RSS

Средства защиты

10:02 19.03.2015

с 16 марта 2015 года вступили в силу новые требования ЦБ к банкам по борьбе с мошенничеством в удаленных расчетах.

Для контроля операций, с не прошедших регистрацию, устройств, банки должны регистрировать все устройства, с которых их клиенты собираются заходить в интернет-банк и мобильный банк. Банкам нужно блокировать отсылку одноразовых паролей при смене клиентом номера или SIM-карты (Указ ЦБ № 3361-У, меняет положение регулятора 382-П).

После заявления клиента, банк определяет параметры операций, осуществляемые через интернет и мобильный, в том числе и перечень устройств, используемых для доступа к системам дистанционного банковского обслуживания для перевода денег, после идентификации этих средств связи.

Иначе говоря, существует МАС адрес , уникальный идентификатор модема конкретного устройства, с которого осуществляется доступ в Сеть. Можно взять и привычный IP адрес клиента, но например, с расчетом из офиса не сработает, так как, в корпоративной сети один и тот же IP. IP адрес для идентификации клиента не подходит еще и по причине отсутствия у пользователей постоянных IP адресов. С MAС адресами и числовыми конфигурациями оборудования так же не все просто, на практике их можно менять, сделав одинаковыми для нескольких пользователей, чем могут воспользоваться злоумышленники.

Выводы. IP адрес подходит для применения с работой с юридическими лицами, в таком случае выделенный публичный IP адрес позволит выйти с любого компьютера в интернет банк. Надежнее использовать MAC адрес конкретного компьютера, но банкам нужно будет обновить системы интернет банкинга для автоматического получения его с компьютера клиента. Нужно разобраться с номерами IMEI, которые должны быть уникальными у каждого мобильного устройства, но иногда совпадают, так как при разработке обновлений производители добивались получения идентичного IMEI на всех устройствах, установивших обновления. Для сотовых телефонов существуют идентификатор IMSI, жестко привязанный к SIM-карте и защищенный специальными протоколами регистрации SIM-карты с конкретным IMSI в Сети, но нужно защитить, в таком случае от использования IMSI catcher, так называемой, поддельной базовой станции. Пока для банков разовые пароли для подтверждения операций, которые приходят на мобильные устройства, являются основной защитой операций, так как уведомления присылаются банком клиенту напрямую в отличие от SMS, что повышает безопасность. Все мобильные устройства с подключенными push уведомлениями, отображаются в браузере интернет-банка. При утере мобильного устройства клиент может оперативно зайти в интернет-банк через любой компьютер и удалить его из списка. Соответственно, мошенники не смогут им воспользоваться для получения пароля.

В ЦБ прокомментировали, что в качестве идентификатора устройства банк использует IP-адрес мобильного устройства. Если клиент меняет устройство, то ему необходимо обратиться в банк и обновить информацию об идентификаторе устройства. Если теряет — то алгоритм действий в данном случае должен быть таким же, как и при потере банковской карты: сообщить в банк об утрате устройства и о блокировке операций, которые будут совершаться с данного IP-адреса. Банк, конечно, будет учитывать идентификаторы, так как без этого невозможно реализовать блокировку по этому признаку. Кроме этого, ЦБ предписал приостанавливать отправку клиенту служебных сообщений, если банк узнал о замене SIM-карты клиента, прекращении обслуживания или смене номера телефона, указанного в договоре с клиентом. Пока такой механизм сообщения есть только у «МегаФона». Нужен закон, обязывающий операторов сотрудничать с банками. В таком случае, вопрос например, с отъездом за границу, с покупкой там местных SIM карт, в этом случае банк будет ограничивать ваши возможности по интернет банкингу, а для клиента такая ситуация не допустима. Может снизится доступность банковских сервисов и услуг, а у банков пока усложнится взаимодействие с клиентами.

izvestia.ru 

Если вы нашли ошибку: выделите текст и нажмите Ctrl+Enter

Сообщение об ошибке

Неверно заполненное поле
Неверно заполненное поле
Неверно заполненное поле
Неверно заполненное поле
Неверно заполненное поле
Неверно заполненное поле
Неверно заполненное поле
Неверно заполненное поле
*
CAPTCHA Обновить код
Play CAPTCHA Audio

Версия для печати