Банки привяжут интернет-счета клиентов к их смартфонам и компьютерам

ЦБ обязал банки регистрировать все смартфоны и ноутбуки клиентов для совершения транзакций через Сеть. Клиенты не смогут провести операции с незарегистрированных устройств. С 16 марта 2015 года вступили в силу новые требования ЦБ к банкам по борьбе с мошенничеством при дистанционном обслуживании граждан.

Теперь банки должны регистрировать все устройства, с которых их клиенты собираются заходить в интернет-банк и мобильный банк, — предполагается, что операции нельзя будет провести с незарегистрированных телефона, планшета или компьютера. Кроме того, банки теперь обязаны блокировать рассылку служебных SMS (одноразовые пароли и пр.) при смене клиентом номера или SIM-карты.

Новые требования изложены в Указании ЦБ № 3361-У, которое изменяет Положение регулятора 382-П.

Банк на основании заявления клиента определяет параметры операций, которые могут осуществляться через интернет и мобильный банкинг. В том числе банк устанавливает перечень устройств, с использованием которых может осуществляться доступ к системам дистанционного банковского обслуживания (ДБО) с целью переводов денег на основе идентификаторов данных устройств. Также банк устанавливает максимальную сумму перевода клиента через ДБО за одну операцию и (или) за определенный период времени (один день/один месяц).

Правда, в Указании ЦБ не указано, что такое «идентификатор» устройства.

Логично предположить, что речь идет о МАС-адресе, — предполагают в компании Digital Security (один из лидеров в направлении анализа защищенности банковских систем). — Это уникальный идентификатор модема конкретного устройства, с которого осуществляется доступ в Сеть. Но для целей идентификации банки могут использовать и IP-адреса клиентов (сетевой адрес узла в компьютерной сети, но у ряда устройств может быть один и тот же IP — например, в корпоративной сети). Или еще можно взять сведения о конфигурации устройства и преобразовать это всё в некое число, уникальное для каждой железки. Вариантов может быть много.

Руководитель аналитического центра Zecurion  подчеркнул, что IP-адрес для идентификации клиента категорически не подходит.

— Менее 50% пользователей имеют статические (постоянные) IP-адреса.

— У остальных пользователей IP регулярно меняется, и никакого смысла привязываться к нему нет. Что касается использования MAС-адресов и конфигураций оборудования — эта идея кажется более разумной, однако и здесь есть свои изъяны. Конфигурация оборудования и даже MAC-адреса, которые на практике можно менять, могут оказаться одинаковыми у нескольких пользователей. Злоумышленники смогут этим воспользоваться.

Руководитель направления по развитию продукта Group-IB, говорит, что IP-адрес вполне может использоваться банками, если речь идет о клиентах-юрлицах.

— Для юрлиц может быть использован его выделенный публичный IP-адрес, в этом случае любой компьютер организации может быть использован для доступа в интернет-банкинг. — Надежнее использовать MAC-адрес конкретного компьютера, но далеко не все системы интернет-банкинга имеют возможность автоматически получать его с компьютера клиента. Для физлиц получение и использование таких и иных идентификаторов не практикуется в силу мобильности клиентов и использования технологий «тонкого клиента». Исключение составляют только мобильные приложения, которые позволяют получить уникальные идентификационные данные устройства.

Руководитель направления по борьбе с мошенничеством центра информационной безопасности компании «Инфосистемы Джет» отметил, что те же номера IMEI, которые должны быть уникальными у каждого мобильного устройства, иногда совпадают.

— Известны случаи, когда производители телефонов при разработке обновлений добивались получения идентичного IMEI на всех устройствах, установивших обновления. Еще для сотовых телефонов существует идентификатор IMSI, жестко привязанный к SIM-карте и защищенный специальными протоколами регистрации SIM-карты с конкретным IMSI в Сети. Однако и это нельзя считать гарантией — прецеденты использования IMSI-catcher (поддельной базовой станции) уже упоминались во многих СМИ.

Пока есть некая неопределенность, банки исполняют новые требования по своему разумению. Начальник управления безопасности информационных технологий СМП-банка  рассказал, что в качестве идентификатора устройства банк использует IP-адрес устройства.

— Чтобы зарегистрировать устройство, через которое клиент планирует заходить в интернет-банк, ему необходимо прийти в офис банка и написать соответствующее заявление. — Если клиент меняет устройство, то ему необходимо обратиться в банк и обновить информацию об идентификаторе устройства. Если теряет — то алгоритм действий в данном случае должен быть таким же, как и при потере банковской карты: сообщить в банк об утрате устройства и о блокировке операций, которые будут совершаться с данного IP-адреса. Банк, конечно, будет учитывать идентификаторы, так как без этого невозможно реализовать блокировку по этому признаку.

Директор департамента дистанционного банковского обслуживания Бинбанка, говорит, что в банке сейчас вопрос безопасности и регистрации мобильных устройств решается в том числе с помощью push-уведомлений — это разовые пароли для подтверждения операций, которые приходят на мобильные устройства.

— Эти уведомления присылаются банком клиенту напрямую в отличие от SMS, что повышает безопасность. — Все мобильные устройства (телефоны, планшеты), к которым подключены push-уведомления, отображаются в браузерной версии интернет-банка. При утере мобильного устройства клиент может оперативно зайти в интернет-банк через любой компьютер и удалить его из списка. Соответственно, мошенники не смогут им воспользоваться для получения пароля.

По словам руководителя Zecurion, если у клиента меняется адрес, паспорт, контактные данные, он обязан сообщить об этом в банк, и логично что, когда меняется компьютер, об этом тоже следует уведомлять — техника тоже «реквизит». А пользователи, которые привыкнут к частым обращениям службы поддержки банков по поводу подтверждения новых устройств, станут менее бдительными.

— В целом эффект от сокращения мошенничества с использованием интернет-банка в краткосрочной перспективе я оцениваю в 5–10% (от числа инцидентов), но в среднесрочной перспективе он будет нивелирован появлением новых схем, и число инцидентов может только возрасти.

Новые правила сулят всем как бумажные (если вписывать идентификаторы в договор, придется вносить правки в договор), так и технические проблемы вкупе с ростом расходов на ДБО, которые и сейчас составляют миллионы рублей в год.

<Указание Банка России от 14 августа 2014 г. N 3361-У «О внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»>