Новые требования ЦБ к банкам по борьбе с мошенничеством вступили в силу. Теперь банки должны регистрировать все устройства, с которых их клиенты совершают онлайн-операции со своими счетами.
«Банк на основании заявления клиента определяет параметры операций, которые могут осуществляться через интернет- и мобильный банкинг. В том числе банк устанавливает перечень устройств, с использованием которых может осуществляться доступ к системам дистанционного банковского обслуживания (ДБО) с целью переводов денег на основе идентификаторов данных устройств», — цитируют новые требования «Известия».
При этом, в указаниях ЦБ не уточняется, что такое «идентификатор» устройства. «Логично предположить, что речь идет о МАС-адресе. Это уникальный идентификатор модема конкретного устройства, с которого осуществляется доступ в Сеть. Но для целей идентификации банки могут использовать и IP-адреса клиентов. Или еще можно взять сведения о конфигурации устройства и преобразовать это все в некое число, уникальное для каждой железки. Вариантов может быть много», — предполагают в компании Digital Security (один из лидеров в направлении анализа защищенности банковских систем).
Руководитель аналитического центра Zecurion Владимир Ульянов подчеркнул, что IP-адрес для идентификации клиента категорически не подходит: «Менее 50% пользователей имеют статические (постоянные) IP-адреса. У остальных пользователей IP регулярно меняется, и никакого смысла привязываться к нему нет. Что касается использования MAС-адресов и конфигураций оборудования — эта идея кажется более разумной, однако и здесь есть свои изъяны».
«Конфигурация оборудования и даже MAC-адреса, которые на практике можно менять, могут оказаться одинаковыми у нескольких пользователей. Злоумышленники смогут этим воспользоваться», — пояснил Ульянов.
Павел Крылов, руководитель направления по развитию продукта Group-IB, говорит, что IP-адрес вполне может использоваться банками, если речь идет о юрлицах, поскольку они используют выделенный публичный IP-адрес. Но, по его мнению, надежнее использовать MAC-адрес конкретного компьютера. Однако далеко не все системы интернет-банкинга имеют возможность автоматически получать его с компьютера клиента.
В том, что касается мобильных устройств, руководитель направления по борьбе с мошенничеством центра информационной безопасности «Инфосистемы Джет» Алексей Сизов отметил, что те же номера IMEI, которые должны быть уникальными у каждого мобильного устройства, иногда совпадают. Еще для сотовых телефонов существуют идентификатор IMSI, жестко привязанный к SIM-карте. Однако и это нельзя считать гарантией — прецеденты использования IMSI-catcher (поддельной базовой станции) уже упоминались во многих СМИ.БАНКИ РЕШАЮТ САМИ
В ЦБ затруднились ответить на запрос «Известий» по существу. Есть некая неопределенность, банки пока не затребовали регистрации стационарных компьютеров, а в отношении мобильных устройств исполняют новые требования по своему разумению. Так, начальник управления безопасности информационных технологий СМП-банка Павел Головлев рассказал, что в качестве идентификатора устройства банк использует IP-адрес мобильного устройства.
«Чтобы зарегистрировать устройство, через которое клиент планирует заходить в интернет-банк, ему необходимо прийти в офис банка и написать соответствующее заявление. Если клиент меняет устройство, то ему необходимо обратиться в банк и обновить информацию об идентификаторе устройства. Если теряет — то алгоритм действий в данном случае должен быть таким же, как и при потере банковской карты», — говорит Головлев.
Начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева сообщила, что банк решил собирать у клиентов пакеты данных об их устройствах: «Оптимальным способом идентификации устройства клиента при работе через интернет является определение отпечатка системы — набора параметров, являющихся уникальными для конкретного устройства (device fingerprint). При несовпадении device fingerprint банк может запросить дополнительное подтверждение по операции, связавшись, например, с клиентом по телефону, или отказать в ее проведении, если дополнительная идентификация не прошла успешно».
Новые правила сулят всем как бумажные (если вписывать идентификаторы в договор, придется вносить правки в договор), так и технические проблемы вкупе с ростом расходов на ДБО, которые и сейчас составляют миллионы рублей в год. «У банков появляется техническая проблема с регистрацией устройств и отслеживанием их использования. У клиентов появятся проблемы с удобством использования интернет-банка из-за ограничения доступности в некоторых случаях», — считают в Digital Security.
При этом специалисты отмечают, что атаки на клиентов банков — это набор действий, многоходовки. Одна атака может идти через уязвимости в ПО, другая — с использованием социальной инженерии и выуживания логинов-паролей, фишинга. Например, троян, который уведет пароль, сможет также снять копию системных параметров, как банкоматный скиммер с карты.