НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Как повысить безопасность банковских интернет-операций

Андрей Колесов
23.03.2015 08:24:25

В конце прошлой недели из публикаций в СМИ стало известно, что согласно новым требованиям Центробанка, вступившим в силу 16 марта, банки должны ввести регистрацию устройств, с которых клиенты выполняют операции в Интернет- и в мобильном банкинге. Разумеется, в целью повышения защиты счетов от мошеннических операций.
Правда, из публикаций все же многое не очень понятно – о каком именно взаимодействии идет речь и является ли данное положение обязательными требованием или же только рекомендацией.

Во-первых, не понятно – о каком регистрации идет речь. IP-адрес чаще всего используется "плавающий", он зависит от сетевого провайдера. MAC-адрес является постоянным, но во многих устройствах его можно менять программным образом (т.е. злоумышленник легко сможет установить у себя любой нужный адрес).

Если привязка устройства еще как-то естественна для мобильного банкинга, то идее Интернет-банкинга она в принципе противоречит, поскольку клиенту важно иметь возможность выполнять операции с любой точки входа в Сеть.

Но при этом нужно обратить внимание, что тут имеются в виду операции, выполняемые через личный кабинет клиента. И тут уже давно есть достаточно надежные средства защиты с помощью двухфакторной аутентификации (кроме логина и пароля – еще одноразовые пароли через мобильные телефон или уникальные список одноразовых паролей). Более того, многие банки тут еще выполняют дополнительные меры защиты в виде присылки уведомлений (на телефон и на е-почту) обо всех операциях в личном кабинете.

И это при том, что основной объем мошеннических операций выполняется не через личные кабинеты клиентов, через банковские карты. И тут ситуация выглядит как-то не очень понятно.

Дело в том, то операции в данном случае идут, как я понимаю, не напрямую через банки, а через те или иные сервисы по работе с картами. И при этом видно, что какие-то сервисы используют двухфакторную аутентификацию, а какие-то – нет. То есть получает, что любой человек, обладающий хорошей памятью, вглянув на мою карту (а тем более отсканировав ее), может спокойно делать Интернет-покупки с ее помощью. Например, мы иногда даем карты официанту, чтобы он совершил оплату. Не говоря уже о том, что мы ее даем часто продавцу-кассиру.

Это как-то в принципе не понятно. Почему PIN является секретным (т.е. выдается отдельно в запечатанном конвертике), а код CVS – написан в явном виде?

И почему нельзя сделать двухфакторную аутентификацию обязательной для любых Интернет-операций?

Комментариев: 6

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

23.03.2015 12:43:24

А вот тут я радикальный либерал — вообще не надо тут ничего регулировать. Я вижу, что использую — стало быть, меня всё устраивает. Выбирать должен пользователь, а не Центробанк.

23.03.2015 12:50:26

Наверное, ты еще сам не попадался на мошеннических операциях с твоими счетами smile:-)

23.03.2015 13:06:37

Я верю в гармонию бытия — судьба не даст человеку денег больше, чем он может уберечь smile:).
По-моему, у пользователя должно быть право выбора — двухфакторная аутентификация, привязка к устройству, явный CVS, CVS в конверте… А он уже выберет то, что ему больше подходит. Скажем, у меня мобильный банк на простом пароле — мне дороже запоминать все эти коды, чем потерять 500 руб., больше которых у меня на «мобильной» карте попросту нет.

23.03.2015 13:18:53

Значит, с мошенничеством еще не сталкивал.... Понятно. smile:)

23.03.2015 13:02:11

"Например, мы иногда даем карты официанту, чтобы он совершил оплату. Не говоря уже о том, что мы ее даем часто продавцу-кассиру."

Когда я передаю карту в руки кассира - карта хотя бы у меня на виду.

А вот отдавать карту в руки официанту - ...

23.03.2015 13:17:42

Да, отдавать кому-то карту - это давно прошедшие времена.
А если на месте кассира сидит хороший профессионал, то снять копию карты не стоит большого труда. Можно даже не иметь отличную зрительную память - можно использовать портативную видеорегистратор.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии