, если речь идет о клиентах-юрлицах.

— Для юрлиц может быть использован его выделенный публичный IP-адрес, в этом случае любой компьютер организации может быть использован для доступа в интернет-банкинг, — поясняет Крылов. — Надежнее использовать MAC-адрес конкретного компьютера, но далеко не все системы интернет-банкинга имеют возможность автоматически получать его с компьютера клиента. Для физлиц получение и использование таких и иных идентификаторов не практикуется в силу мобильности клиентов и использования технологий «тонкого клиента». Исключение составляют только мобильные приложения, которые позволяют получить уникальные идентификационные данные устройства.

Руководитель направления по борьбе с мошенничеством центра информационной безопасности компании «Инфосистемы Джет» Алексей Сизов отметил, что те же номера IMEI, которые должны быть уникальными у каждого мобильного устройства, иногда совпадают.

— Известны случаи, когда производители телефонов при разработке обновлений добивались получения идентичного IMEI на всех устройствах, установивших обновления. Еще для сотовых телефонов существуют идентификатор IMSI, жестко привязанный к SIM-карте и защищенный специальными протоколами регистрации SIM-карты с конкретным IMSI в Сети. Однако и это нельзя считать гарантией — прецеденты использования IMSI-catcher (поддельной базовой станции) уже упоминались во многих СМИ.

В ЦБ затруднились ответить на запрос «Известий» по существу. Пока есть некая неопределенность, банки исполняют новые требования по своему разумению. Начальник управления безопасности информационных технологий СМП-банка Павел Головлев рассказал «Известиям», что в качестве идентификатора устройства банк использует IP-адрес устройства.

— Чтобы зарегистрировать устройство, через которое клиент планирует заходить в интернет-банк, ему необходимо прийти в офис банка и написать соответствующее заявление, — говорит Головлев. — Если клиент меняет устройство, то ему необходимо обратиться в банк и обновить информацию об идентификаторе устройства. Если теряет — то алгоритм действий в данном случае должен быть таким же, как и при потере банковской карты: сообщить в банк об утрате устройства и о блокировке операций, которые будут совершаться с данного IP-адреса. Банк, конечно, будет учитывать идентификаторы, так как без этого невозможно реализовать блокировку по этому признаку.

Александр Новиков, директор департамента дистанционного банковского обслуживания Бинбанка, говорит, что в банке сейчас вопрос безопасности и регистрации мобильных устройств решается в том числе с помощью push-уведомлений — это разовые пароли для подтверждения операций, которые приходят на мобильные устройства.

— Эти уведомления присылаются банком клиенту напрямую в отличие от SMS, что повышает безопасность, — указывает Новиков. — Все мобильные устройства (телефоны, планшеты), к которым подключены push-уведомления, отображаются в браузерной версии интернет-банка. При утере мобильного устройства клиент может оперативно зайти в интернет-банк через любой компьютер и удалить его из списка. Соответственно, мошенники не смогут им воспользоваться для получения пароля.

Начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева сообщила, что банк решил собирать у клиентов пакеты данных об их устройствах:

— Оптимальным способом идентификации устройства клиента при работе через интернет является определение отпечатка системы — набора параметров, являющихся уникальными для конкретного устройства (device fingerprint). При несовпадении device fingerprint банк может запросить дополнительное подтверждение по операции, связавшись, например, с клиентом по телефону, или отказать в ее проведении, если дополнительная идентификация не прошла успешно. Таким же образом может обновляться и база устройств, если клиент устройство сменил. Таким образом, выполняется требование ЦБ в части идентификации устройства клиента и значительно повышается уровень безопасности при работе через дистанционные каналы обслуживания. Именно по такому пути решил идти ВТБ24.

По словам Ульянова из Zecurion, если у клиента меняется адрес, паспорт, контактные данные, он обязан сообщить об этом в банк, и логично что, когда меняется компьютер, об этом тоже следует уведомлять — техника тоже «реквизит». А пользователи, которые привыкнут к частым обращениям службы поддержки банков по поводу подтверждения новых устройств, станут менее бдительными, считает Ульянов.

— В целом эффект от сокращения мошенничества с использованием интернет-банка в краткосрочной перспективе я оцениваю в 5–10% (от числа инцидентов), но в среднесрочной перспективе он будет нивелирован появлением новых схем, и число инцидентов может только возрасти, — сетует собеседник.

Новые правила сулят всем как бумажные (если вписывать идентификаторы в договор, придется вносить правки в договор), так и технические проблемы вкупе с ростом расходов на ДБО, которые и сейчас составляют миллионы рублей в год.

— У банков появляется техническая проблема с регистрацией устройств и отслеживанием их использования, — поясняют в Digital Security. — У клиентов появятся проблемы с удобством использования интернет-банка из-за ограничения доступности в некоторых случаях. Надо понимать, что атаки на клиентов банков — это набор действий, многоходовки. Одна атака может идти через уязвимости в ПО, другая — с использованием социальной инженерии и выуживания логинов-паролей, фишинга. Например, троян, который уведет пароль, сможет также снять копию системных параметров, как банкоматный скиммер с карты. При введении новых требований у злоумышленников может меняться последовательность действий и некоторых методов, но их текущие средства до сих пор представляют опасность.

Что касается второго нововведения, то ЦБ предписывает приостанавливать отправку клиенту служебных сообщений, если банку «стало известно... о замене SIM-карты клиента, прекращении обслуживания или смене номера телефона, указанного в договоре с клиентом». Представители МТС, «МегаФона» и «ВымпелКома» («Билайн»), однако, заявили «Известиям», что по своей инициативе не отправляют банкам данные о смене SIM-карт абонентами — подобный коммерческий продукт для банков есть разве что у «МегаФона». Закона, обязывающего операторов сотрудничать с банками, нет, а собственно сведения о клиентах составляют тайну, поэтому в этом требовании ЦБ пока вопросов тоже больше, чем ответов.

— Доступность банковских сервисов и услуг значительно снизится, а банкам значительно прибавится работы при взаимодействии с клиентами, — поясняет Сизов из компании «Инфосистемы Джет». — Например, вы выехали за границу и купили местную SIM-карту — в этом случае банк будет ограничивать ваши возможности по использованию сервисов ДБО, что очевидно вами, как клиентом, будет воспринято негативно.

источник
Happy Money вне форума
Войдите, чтобы оставить комментарий.
Быстрый переход
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Российские банки перестанут кредитовать клиентов с "улицы" Villa1981 Новости в банковской сфере и страховании 2 28.04.2015 12:32
Банки смогут следить за передвижениями своих клиентов. lannna Новости в банковской сфере и страховании 0 16.02.2015 10:44
Android-вирус атаковал счета клиентов российских банков vhyip Новости в мире финансов и инвестиций 2 20.11.2014 06:52
VAB-банк (Украина) полностью прекратил обслуживать счета клиентов morg Новости в банковской сфере и страховании 5 13.10.2014 00:49