НовостиОбзорыСобытияIT@Work
Безопасность:

Блог

Как повысить безопасность банковских интернет-операций

В конце прошлой недели из публикаций в СМИ стало известно, что согласно новым требованиям Центробанка, вступившим в силу 16 марта, банки должны ввести регистрацию устройств, с которых клиенты выполняют операции в Интернет- и в мобильном банкинге. Разумеется, в целью повышения защиты счетов от мошеннических операций.
Правда, из публикаций все же многое не очень понятно – о каком именно взаимодействии идет речь и является ли данное положение обязательными требованием или же только рекомендацией.

Во-первых, не понятно – о каком регистрации идет речь. IP-адрес чаще всего используется "плавающий", он зависит от сетевого провайдера. MAC-адрес является постоянным, но во многих устройствах его можно менять программным образом (т.е. злоумышленник легко сможет установить у себя любой нужный адрес).

Если привязка устройства еще как-то естественна для мобильного банкинга, то идее Интернет-банкинга она в принципе противоречит, поскольку клиенту важно иметь возможность выполнять операции с любой точки входа в Сеть.

Но при этом нужно обратить внимание, что тут имеются в виду операции, выполняемые через личный кабинет клиента. И тут уже давно есть достаточно надежные средства защиты с помощью двухфакторной аутентификации (кроме логина и пароля – еще одноразовые пароли через мобильные телефон или уникальные список одноразовых паролей). Более того, многие банки тут еще выполняют дополнительные меры защиты в виде присылки уведомлений (на телефон и на е-почту) обо всех операциях в личном кабинете.

И это при том, что основной объем мошеннических операций выполняется не через личные кабинеты клиентов, через банковские карты. И тут ситуация выглядит как-то не очень понятно.

Дело в том, то операции в данном случае идут, как я понимаю, не напрямую через банки, а через те или иные сервисы по работе с картами. И при этом видно, что какие-то сервисы используют двухфакторную аутентификацию, а какие-то – нет.  То есть получает, что любой человек, обладающий хорошей памятью, вглянув на мою карту (а тем более отсканировав ее), может спокойно делать Интернет-покупки с ее помощью. Например, мы иногда даем карты официанту, чтобы он совершил оплату. Не говоря уже о том, что мы ее даем часто продавцу-кассиру.

Это как-то в принципе не понятно. Почему PIN является секретным (т.е. выдается отдельно в запечатанном конвертике), а код CVS – написан в явном виде?

И почему нельзя сделать двухфакторную аутентификацию обязательной для любых Интернет-операций?
Голубев Сергей
Я верю в гармонию бытия — судьба не даст человеку денег больше, чем он может уберечь :).
По-моему, у пользователя должно быть право выбора — двухфакторная аутентификация, привязка к устройству, явный CVS, CVS в конверте… А он уже выберет то, что ему больше подходит. Скажем, у меня мобильный банк на простом пароле — мне дороже запоминать все эти коды, чем потерять 500 руб., больше которых у меня на «мобильной» карте попросту нет.  
Колесов Андрей
Да, отдавать кому-то карту - это давно прошедшие времена.
А если на месте кассира сидит хороший профессионал, то снять копию карты не стоит большого труда. Можно даже не иметь отличную зрительную память - можно использовать портативную видеорегистратор.
Колесов Андрей
Значит, с мошенничеством еще не сталкивал.... Понятно. :)