Дистанционное банковское обслуживание клиентов: способы защиты транзакций 30.04.2013

Prosto уровень кибермошенничества стремительно возрастает в процессе развития электронных технологий, расширения функционала платежных карт и каналов дистанционного банковского обслуживания (ДБО) юридических лиц. Об основных источниках рисков для компаний-пользователей интернет-банкинга, а также о «классических» и самых новых способах многоуровневой защиты транзакций рассказывает Prostobiz.ua

Дистанционное банковское обслуживание клиентов: способы защиты транзакций

Разобраться в источниках риска для пользователей ДБО помог Давид Хосиашвили, директор компании Next-GT (дистрибьютор торговой марки Gemalto в Украине). Он выделил такие основные группы рисков для пользователей e-banking:

  • Key/screen logging кража username /pwd (захват с экрана или клавиатуры вводимых логинов и паролей);
  • Перехват смс;
  • Кража ключа электронной цифровой подписи (ЭЦП);
  • Фишинг (заражение компьютера при помощи спама от имени известных брендов);
  • Вредоносные программы на компьютере;
  • Вредоносные программы на телефоне;
  • Удаленное враждебное управление компьютером;
  • Подмена транзакции (MIM / MIB – технологии «человек посередине», «встреча посередине», «потеря посередине», «человек в браузере»).

Данные риски совершенно в разной степени актуальны для ДБО физических и юридических лиц. Кратко скажем о первых. На данный момент 95% банков для аутентификации пользователей-физлиц используют одноразовый пароль с помощью смс. Такое сообщение с одноразовым паролем (известным как OTP – One Time Password) удобно для пользования, но у него есть серьезные недостатки:

  • Одноразовый пароль устраняет только незначительную часть современных атак;
  • Отправка каждого смс связана с затратами для банка.

В идеале для более безопасных дистанционных платежей физлицам стоит ориентироваться на разные средства аутентификации для разных лимитов транзакции: смс с паролем – для маленьких платежей, более защищенные генераторы OTP – для больших сумм.

Для клиентов, которые используют более чем 10 SMS с OTP в месяц, гораздо удобнее (и заодно дешевле для банка) получить аппаратный генератор OTP либо аналогичное мобильное приложение для смартфонов.

Дистанционное банковское обслуживание юрлиц

 На данный момент 95% банков используют ЭЦП – при том ключ хранится в незащищенной среде (жесткий диск, флешка, компакт-диск). Такая технология иногда позволяет злоумышленникам похитить ключ ЭЦП и пароль к нему. Данной информации будет достаточно для хакера, чтобы перевести деньги со счета клиента банка. Во избежание этого используются следующие механизмы:

1. Защищенный USB-совместимый токен авторизации (может быть в виде смарт-карты) для генерации и хранения ключа ЭЦП.

Основное преимущество токена в том, что ключ ЭЦП генерируется непосредственно внутри токена и невозможно его скопировать или извлечь оттуда. Но проблема состоит в том что пользователи очень часто оставляют токен подключенным к ПК что позволяет злоумышленнику (или вирусу которым инфицирован ПК пользователя) создать и подписать несанкционированные платежи на самом ПК пользователя. Также недостатками токена являются

  • сравнительно высокая стоимость (280-320 гривен);
  • проблемы совместимости с различными операционными системами.

2. Генераторы одноразовых паролей (OTP) к существующей ЭЦП.

В качестве дополнительной защиты можно использовать разные виды генераторов ОТР (смс с OTP, брелки для генерации OTP, или же мобильные приложения). Основные преимущества генераторов:

  • Ничего не надо подключать к компьютеру, не надо производить установок драйверов;
  • Низкая стоимость (от 70 гривен);
  • Можно параллельно использовать генератор для ДБО физлиц., а также для защиты транзакций по корпоративным картам;
  • Постепенно можно внедрять все более защищенные схемы авторизации (вначале простой OTP, в будущем OTP с привязкой к реквизитам платежки).

На пути к безопасному ДБО

Дмитрий Ковалевский, ведущий аналитик компании «Бифит Сервис», анонсировал выход на рынок нового поколения программ «Device finger Print» и «Trojan detection»,которые предназначены для идентификации вредоносных вирусов на основе изучения поведения и действий клиента.

Представитель компании «Бифит Сервис» отметил, что вирус, посредством которого мошенники и получают доступ к ЭЦП, а также другим инструментам аутентификации клиента, имеет свои отличительные черты. Его алгоритм действий не схож с человеческим. Именно на основе таких качественных отличий в поведении робота и человека, банковские работники смогут оперативно отслеживать все сомнительные операции. Предполагаемая стоимость такой программной новинки 2013-2014 годов составит 15 евро.

Совсем другая ситуация, когда безопасности ДБО угрожают не вирусы из сети, а инсайдеры банка. Среди типичных ошибок самих финучреждений следует отметить несоблюдение порядка увольнения штатного сотрудника, который располагает ключами доступа к доменам. Тут рецепт прост: согласно законодательству Украины, в этом случае следует изменить все пароли входа в систему, предварительно лишив увольняемого сотрудника доступа к ее администрированию. Как показывает опыт, обратный порядок такого процесса может привести к утечке инсайдерской информации и, как следствие – хищению денежных средств со счетов клиентов. Остается надеяться, что банки будут неукоснительно соблюдать данную схему действий.

Немного статистики: за 2012 год киберпреступниками были совершены атаки на 57 банков, в процессе которых злоумышленники пытались незаконно перевести 116 млн. грн. со счетов юрлиц и 11 млн. грн. со счетов физлиц. Правда, более 70% таких попыток закончились неудачей – после извещения о сомнительных транзакциях владельцы счетов успели заблокировать денежные средства на карте.

К слову, «заморозить» счет и отозвать платеж, можно в течение одного-двух операционных дней с минуты проведения онлайн-транзакции до даты валютирования.

Как видим, клиент банка располагает совсем небольшим временным лагом для того, чтобы заметить нелегальное списывание денег со своего счета и заблокировать его. А поскольку далеко не каждый пользователь ежедневно проверяет баланс счета, шансы вовремя увидеть несанкционированный денежный перевод выше у той компании, финансово ответственные лица которых подключены к смс-банкингу.

Стоит отметить, что на протяжении первых нескольких месяцев многие банки не берут плату за подключение и пользование такой опцией, после чего ежемесячная абонентская плата за нее, как правило, не превышает 10 грн.

Доказать незаконность транзакции достаточно сложно. Механизм такой процедуры законодательно пока не прописан – поэтому пострадавшие от хакеров клиенты-юрлица обращаются в специализированные адвокатские бюро, которые подключают к расследованию правоохранительные органы и занимаются сбором доказательной базы. Согласно опыту представителей Украинского Бюро Интерпола, процесс расследования может затянуться на несколько лет – особенно, если речь идет о международных транзакциях.

Приглашаем вас оставить онлайн-заявку на рассчетно-кассовое обслуживание компании (в том числе с овердрафтом с первого дня обслуживания). Вашу заявку увидят менеджеры десятков банков – после чего в тот же день обязательно ответят о возможности прокредитовать вас (при помощи электронной почты). Заявки абсолютно бесплатны и полностью анонимны. Никакой ответственности за их отправку вы не несете. Никакие действияпосле получения ответов банков для вас не обязательны. Тест-драйв этой услуги на примере заявки на кредит для бизнеса читайте здесь. Спешите получить онлайн выгодные предложения по РКО от десятков банков здесь.

Перспективные новые бизнес-решения на рынке интернет-банкинга и его защиты

Если сегодняшние тенденции научно-технического прогресса сохранятся, то в 2015 году с телефонов в интернет будет заходить больше пользователей, чем с компьютеров. Исследовательская компания Aite Group прогнозирует, что общая сумма мобильных платежей увеличится с 16 миллиардов долларов в 2010 году до 214 миллиардов долларов в 2015 году

В связи с этим Александр Кузнецов, представитель компании «Vasco Data Security» анонсировал выход на украинский рынок в 2013-14 годах мидлета (приложения для мобильных устройств), позволяющего встроить и программу интернет-банкинга, и механизм генерации одноразовых паролей в «операционку» разных видов телефонов. На сегодняшний день продукт находится в стадии кастомизации»: происходит перевод текстов, добавление рисунков и логотипов.

«Идея в том, что мобильный телефон при себе имеет практически каждый клиент дистанционного банковского обслуживания, а вот генератор одноразовых паролей, он может забыть», – объяснил актуальность разработки Николай Хлапонин, коммерческий директор компании «Світ IT». «Сама программа генерации одноразовых паролей в системе ДБО (аплет) будет находиться в свободном доступе, например, на сервисах GooglePlay Store, Apple Store, однако для получения возможности управления счетом, нужно будет пройти этап инициализации», – добавил Олег Балаба, менеджер по продажам компании «Світ IT».

Уже сейчас мы можем оповестить читателей о будущей технологии процесса установки и безопасного использования мидлета для мобильного телефона – который через несколько лет будет проходить практически каждое физлицо и, отдельно, финансовые директора и бухгалтера компаний:

  1. загрузка и установка аплета (представлен Java-программой в форме байт-кода);
  2. получение секретной информации в отделении банка (серийный номер генератора одноразовых паролей и пароль для него) – так-называемый «пин-конверт»;
  3. введение данных пин-конверта в уже установленное приложение на мобильном телефоне – после чего автоматически генерируется запрос в банк о наличии в базе данных реквизитов пользователя;
  4. в случае успешного подтверждения легитимности данных клиента – получение им кода активации по смс;
  5. введение полученного кода в аплет – после чего мобильное приложение готово к использованию. Аплет, при его установке, привязывается к IMEІ-коду аппарата, поэтому переписать или украсть программу нельзя. Для ее запуска и проведения денежных транзакций понадобится пин-код, который известен только пользователю

В качестве вывода, хотелось бы напомнить простую истину: всегда есть противостояние «юзабилити», которое направлено на превращение ДБО в удобный, простой (и дешевый) инструмент – и «безопасности», которая предполагает более высокую меру защищенности компании или физлица: иногда в ущерб их комфорту и бюджету. Как говорится, «у щастя людського два рівних є крила: троянди й виноград, красиве і корисне». Найти гармоничное равновесие между этими сторонами дистанционного банковского обслуживания – одна из важнейших задач (и выгоднейших бизнес-идей) для программистов 2010-х годов во всем мире.


Рейтинги РКО

Полезные статьи

Срочно нужны деньги?