Контакты
Подписка
МЕНЮ
Контакты
Подписка

"Ремни безопасности" дистанционного банковского обслуживания

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций

АУТЕНТИФИКАЦИЯ
КИБЕРУГРОЗЫ
ДБО

"Ремни безопасности" дистанционного банковского обслуживания

Вопрос безопасности дистанционного банковского обслуживания очень важен для банков. Создавая мобильные финансовые сервисы, банк имеет обязательства по защите своих клиентов от киберугроз, которые развиваются вместе c новыми технологиями
Максим Коптев
Департамент безопасности Сбербанка

Сбербанк внимательно изучает угрозы безопасности в области дистанционного банковского обслуживания (ДБО) и реализует адекватные механизмы защиты денежных средств и информации клиентов. Некоторые из этих механизмов находятся полностью под контролем банка, другие становятся эффективными при условии, что клиент также осведомлен о потенциальной угрозе и принимает меры безопасности со своей стороны.

Если проводить аналогию с производством автомобилей, то банк снабжает авто ремнем безопасности, а водителю следует пристегнуться, чтобы он сработал. К сожалению, не все клиенты выполняют рекомендуемые Сбербанком меры безопасности, что приводит к инцидентам. Со своей стороны Сбербанк внедряет современные аналитические системы, позволяющие выявлять несанкционированные операции даже при компрометации средств доступа клиента.

Основные угрозы – СМС-рассылки и вирусное заражение телефонов

В первую очередь угрозой для дистанционного банковского обслуживания является получение злоумышленниками доступа к системам ДБО и совершение ими не санкционированных клиентами операций. Наиболее распространенным видом мошенничества в отношении клиентов банка является мошенничество с использованием методов социальной инженерии, основанных на доверчивости клиентов к сообщениям тревожащего их характера или возможности получить дополнительные доходы или компенсации.

Типичным примером использования методов социальной инженерии является СМС-мошенничество, основанное на рассылке ложных СМС-сообщений о блокировке карты или якобы совершенном переводе средств, после чего клиенты сами выходят на контакт с мошенниками по указанному в сообщении телефону.

Перезвонившему по указанному в СМС телефону держателю карты мошенники представляются сотрудниками службы безопасности банка или контактного центра и в убедительной форме предлагают срочно провести операции по разблокировке карты, отмене перевода и т.п. в зависимости от содержания СМС. Для этого предлагается подойти к ближайшему банкомату и перезвонить на указанный в СМС номер телефона. Далее, слепо следуя получаемым по телефону инструкциям, люди сами переводят средства на электронные кошельки, банковские карты или телефоны мошенников.

Получение держателем карты такого СМС не свидетельствует о "взломе" банковской системы, об утечке баз "карточных" клиентов и номеров их телефонов. Мошенники действуют наугад, и получают такие сообщения в том числе граждане, вообще не имеющие банковских карт. Но, поскольку Сбербанк является крупнейшим эмитентом банковских карт, вероятность получения мошеннического СМС-сообщения именно клиентами Сбербанка весьма высока.

Отдельно необходимо упомянуть о вирусном заражении телефонов. В первую очередь это касается наиболее популярной платформы Android. Заражение телефона вредоносной программой может произойти при переходе по ссылке в сообщении, при открытии фотографии, при серфинге в Интернете. Эти вредоносы без участия клиента могут направлять СМС-команды на перевод, перехватывать СМС с кодом подтверждения и автоматически пересылать их в банк. При этом вирус может скрывать СМС-сообщения от владельца телефона. Для хищения атакующим не надо знать ни номера карт, ни логины, ни пароли, только баланс, который они всегда могут получить, отправив СМС-запрос в банк.

Инновационное решение – антивирус внутри мобильного приложения

По нашему мнению, защитные меры в ДБО должны предусматривать разумный баланс между степенью защиты и затратами на обеспечение этой защиты, между контролем проведения операции и удобством клиента. Например, для своих клиентов Сбербанк России внедрил инновационное решение, позволяющее пользователям защититься от вирусных угроз и получить полнофункциональный банковский сервис: мобильное приложение для Android со встроенной автоматически обновляемой и бесплатной антивирусной защитой.

Биометрические аутентификация и подтверждение операций в ДБО являются принципиально новым уровнем решения вопроса безопасности дистанционного банковского обслуживания

Правила "пристегивания"

Меры безопасности для клиентов Сбербанка размещены на нашем сайте, среди них можно выделить основные:

  • не сообщайте никому, включая сотрудников банка, свои конфиденциальные данные: СМС-пароли и PIN/CVV-коды от банковских карт;
  • проверяйте реквизиты операции в СМС-сообщениях с подтверждающим паролем;
  • не переходите по ссылкам с незнакомых ресурсов в целях исключения вирусного заражения ваших устройств;
  • используйте только официальные приложения банка из магазинов AppStore, Google Play, WindowsStore;
  • используйте антивирус или установите мобильное приложение "Сбербанк Онлайн" с антивирусом для телефонов Android;
  • никогда не подключайте к услуге "Мобильный банк" чужие телефоны;
  • информируйте банк о смене номера вашего мобильного телефона, подключенного к услуге "Мобильный банк";
  • не перезванивайте на телефоны, указанные в СМС-сообщениях. При любых сомнениях или тревоге обращайтесь в Контактный центр Сбербанка по официальным телефонам, номера которых размещены на оборотной стороне карты Сбербанка или на интернет-сайте Сбербанка.

Курс на биометрическую аутентификацию

Из ключевых инновационных трендов по защите дистанционного банковского обслуживания можно отдельно выделить вопрос аутентификации пользователей. Одним из направлений решения этого вопроса на принципиально новом уровне является биометрическая аутентификация и подтверждение операций в ДБО. Центральный Банк России совместно с Минкомсвязи в настоящее время запускают пилотный проект по удаленной биометрической аутентификации, который покажет работоспособность этого подхода в финансовом секторе.

Сбербанк также прорабатывает вопрос по использованию различных типов биометрических технологий, все они имеют свои слабые и сильные стороны.

Законодательные пробелы

На наш взгляд, основные трудности правового регулирования безопасности дистанционного банковского обслуживания заключаются в следующем:

  • недоработанность существующих и вновь принимаемых законов, отсутствие согласованности в законодательных инициативах. В частности, декриминализация некоторых статей в УК РФ (ст. 272 "Неправомерный доступ к компьютерной информации") существенно осложняет и без того непростую работу правоохранительных органов;
  • недостаток правоприменительной практики по многим статьям, отсутствие заинтересованности правоохранителей, отсутствие у них наработанных методик ведения уголовных дел по хищениям в ДБО;
  • недостаточное взаимодействие правоохранительных органов с операторами связи, банками и клиентами банков.

Опубликовано: Каталог "СКУД. Антитерроризм"-2017
Посещений: 3774

  Автор

Максим Коптев

Максим Коптев

Департамент безопасности Сбербанка

Всего статей:  1

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций