•          в соревновании «удобство пользования – безопасность» безусловную победу одержало удобство пользования

•          большинство банков не желает модернизации своих систем безопасности в системах ДБО

•          нежелание поставщиков решений ДБО внедрять новые технологии, обеспечивающие безопасность перевода средств, граничит с упрямством, если не сказать хуже

•          тенденция к расширенному использованию мобильных устройств в системах ДБО не сподвигла поставщиков решений на внедрение новых технологий в области безопасности

Конечно, это общие тенденции, но их наличие на фоне существенного роста мошеннических операций в системах ДБО за последние 2–3 года попросту ошеломляет. Даже регулятор в «Обзоре несанкционированных переводов денежных средств» был вынужден обратить внимание банков на тот факт, что количество несанкционированных операций в системах ДБО растет, особенно при применении мобильных устройств.

При этом надо учитывать, что реальный объем мошеннических операций существенно выше официальных цифр в силу высокой латентности этого вида правонарушений. Заметим, что объем несанкционированных переводов с использованием систем ДБО продолжает расти, несмотря на внедрение в крупных российских банках систем фрод-мониторинга.

В целом можно считать, что на протяжении последнего десятилетия российские банки практиковали бег на месте и практически доказали, что в этом упражнении действительно нет ни первых, ни отстающих. Заметно даже определенное движение вспять: так, некоторые банки, имея в своем распоряжении надежные средства аутентификации, начинают отказываться от них в пользу одноразовых sms-паролей.

Аргументы службы безопасности этих банков крайне просты: удобство пользования правит миром, а бизнес-подразделения согласны взять риски, связанные с похищением sms-паролей, на себя. С этой точки зрения одноразовый sms-пароль – простое и надежное средство подтверждения операций, а все остальные средства требуют дополнительных затрат, неудобны для клиентов и посему не требуются банку, особенно в рознице.

Ситуация, на мой взгляд, парадоксальная: практически все российские банки в период, когда отмечается увеличение количества атак на финансовые учреждения, продолжают использовать заведомо скомпрометированный механизм аутентификации транзакций – sms-пароль.

Механизмов компрометации sms-паролей существует достаточно много, и они уже были неоднократно использованы для похищения денежных средств клиентов.

 

•          Замена sim-карты с использованием поддельных документов

•          Использование уязвимостей в протоколе OSS-7

•          Ложные базовые станции

•          Специализированные троянские программы для смартфонов, перехватывающие sms-пароли

Можно ли пользоваться скомпрометированным механизмом аутентификации? Да, если у банка есть резервный механизм, позволяющий в сжатые сроки отказаться от sms-паролей и дать клиентам другой механизм подтверждения транзакций. А ведь у подавляющего большинства российских банков для розничных клиентов другого механизма нет в принципе. На что рассчитывают эти банки, остается загадкой.

Ведь то обстоятельство, что механизм sms-паролей используется всеми банками, открывает для хакеров широкие перспективы. Очевидно, что, написав один раз троян для смартфона, его можно использовать для атаки на все российские банки, при его (трояна) минимальной кастомизации.

При этом можно предсказать, что первыми под раздачу будут попадать крупные банки – большая клиентская база последних позволяет мошенникам рассчитывать на весомый результат даже при небольших остатках на счетах клиентов.

Некоторые банки, отказавшись от использования sms как канала доставки одноразовых паролей, используют push-сервисы, в полной уверенности, что похитить одноразовый пароль, доставленный через push-канал, невозможно. На чем основана эта уверенность, понять трудно.

На фоне столь безрадостной картины успешные проекты в ряде российских банков дают хотя бы небольшую, но надежду на их движение в правильном направлении.

Банк ВТБ24, несомненно, сделал несколько решительных шагов по совершенствованию системы подтверждения транзакций в интернет-банке.

•          Аутентификационный центр, обеспечивающий поддержку технологии EMV CAP

•          Поддержку кардридеров EMV CAP в интернет-банке для розничных клиентов

•          Поддержку мобильных токенов (Ezio Mobile Protector) в интернет-банке для розничных клиентов

•          Поддержку кардридеров EMV CAP в интернет-банке для корпоративных клиентов

При этом для клиентов оставлена возможность использовать также и привычные sms-пароли, правда, лимиты на проведение операций в этом случае существенно ниже, чем для мобильных токенов и кардридеров EMV CAP.

Особенно интересным представляется проект по внедрению мобильных токенов. Собственно мобильный токен (Ezio Mobile Protector) – это приложение для смартфона, которое обеспечивает генерацию одноразовых паролей, эмулируя работу кардридера стандарта EMV CAP.

 

•          Клиенты банка, уже получившие опыт использования EMV CAP ридеров для подтверждения транзакций в интернет-банке для розничных клиентов, не испытывают трудностей с мобильным токеном

•          Банку не пришлось вносить какие-либо изменения в работу аутентификационного центра

•          Начать пользоваться мобильным токеном клиент может «не вставая с дивана»

•          Клиент может иметь несколько устройств с установленным приложением «мобильный токен» (например, на смартфоне и на планшете)

Банку понадобилось внедрить продукт Gemalto (Enrollment & Provisioning Server- EPS) – это сервер, который обеспечивает защищенную удаленную загрузку криптографического ключа в мобильный токен. Высокий уровень защищенности достигается за счет использования аппаратного криптографического модуля PayShield 9000 компании Thales e-Security.

 

•          Многоуровневая защита основного криптографического ключа, используемого для генерации одноразовых паролей

•          Обнаружение установки «рут/джейлбрейк» на смартфоне клиента

•          Блокировка запуска приложения (или выдача предупреждения об обнаружении наличия «рут/джейлбрейк» – поведение определяется банком при кастомизации приложения)

•          Высокий уровень безопасности приложения за счет отказа от использования стандартной клавиатуры и стандартных криптографических вызовов

•          Возможность использовать элемент безопасности Security Element (SE – часть NFC чипа в некоторых моделях телефонов) для безопасного выполнения криптографических операций

•          Возможность считывания параметров транзакции через QR-код, передаваемый через систему интернет-банк, что позволяет отказаться от ручного ввода параметров транзакции

•          Поддержка в перспективе доверенной среды – Trusted Execution Environment (TEE), что обеспечит приложениям – трастлетам такой же уровень защищенности, как и автономный кардридер стандарта EMV CAP

•          Ezio Mobile SDK прошел внешний аудит и получил сертификат соответствия требованиям национального агентства по безопасности информационных систем Франции

Наличие в банке ВТБ24 системы фрод-мониторинга создает отличные предпосылки для создания адаптивной системы аутентификации транзакций, когда метод подтверждения операций в системе ДБО будет зависит от возникающих рисков, связанных с транзакцией. И потенциально такое решение может обеспечить компромисс в извечной борьбе между удобством пользования, безопасностью и общей стоимостью владения, и клиенты банка получат удобное и в то же время безопасное решение.