Как выяснили «Известия», с 16 марта 2015 года вступили в силу новые требования ЦБ к банкам по борьбе с мошенничеством при дистанционном обслуживании граждан. Теперь банки должны регистрировать все устройства, с которых их клиенты собираются заходить в интернет-банк и мобильный банк, — предполагается, что операции нельзя будет провести с незарегистрированных телефона, планшета или компьютера. Кроме того, банки теперь обязаны блокировать рассылку служебных SMS (одноразовые пароли и проч.) при смене клиентом номера или SIM-карты.
Новые требования изложены в Указании ЦБ № 3361-У, которое изменяет Положение регулятора 382-П.
— Банк на основании заявления клиента определяет параметры операций, которые могут осуществляться через интернет- и мобильный банкинг. В том числе банк устанавливает перечень устройств, с использованием которых может осуществляться доступ к системам дистанционного банковского обслуживания (ДБО) с целью переводов денег на основе идентификаторов данных устройств, — говорится в документе. — Также банк устанавливает максимальную сумму перевода клиента через ДБО за одну операцию и (или) за определенный период времени (один день/один месяц).
Правда, в Указании ЦБ не указано, что такое «идентификатор» устройства.
— Логично предположить, что речь идет о МАС-адресе, — предполагают в компании Digital Security (один из лидеров в направлении анализа защищенности банковских систем). — Это уникальный идентификатор модема конкретного устройства, с которого осуществляется доступ в Сеть. Но для целей идентификации банки могут использовать и IP-адреса клиентов (сетевой адрес узла в компьютерной сети, но у ряда устройств может быть один и тот же IP — например, в корпоративной сети). Или еще можно взять сведения о конфигурации устройства и преобразовать это всё в некое число, уникальное для каждой железки. Вариантов может быть много.
Руководитель аналитического центра Zecurion Владимир Ульянов подчеркнул, что IP-адрес для идентификации клиента категорически не подходит.
— Менее 50% пользователей имеют статические (постоянные) IP-адреса, — поясняет Ульянов. — У остальных пользователей IP регулярно меняется, и никакого смысла привязываться к нему нет. Что касается использования MAС-адресов и конфигураций оборудования — эта идея кажется более разумной, однако и здесь есть свои изъяны. Конфигурация оборудования и даже MAC-адреса, которые на практике можно менять, могут оказаться одинаковыми у нескольких пользователей. Злоумышленники смогут этим воспользоваться.
Павел Крылов, руководитель направления по развитию продукта Group-IB, говорит, что IP-адрес вполне может использоваться банками, если речь идет о клиентах-юрлицах.
— Для юрлиц может быть использован его выделенный публичный IP-адрес, в этом случае любой компьютер организации может быть использован для доступа в интернет-банкинг, — поясняет Крылов. — Надежнее использовать MAC-адрес конкретного компьютера, но далеко не все системы интернет-банкинга имеют возможность автоматически получать его с компьютера клиента. Для физлиц получение и использование таких и иных идентификаторов не практикуется в силу мобильности клиентов и использования технологий «тонкого клиента». Исключение составляют только мобильные приложения, которые позволяют получить уникальные идентификационные данные устройства.
Руководитель направления по борьбе с мошенничеством центра информационной безопасности компании «Инфосистемы Джет» Алексей Сизов отметил, что те же номера IMEI, которые должны быть уникальными у каждого мобильного устройства, иногда совпадают.
— Известны случаи, когда производители телефонов при разработке обновлений добивались получения идентичного IMEI на всех устройствах, установивших обновления. Еще для сотовых телефонов существуют идентификатор IMSI, жестко привязанный к SIM-карте и защищенный специальными протоколами регистрации SIM-карты с конкретным IMSI в Сети. Однако и это нельзя считать гарантией — прецеденты использования IMSI-catcher (поддельной базовой станции) уже упоминались во многих СМИ.
В ЦБ затруднились ответить на запрос «Известий» по существу. Пока есть некая неопределенность, банки исполняют новые требования по своему разумению — но никто из них не требует идентификации стационарных компьютеров. Начальник управления безопасности информационных технологий СМП-банка Павел Головлев рассказал «Известиям», что в качестве идентификатора устройства банк использует IP-адрес мобильного устройства.
— Чтобы зарегистрировать устройство, через которое клиент планирует заходить в интернет-банк, ему необходимо прийти в офис банка и написать соответствующее заявление, — говорит Головлев. — Если клиент меняет устройство, то ему необходимо обратиться в банк и обновить информацию об идентификаторе устройства. Если теряет — то алгоритм действий в данном случае должен быть таким же, как и при потере банковской карты: сообщить в банк об утрате устройства и о блокировке операций, которые будут совершаться с данного IP-адреса. Банк, конечно, будет учитывать идентификаторы, так как без этого невозможно реализовать блокировку по этому признаку.
Александр Новиков, директор департамента дистанционного банковского обслуживания Бинбанка, говорит, что в банке сейчас вопрос безопасности и регистрации мобильных устройств решается в том числе с помощью push-уведомлений — это разовые пароли для подтверждения операций, которые приходят на мобильные устройства.
— Эти уведомления присылаются банком клиенту напрямую в отличие от SMS, что повышает безопасность, — указывает Новиков. — Все мобильные устройства (телефоны, планшеты), к которым подключены push-уведомления, отображаются в браузерной версии интернет-банка. При утере мобильного устройства клиент может оперативно зайти в интернет-банк через любой компьютер и удалить его из списка. Соответственно, мошенники не смогут им воспользоваться для получения пароля.
Начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева сообщила, что банк решил собирать у клиентов пакеты данных об их устройствах:
— Оптимальным способом идентификации устройства клиента при работе через интернет является определение отпечатка системы — набора параметров, являющихся уникальными для конкретного устройства (device fingerprint). При несовпадении device fingerprint банк может запросить дополнительное подтверждение по операции, связавшись, например, с клиентом по телефону, или отказать в ее проведении, если дополнительная идентификация не прошла успешно. Таким же образом может обновляться и база устройств, если клиент устройство сменил. Таким образом, выполняется требование ЦБ в части идентификации устройства клиента и значительно повышается уровень безопасности при работе через дистанционные каналы обслуживания. Именно по такому пути решил идти ВТБ24.
По словам Ульянова из Zecurion, если у клиента меняется адрес, паспорт, контактные данные, он обязан сообщить об этом в банк, и логично что, когда меняется компьютер, об этом тоже следует уведомлять — техника тоже «реквизит». А пользователи, которые привыкнут к частым обращениям службы поддержки банков по поводу подтверждения новых устройств, станут менее бдительными, считает Ульянов.
— В целом эффект от сокращения мошенничества с использованием интернет-банка в краткосрочной перспективе я оцениваю в 5–10% (от числа инцидентов), но в среднесрочной перспективе он будет нивелирован появлением новых схем, и число инцидентов может только возрасти, — сетует собеседник.
Новые правила сулят всем как бумажные (если вписывать идентификаторы в договор, придется вносить правки в договор), так и технические проблемы вкупе с ростом расходов на ДБО, которые и сейчас составляют миллионы рублей в год.
— У банков появляется техническая проблема с регистрацией устройств и отслеживанием их использования, — поясняют в Digital Security. — У клиентов появятся проблемы с удобством использования интернет-банка из-за ограничения доступности в некоторых случаях. Надо понимать, что атаки на клиентов банков — это набор действий, многоходовки. Одна атака может идти через уязвимости в ПО, другая — с использованием социальной инженерии и выуживания логинов-паролей, фишинга. Например, троян, который уведет пароль, сможет также снять копию системных параметров, как банкоматный скиммер с карты. При введении новых требований у злоумышленников может меняться последовательность действий и некоторых методов, но их текущие средства до сих пор представляют опасность.
Что касается второго нововведения, то ЦБ предписывает приостанавливать отправку клиенту служебных сообщений, если банку «стало известно… о замене SIM-карты клиента, прекращении обслуживания или смене номера телефона, указанного в договоре с клиентом». Представители МТС, «МегаФона» и «ВымпелКома» («Билайн»), однако, заявили «Известиям», что по своей инициативе не отправляют банкам данные о смене SIM-карт абонентами — подобный коммерческий продукт для банков есть разве что у «МегаФона». Закона, обязывающего операторов сотрудничать с банками, нет, а собственно сведения о клиентах составляют тайну, поэтому в этом требовании ЦБ пока вопросов тоже больше, чем ответов.
— Доступность банковских сервисов и услуг значительно снизится, а банкам значительно прибавится работы при взаимодействии с клиентами, — поясняет Сизов из компании «Инфосистемы Джет». — Например, вы выехали за границу и купили местную SIM-карту — в этом случае банк будет ограничивать ваши возможности по использованию сервисов ДБО, что очевидно вами, как клиентом, будет воспринято негативно.
Иллюстрация к статье: