По данным «Известий», на этой неделе Центробанк РФ выпустил указание, в котором определены новые требования к дистанционному обслуживанию клиентов банков. С этих пор банки обязаны регистрировать все устройства пользователя, с которых тот заходит в банковские онлайн-кабинеты или приложения мобильных банков. С незарегистрированных устройств проводить финансовые операции запрещено. Кроме того, теперь банкам запрещается отсылать служебные SMS-сообщения (например, с одноразовым кодом для входа в онлайн-кабинет или совершения платежа) в том случае, если клиент поменял номер телефона.
В документе говорится:
Банк на основании заявления клиента определяет параметры операций, которые могут осуществляться через интернет- и мобильный банкинг. В том числе банк устанавливает перечень устройств, с использованием которых может осуществляться доступ к системам дистанционного банковского обслуживания (ДБО) с целью переводов денег на основе идентификаторов данных устройств. Также банк устанавливает максимальную сумму перевода клиента через ДБО за одну операцию и (или) за определенный период времени (один день/один месяц).
Под «идентификатором» в документе понимается IP-адрес, MAC-адрес, номер SIM-карты и номер телефона. Для целей идентификации также, вероятно, будут использоваться сведения о конфигурации устройств, преобразованные в уникальный для каждого устройства код. У всех методов идентификации есть свои изъяны: к примеру, у большинства пользователей интернета регулярно меняются IP (в том числе, если заходить в интернет из разных сетей), а MAC-адрес легко подделать, чем могут воспользоваться злоумышленники. Смена IMEI-номера или номера SIM-карты для злоумышленников тоже не представляет трудностей. Комплексное использование разных методов идентификации теоретически должно повысить безопасность банковских систем.
С юридическими лицами банкам будет проще — достаточно зарегистрировать в системе постоянный IP-адрес, с которого сотрудники организации будут вести онлайн-расчеты. С физическими лицами, как предполагают эксперты, возникнут трудности, ведь они мобильны, выходят в интернет с разных сетей (из дома, от знакомых, через публичные точки Wi-Fi, мобильную связь), часто меняют оборудование и переходят от одного оператора к другому.
По словам начальника управления безопасности информационных технологий СМП-банка Павла Головлева, подобные схемы защиты применяются уже сейчас, а для регистрации устройства клиенту необходимо обращаться в отделения банка. В том случае, когда клиент теряет устройство, алгоритм действий такой же, как при утере банковской карты: нужно сообщить банку об этом факте, после чего блокируется совершение операций. При идентификации устройств банк учитывает как IP-адреса, так и другие параметры.
В ВТБ-24 оптимальным способом идентификации считают «отпечаток системы» — набор параметров, уникальных для каждого устройства. При его несовпадении банк запрашивал бы у клиента дополнительные сведения, позволяющие установить, что операцию хочет совершить законный владелец счета, а не злоумышленник.
По мнению специалистов компании Digital Security, из-за нового указания ЦБ появятся сложности как у банков, так и у клиентов, но на злоумышленниках оно почти никак не скажется. Как правило, мошенники используют сложный подход: атакуют ПО через уязвимости, с помощью социальной инженерии или фишинга выуживают логины и пароли, подкидывают трояна, который снимает копию системных параметров устройства и тому подобное. В новых условиях у хакеров лишь поменяется алгоритм действий, что никак не повлияет на безопасность использования банковских онлайн-сервисов.
Трудности у банков возникнут и в связи с запретом на отправку SMS клиентам, поменявшим номер телефона. Сейчас физические лица не обязаны сообщать банкам о том, что они сменили номер телефона или оператора. Закона, обязывающего операторов сообщать банкам об изменении телефонных номеров абонентов, тоже не существует.
Проблемы могут появиться и у тех клиентов банков, которые часто выезжают за рубеж. Например, если человек купил местную SIM-карту в другой стране, то банк обязан ограничить ему доступ к совершению финансовых операций, а зарегистрировать устройство будет негде.