Максим Коптев
Департамент безопасности Сбербанка
Сбербанк внимательно изучает угрозы безопасности в области дистанционного банковского обслуживания (ДБО) и реализует адекватные механизмы защиты денежных средств и информации клиентов. Некоторые из этих механизмов находятся полностью под контролем банка, другие становятся эффективными при условии, что клиент также осведомлен о потенциальной угрозе и принимает меры безопасности со своей стороны.
Если проводить аналогию с производством автомобилей, то банк снабжает авто ремнем безопасности, а водителю следует пристегнуться, чтобы он сработал. К сожалению, не все клиенты выполняют рекомендуемые Сбербанком меры безопасности, что приводит к инцидентам. Со своей стороны Сбербанк внедряет современные аналитические системы, позволяющие выявлять несанкционированные операции даже при компрометации средств доступа клиента.
В первую очередь угрозой для дистанционного банковского обслуживания является получение злоумышленниками доступа к системам ДБО и совершение ими не санкционированных клиентами операций. Наиболее распространенным видом мошенничества в отношении клиентов банка является мошенничество с использованием методов социальной инженерии, основанных на доверчивости клиентов к сообщениям тревожащего их характера или возможности получить дополнительные доходы или компенсации.
Типичным примером использования методов социальной инженерии является СМС-мошенничество, основанное на рассылке ложных СМС-сообщений о блокировке карты или якобы совершенном переводе средств, после чего клиенты сами выходят на контакт с мошенниками по указанному в сообщении телефону.
Перезвонившему по указанному в СМС телефону держателю карты мошенники представляются сотрудниками службы безопасности банка или контактного центра и в убедительной форме предлагают срочно провести операции по разблокировке карты, отмене перевода и т.п. в зависимости от содержания СМС. Для этого предлагается подойти к ближайшему банкомату и перезвонить на указанный в СМС номер телефона. Далее, слепо следуя получаемым по телефону инструкциям, люди сами переводят средства на электронные кошельки, банковские карты или телефоны мошенников.
Получение держателем карты такого СМС не свидетельствует о "взломе" банковской системы, об утечке баз "карточных" клиентов и номеров их телефонов. Мошенники действуют наугад, и получают такие сообщения в том числе граждане, вообще не имеющие банковских карт. Но, поскольку Сбербанк является крупнейшим эмитентом банковских карт, вероятность получения мошеннического СМС-сообщения именно клиентами Сбербанка весьма высока.
Отдельно необходимо упомянуть о вирусном заражении телефонов. В первую очередь это касается наиболее популярной платформы Android. Заражение телефона вредоносной программой может произойти при переходе по ссылке в сообщении, при открытии фотографии, при серфинге в Интернете. Эти вредоносы без участия клиента могут направлять СМС-команды на перевод, перехватывать СМС с кодом подтверждения и автоматически пересылать их в банк. При этом вирус может скрывать СМС-сообщения от владельца телефона. Для хищения атакующим не надо знать ни номера карт, ни логины, ни пароли, только баланс, который они всегда могут получить, отправив СМС-запрос в банк.
По нашему мнению, защитные меры в ДБО должны предусматривать разумный баланс между степенью защиты и затратами на обеспечение этой защиты, между контролем проведения операции и удобством клиента. Например, для своих клиентов Сбербанк России внедрил инновационное решение, позволяющее пользователям защититься от вирусных угроз и получить полнофункциональный банковский сервис: мобильное приложение для Android со встроенной автоматически обновляемой и бесплатной антивирусной защитой.
Биометрические аутентификация и подтверждение операций в ДБО являются принципиально новым уровнем решения вопроса безопасности дистанционного банковского обслуживания
Меры безопасности для клиентов Сбербанка размещены на нашем сайте, среди них можно выделить основные:
Из ключевых инновационных трендов по защите дистанционного банковского обслуживания можно отдельно выделить вопрос аутентификации пользователей. Одним из направлений решения этого вопроса на принципиально новом уровне является биометрическая аутентификация и подтверждение операций в ДБО. Центральный Банк России совместно с Минкомсвязи в настоящее время запускают пилотный проект по удаленной биометрической аутентификации, который покажет работоспособность этого подхода в финансовом секторе.
Сбербанк также прорабатывает вопрос по использованию различных типов биометрических технологий, все они имеют свои слабые и сильные стороны.
На наш взгляд, основные трудности правового регулирования безопасности дистанционного банковского обслуживания заключаются в следующем:
Опубликовано: Каталог "СКУД. Антитерроризм"-2017
Информация и фото с http://lib.secuteck.ru/articles2/sys_ogr_dost/remni-bezopasnosti-distantsionnogo-bankovskogo-obsluzhivaniya