Интернет-банкинг: вопросы безопасности
Добавлено: 22 мар 2015, 00:3019 марта в 16:48
Российские банки должны зарегистрировать смартфоны и компьютеры клиентов
Смартфоны*, Информационная безопасность*
Новые требования ЦБ к банкам, направленные на борьбу с мошенничеством, вступили в силу с 16 марта 2015 года. С полным текстом Указания ЦБ № 3361-У могут ознакомиться все желающие, но нас интересует конкретный абзац из пункта 2.8.3:
Оператор по переводу денежных средств на основании заявления клиента, переданного способом, определенным договором оператора по переводу денежных средств с клиентом, определяет параметры операций, которые могут осуществляться клиентом с использованием системы Интернет-банкинга, в том числе устанавливает:
…
перечень устройств, с использованием которых может осуществляться доступ к системе Интернет-банкинга с целью осуществления переводов денежных средств, на основе идентификаторов указанных устройств;
Естественно, в тексте не указано, что это за «идентификатор устройства» и как его можно получить. В результате эта процедура попала в зависимость от адекватности конкретных банков.
Что же может служить идентификатором устройства, с которого вы зашли в интернет-банк? MAC-адрес? IP? IMEI, в случае мобильного устройства? Набор параметров, собранный с компонентов PC?
Специалист СМП-банка Павел Головлёв рассказал «Известиям», что они в качестве идентификатора используют IP-адрес:
— Чтобы зарегистрировать устройство, через которое клиент планирует заходить в интернет-банк, ему необходимо прийти в офис банка и написать соответствующее заявление. Если клиент меняет устройство, то ему необходимо обратиться в банк и обновить информацию об идентификаторе устройства. Если теряет — то алгоритм действий в данном случае должен быть таким же, как и при потере банковской карты: сообщить в банк об утрате устройства и о блокировке операций, которые будут совершаться с данного IP-адреса. Банк, конечно, будет учитывать идентификаторы, так как без этого невозможно реализовать блокировку по этому признаку.
Александр Новиков из Бинбанка сообщил о замене SMS-оповещений push-уведомлениями:
— Эти уведомления присылаются банком клиенту напрямую в отличие от SMS, что повышает безопасность. Все мобильные устройства (телефоны, планшеты), к которым подключены push-уведомления, отображаются в браузерной версии интернет-банка. При утере мобильного устройства клиент может оперативно зайти в интернет-банк через любой компьютер и удалить его из списка. Соответственно, мошенники не смогут им воспользоваться для получения пароля.
Елена Дегтева из ВТБ24:
— Оптимальным способом идентификации устройства клиента при работе через интернет является определение отпечатка системы — набора параметров, являющихся уникальными для конкретного устройства. При несовпадении банк может запросить дополнительное подтверждение по операции, связавшись, например, с клиентом по телефону, или отказать в ее проведении, если дополнительная идентификация не прошла успешно. Таким же образом может обновляться и база устройств, если клиент устройство сменил.
Также в тексте Указания упоминается о необходимости приостанавливать рассылку уведомлений при получении информации «о замене SIM-карты клиента, прекращении обслуживания или смене номера телефона, указанного в договоре с клиентом».
В погоне за повышением безопасности клиентов банков ЦБ принял меры, которым сами клиенты, возможно, и не будут особенно рады. Теперь к критериям выбора подходящего банка добавится ещё один – адекватность в подходе к обслуживанию «онлайн-банкинга». Кому понравится, находясь в отпуске за границей, потерять свой смартфон и остаться без возможности зайти в интернет-банк с другого устройства.
http://geektimes.ru/post/247532/
Обновление: поступило опровержение материала, подробности по ссылке.
+++++
21.03.2015, в 20:34
Повальная регистрация устройств для онлайн-банкинга отменяется
После публикации статьи о регистрации устройств, с которых клиенты банков пользуются онлайн-банкингом, со мной связался начальник управления безопасности информационных технологий АО «СМП Банк» Головлёв Павел Михайлович. Он читает GeekTimes и его раздосадовало то, как журналисты «Известий» (по материалу которых я писал статью) исказили смысл происходящего.
Головлёв спешит успокоить общественность. По его словам, ЦБ не обязывает банки принудительно регистрировать все устройства клиентов. Наоборот, клиент теперь имеет право потребовать у банка ограничить доступ к его онлайн-банкингу определёнными устройствами. А уже банк обязан на основании заявления клиента думать о том, каким образом он это будет делать.
Головлёв написал, что «ЦБ требует от банков предоставить клиентам возможность управлять собственными рисками и самостоятельно устанавливать лично приемлемые и разумные ограничения на собственные операции. Естественно, что в настоящий момент каждый банк будет предлагать те варианты идентификации устройств, которые возможно технически и целесообразно экономически реализовать на имеющейся платформе.
А дальше встает вопрос о том, что будет предложено на рынке и что выберет потребитель, и будет ли он вообще требовать это от банков».
Заявление об идентификации по ip-адресу касалось только корпоративных клиентов, пользующихся стационарным оборудованием (не мобильными устройствами), которые пожелали привязать свой доступ к онлайн-банкингу к своему постоянному ip-адресу. Это уже выглядит вполне логично и даже разумно.
.......
http://geektimes.ru/post/247638/
Российские банки должны зарегистрировать смартфоны и компьютеры клиентов
Смартфоны*, Информационная безопасность*
Новые требования ЦБ к банкам, направленные на борьбу с мошенничеством, вступили в силу с 16 марта 2015 года. С полным текстом Указания ЦБ № 3361-У могут ознакомиться все желающие, но нас интересует конкретный абзац из пункта 2.8.3:
Оператор по переводу денежных средств на основании заявления клиента, переданного способом, определенным договором оператора по переводу денежных средств с клиентом, определяет параметры операций, которые могут осуществляться клиентом с использованием системы Интернет-банкинга, в том числе устанавливает:
…
перечень устройств, с использованием которых может осуществляться доступ к системе Интернет-банкинга с целью осуществления переводов денежных средств, на основе идентификаторов указанных устройств;
Естественно, в тексте не указано, что это за «идентификатор устройства» и как его можно получить. В результате эта процедура попала в зависимость от адекватности конкретных банков.
Что же может служить идентификатором устройства, с которого вы зашли в интернет-банк? MAC-адрес? IP? IMEI, в случае мобильного устройства? Набор параметров, собранный с компонентов PC?
Специалист СМП-банка Павел Головлёв рассказал «Известиям», что они в качестве идентификатора используют IP-адрес:
— Чтобы зарегистрировать устройство, через которое клиент планирует заходить в интернет-банк, ему необходимо прийти в офис банка и написать соответствующее заявление. Если клиент меняет устройство, то ему необходимо обратиться в банк и обновить информацию об идентификаторе устройства. Если теряет — то алгоритм действий в данном случае должен быть таким же, как и при потере банковской карты: сообщить в банк об утрате устройства и о блокировке операций, которые будут совершаться с данного IP-адреса. Банк, конечно, будет учитывать идентификаторы, так как без этого невозможно реализовать блокировку по этому признаку.
Александр Новиков из Бинбанка сообщил о замене SMS-оповещений push-уведомлениями:
— Эти уведомления присылаются банком клиенту напрямую в отличие от SMS, что повышает безопасность. Все мобильные устройства (телефоны, планшеты), к которым подключены push-уведомления, отображаются в браузерной версии интернет-банка. При утере мобильного устройства клиент может оперативно зайти в интернет-банк через любой компьютер и удалить его из списка. Соответственно, мошенники не смогут им воспользоваться для получения пароля.
Елена Дегтева из ВТБ24:
— Оптимальным способом идентификации устройства клиента при работе через интернет является определение отпечатка системы — набора параметров, являющихся уникальными для конкретного устройства. При несовпадении банк может запросить дополнительное подтверждение по операции, связавшись, например, с клиентом по телефону, или отказать в ее проведении, если дополнительная идентификация не прошла успешно. Таким же образом может обновляться и база устройств, если клиент устройство сменил.
Также в тексте Указания упоминается о необходимости приостанавливать рассылку уведомлений при получении информации «о замене SIM-карты клиента, прекращении обслуживания или смене номера телефона, указанного в договоре с клиентом».
В погоне за повышением безопасности клиентов банков ЦБ принял меры, которым сами клиенты, возможно, и не будут особенно рады. Теперь к критериям выбора подходящего банка добавится ещё один – адекватность в подходе к обслуживанию «онлайн-банкинга». Кому понравится, находясь в отпуске за границей, потерять свой смартфон и остаться без возможности зайти в интернет-банк с другого устройства.
http://geektimes.ru/post/247532/
Обновление: поступило опровержение материала, подробности по ссылке.
+++++
21.03.2015, в 20:34
Повальная регистрация устройств для онлайн-банкинга отменяется
После публикации статьи о регистрации устройств, с которых клиенты банков пользуются онлайн-банкингом, со мной связался начальник управления безопасности информационных технологий АО «СМП Банк» Головлёв Павел Михайлович. Он читает GeekTimes и его раздосадовало то, как журналисты «Известий» (по материалу которых я писал статью) исказили смысл происходящего.
Головлёв спешит успокоить общественность. По его словам, ЦБ не обязывает банки принудительно регистрировать все устройства клиентов. Наоборот, клиент теперь имеет право потребовать у банка ограничить доступ к его онлайн-банкингу определёнными устройствами. А уже банк обязан на основании заявления клиента думать о том, каким образом он это будет делать.
Головлёв написал, что «ЦБ требует от банков предоставить клиентам возможность управлять собственными рисками и самостоятельно устанавливать лично приемлемые и разумные ограничения на собственные операции. Естественно, что в настоящий момент каждый банк будет предлагать те варианты идентификации устройств, которые возможно технически и целесообразно экономически реализовать на имеющейся платформе.
А дальше встает вопрос о том, что будет предложено на рынке и что выберет потребитель, и будет ли он вообще требовать это от банков».
Заявление об идентификации по ip-адресу касалось только корпоративных клиентов, пользующихся стационарным оборудованием (не мобильными устройствами), которые пожелали привязать свой доступ к онлайн-банкингу к своему постоянному ip-адресу. Это уже выглядит вполне логично и даже разумно.
.......
http://geektimes.ru/post/247638/