ЦБ на страже мобильного банкинга

Центробанк опубликовал на своём сайте пресс-релиз с напоминанием о требованиях к обеспечению безопасности, установленных Положением № 382-П. Так, в Положении говорится о необходимости оповещения пользователей услуг мобильного банкинга об операциях, совершаемых по их счетам. А в пресс-релизе Центробанк «рекомендует лицам, осуществляющим переводы денежных средств с использованием устройств мобильной связи, предпринимать следующие меры для минимизации рисков хищения денежных средств:

• установить на устройстве мобильной связи антивирусное программное обеспечение с регулярно обновляемыми базами;
• не переходить по ссылкам, приходящим из недостоверных источников, в том числе на известные сайты;
• своевременно уведомлять кредитную организацию о смене номера телефона мобильной связи, который клиент предоставил кредитной организации для получения услуги «мобильный банкинг», в том числе на который происходит информирование об операциях по счету клиента;
• не скачивать на устройство мобильной связи приложения из непроверенных источников;
• не передавать устройство мобильной связи и платежную карту для использования третьим лицам, в том числе родственникам;
• не сообщать третьим лицам, в том числе сотрудникам кредитной организации, ПИН-код платежной карты и контрольный код, указанный на оборотной стороне платежной карте (СVV/CVC-код), пароли от «Клиент-банка», одноразовые коды подтверждения; при наличии подозрения, что такие данные стали известны третьему лицу, необходимо сообщить об этом кредитной организации по контактным данным, указанным на ее официальном сайте».

Собственно, мошенничество с использованием вредоносных программ для мобильных устройств – не новость. Как напоминает Ильдар Скрижалин, менеджер по развитию бизнеса компании Gemalto, атаки на европейские банки с помощью троянской программы Zeus начались в конце 2010 г.: «Пять лет назад появился первый массовый вирус-троянец Zeus-in-the-Mobile, специализирующийся на перехвате SMS и кражах из систем мобильного банкинга». Дмитрий Титков, директор по развитию бизнеса Check Point Software Technologies, приводит другой пример: «В результате атаки Eurograbber, предпринятой в 2012 г., злоумышленники с помощью модификации троянской программы Zeus украли свыше 36 млн евро. Похитив данные мобильных клиентов и получив код банковской транзакции (TAN), они автоматически переводили с банковских счетов жертв на подставные счета различные денежные суммы».

При этом мошенники, которые пользуются банковскими мобильными троянцами, умеют блокировать SMS-оповещения и использовать методы социальной инженерии для установки вредоносных программ, выведывания у жертв паролей и кодов. Как отмечает Артур Сахаров, технический директор компании по разработке мобильных решений Redmadrobot, «в пресс-релизе ЦБ дано несколько очевидных советов: устанавливайте антивирус, не переходите по подозрительным ссылкам, не вводите нигде пароли. Подобные предупреждения фигурируют в каждом втором банковском приложении и в каждом договоре оферты, но деньги продолжают «улетать». Например, пользователи передают злоумышленникам по телефонам коды из SMS-сообщений, в которых четко указывается «никому не сообщайте этот код». Другими словами, такие рекомендации практически не выполняются и, скорее, имеют подоплеку «мы вас предупреждали, так какие теперь претензии!».

Получается, что клиент банка должен сам заботиться о своих деньгах. «Последние события с клиентами «Сбербанка» позволяют сделать только один вывод: если клиент не будет думать о своей безопасности, банк ему не поможет, – поясняет Александр Долгов из холдинга Like. – Скорее всего, этот случай – не последний. Придумать уникальную всеобъемлющую систему защиты пока не представляется реальным, а потому придётся уповать на сознательность пользователей».

Однако банки и разработчики финансовых сервисов давно придумали самые разные системы защиты. Ильдар Скрижалин рассказывает: «Ведущие мировые банки повысили уровень безопасности своих дистанционных каналов с помощью современных технологий строгой аутентификации – это токен-генераторы одноразовых паролей, ридеры для EMV-карт, программные решения строгой аутентификации для мобильных устройств, USB-ключи, смарт-карты с PKI-сертификатами. В то же время подавляющее большинство клиентов российских банков, в том числе физических лиц, продолжает получать услуги банковской аутентификации через SMS-канал». Понятно, этот канал кажется им наиболее удобным и дешёвым, но такая экономия клиентами времени и средств приводит их к значительным финансовым потерям.

Эксперты рекомендуют банкам заботиться, в первую очередь, об обучении клиентов правильной работе с мобильными приложениями. «Прежде всего, необходимо повышать уровень грамотности мобильных пользователей в области информационной безопасности, – рекомендует Дмитрий Титков. – Это должны делать как поставщики устройств, разработчики приложений и платежных сервисов, так и правоохранительные органы. Для минимальной защиты рекомендуется применять, как минимум, PIN-код на телефоне, а при установке приложения обращать внимание на то, какие разрешения оно запрашивает (например, для доступа к чему-то). Также всегда стоит смотреть, по каким ссылкам совершаются переходы, и не скачивать ПО из непроверенных источников. Некоторые банковские мобильные приложения позволяют переводить средства только доверенным получателям – тем, кому пользователь уже их переводил. Тогда даже если телефон украли, перевести деньги новому получателю не удастся. Это – еще одна из достаточно простых мер защиты.»

Ильдар Скрижалин отмечает: «Рекомендации, опубликованные ЦБ РФ, предназначены, прежде всего, для клиентов банков. Их цель – повысить уровень грамотности и дисциплины в сфере обеспечения цифровой безопасности. А банкам, в дополнение к этому, необходимо обогащать архитектуру ДБО инструментами защиты, адекватными их рискам, которые обеспечивают высокофункциональный и простой в применении мобильный канал. Современные решения позволяют банкам сделать технологический рывок от устаревшего SMS-канала к эффективным программным комплексам для мобильных платформ».

Вот – еще несколько простых рекомендаций, которые дают Анна Антонова, консультант отдела аудита и консалтинга, и Вячеслав Максимов, руководитель направления консалтинга и аудита компании «Андэк». Эти рекомендации помогут клиентам банков избежать мошенничества с платежными картами или хотя бы снизить уровень потерь от него.

• При использовании банковских карт для платежей в Интернете не применяйте карты на сайтах, которым вы не доверяете. Выбирайте крупнейшие магазины – в идеале, использующие технологии Verified by Visa и MasterCard SecureCode.
• Если вам всё же нужно оплатить товар или услугу на сомнительном сайте, используйте для этого отдельную платежную карту с ограниченным лимитом денежных средств.
• Прибегайте к услугам мобильного или Интернет-банкинга, только если банк обеспечивает безопасное подтверждение платежей. И помните, что получать пароли для авторизации платежей на тот же телефон, с которого эти платежи осуществляются, небезопасно.
• Если же ваш банк не может выполнить данные условия, а вам необходимы услуги мобильного банкинга, ограничьте уровень максимальных потерь: храните на карте, «привязанной» к мобильному телефону, только небольшую сумму, которую вам не жалко потерять.
• Используйте банкоматы, расположенные в офисах банков. С сомнением относитесь к банкоматам, размещенным в публично доступных местах, например в торговых центрах. И старайтесь избегать банкоматов, которые расположены на улицах, в безлюдных местах.
• При оплате товаров и услуг в магазинах и ресторанах требуйте проведения транзакций в вашем присутствии.
• Подключите в банке услугу SMS-информирования обо всех списаниях денежных средств со счета, к которому «привязана» ваша карта.
• Если вам станет известно о несанкционированном списании денежных средств с вашего счета, немедленно сообщите об этом банку и правоохранительным органам – лучше в письменном виде.