Новые требования к онлайн-банкам — дичайшее зло или забота о людях?

Александр


По данным «Известий», на этой неделе Центробанк РФ выпустил указание, в котором определены новые требования к дистанционному обслуживанию клиентов банков. С этих пор банки обязаны регистрировать все устройства пользователя, с которых тот заходит в банковские онлайн-кабинеты или приложения мобильных банков. С незарегистрированных устройств проводить финансовые операции запрещено. Кроме того, теперь банкам запрещается отсылать служебные SMS-сообщения (например, с одноразовым кодом для входа в онлайн-кабинет или совершения платежа) в том случае, если клиент поменял номер телефона.

В документе говорится:

Банк на основании заявления клиента определяет параметры операций, которые могут осуществляться через интернет- и мобильный банкинг. В том числе банк устанавливает перечень устройств, с использованием которых может осуществляться доступ к системам дистанционного банковского обслуживания (ДБО) с целью переводов денег на основе идентификаторов данных устройств. Также банк устанавливает максимальную сумму перевода клиента через ДБО за одну операцию и (или) за определенный период времени (один день/один месяц).

Под «идентификатором» в документе понимается IP-адрес, MAC-адрес, номер SIM-карты и номер телефона. Для целей идентификации также, вероятно, будут использоваться сведения о конфигурации устройств, преобразованные в уникальный для каждого устройства код. У всех методов идентификации есть свои изъяны: к примеру, у большинства пользователей интернета регулярно меняются IP (в том числе, если заходить в интернет из разных сетей), а MAC-адрес легко подделать, чем могут воспользоваться злоумышленники. Смена IMEI-номера или номера SIM-карты для злоумышленников тоже не представляет трудностей. Комплексное использование разных методов идентификации теоретически должно повысить безопасность банковских систем.

С юридическими лицами банкам будет проще — достаточно зарегистрировать в системе постоянный IP-адрес, с которого сотрудники организации будут вести онлайн-расчеты. С физическими лицами, как предполагают эксперты, возникнут трудности, ведь они мобильны, выходят в интернет с разных сетей (из дома, от знакомых, через публичные точки Wi-Fi, мобильную связь), часто меняют оборудование и переходят от одного оператора к другому.

По словам начальника управления безопасности информационных технологий СМП-банка Павла Головлева, подобные схемы защиты применяются уже сейчас, а для регистрации устройства клиенту необходимо обращаться в отделения банка. В том случае, когда клиент теряет устройство, алгоритм действий такой же, как при утере банковской карты: нужно сообщить банку об этом факте, после чего блокируется совершение операций. При идентификации устройств банк учитывает как IP-адреса, так и другие параметры.

В ВТБ-24 оптимальным способом идентификации считают «отпечаток системы» — набор параметров, уникальных для каждого устройства. При его несовпадении банк запрашивал бы у клиента дополнительные сведения, позволяющие установить, что операцию хочет совершить законный владелец счета, а не злоумышленник.

По мнению специалистов компании Digital Security, из-за нового указания ЦБ появятся сложности как у банков, так и у клиентов, но на злоумышленниках оно почти никак не скажется. Как правило, мошенники используют сложный подход: атакуют ПО через уязвимости, с помощью социальной инженерии или фишинга выуживают логины и пароли, подкидывают трояна, который снимает копию системных параметров устройства и тому подобное. В новых условиях у хакеров лишь поменяется алгоритм действий, что никак не повлияет на безопасность использования банковских онлайн-сервисов.

Трудности у банков возникнут и в связи с запретом на отправку SMS клиентам, поменявшим номер телефона. Сейчас физические лица не обязаны сообщать банкам о том, что они сменили номер телефона или оператора. Закона, обязывающего операторов сообщать банкам об изменении телефонных номеров абонентов, тоже не существует.

Проблемы могут появиться и у тех клиентов банков, которые часто выезжают за рубеж. Например, если человек купил местную SIM-карту в другой стране, то банк обязан ограничить ему доступ к совершению финансовых операций, а зарегистрировать устройство будет негде.
0
Источник:

Рекомендации

Рекомендации

Будь в курсе последних новостей из мира гаджетов и технологий

Мы в соцсетях

Комментарии

+16
Чем еще решат затормозить экономику страны?

Сообщение отправлено из мобильного приложения iGuides
20 марта 2015 в 14:26
#
+147
Привет зарождающийся режим "Северная Корея 2.0" ?

Сообщение отправлено из мобильного приложения iGuides
20 марта 2015 в 14:27
#
mzb
+64
mzb
Многие банки и сейчас так работают. Чего пугаться то?

Сообщение отправлено из мобильного приложения iGuides
20 марта 2015 в 14:29
#
–28
До мобильного банка нам еще очень далеко. Если с домашнего компа бывают такие зависоны, что ждешь несколько минут, или на сутки операции откладываются, то вообщем пока тема ни о чём...

Сообщение отправлено из мобильного приложения iGuides
20 марта 2015 в 15:13
#
Николай Синёв
+58
Вот не пойму, плакать мне хочется или смеяться от таких новостей?
20 марта 2015 в 15:39
#
cuantro
+621
Они издеваются там в центробанке? Специально что-ли жизнь людям усложняют. Бесит.

Сообщение отправлено из мобильного приложения iGuides
20 марта 2015 в 15:47
#
+2
Народ, Федоров же сказал, что центробанк -это прогосдеповская структура, оставшаяся еще со времен 90-х, давно этот банк надо нациализировать!!!

Сообщение отправлено из мобильного приложения iGuides
21 марта 2015 в 13:31
#
Геннадий Сокольский
+29
Кому-то очень скучно в кабинетах...

Сообщение отправлено из мобильного приложения iGuides
20 марта 2015 в 18:00
#
+5
А нельзя сделать также, как проводится онлайн-банкинг для юридических лиц? Там есть клиент для компа (само собой), юр. лицу банк выдаёт цифровую подпись, сгенерированный пароль, также бывает клиент для сети VPN, так вот, все очень удобно и (вроде!) безопасно, ключ , пока сам не похеришь, будет работать. Так почему бы, не сделать также для обычных людей?

Сообщение отправлено из мобильного приложения iGuides
20 марта 2015 в 18:56
#
Terverus
+140
Потому что электронные ключи стоят денег, и в телефон их тоже не поставить. Физ лицам нужно просто на телефон закинуть, и платежи не такие большие, незачем так заморачиваться, никто пользоваться не будет.

Сообщение отправлено из мобильного приложения iGuides
20 марта 2015 в 19:41
#
Terverus
+140
Критикующие товарищи видимо не в курсе, как вору легко можно получить все эти sms-уведомления и подтвердить операцию о переводе средств. Так будет спокойнее, что даже заполучив ваш номер никто не сможет переводить деньги.

Сообщение отправлено из мобильного приложения iGuides
20 марта 2015 в 19:39
#
OneinchofAsh
+85
Просто в основном все оставившие в данной теме комментарии не пользуются не интернет банкингом, не мобильным. А на самом деле всё работает безотказно и с хорошей зашитой аутетификацией. По крайне мере, как клиент Банка Москва, ни разу не сталкивался с проблемой денежного перевода, хотя почти каждый день использую интернет-банкинг.
21 марта 2015 в 03:48
#
+1
Только настроил подключение к интернет. Долго возился с маской подсети. Помогло это руководство.

https://techprofi.com/network/maska-podseti/

А вообще, я считаю правильным усиливать параметры безопасности. Мне всегда немного боязно вводить в сети данные с карты.
20 марта 2015 в 20:44
#
Сергей Калитурин
+72
Чёкнулись

Сообщение отправлено из мобильного приложения iGuides
20 марта 2015 в 21:34
#
Lord
+159
Бред, с таким подходом мобильный банкинг перестанет быть мобильным. Уже сейчас многие вещи сделаны через жопу, например ограничения по суммам различных операций. А все несанкционированный списания, обычно, происходят по вине пользователей, и хоть ты с них слепок ануса попроси для авторизации платежа, все равно они будут "садится" на недоверенные лавки...
24 марта 2015 в 14:05
#

Читайте также