Эволюция безопасности digital-каналов, или почему опасны SMS и Push-уведомления

Безопасность систем дистанционного банковского обслуживания остается серьезной проблемой для российского рынка. Согласно данным ФинЦЕРТ, количество попыток банковского мошенничества растет из года в год. При этом в банкинге продолжают использовать системы подтверждения, которые небезопасны изначально. Свое решение для отрасли – комплекс аутентификации и подтверждения электронных транзакций PayContol- предложила компания SafeTech, резидент Фонда «Сколково» и победитель международного конкурса инновационных проектов Skolkovo Cybersecurity Challenge.

Эволюция безопасности обслуживания ДБО

Технологии дистанционного банковского обслуживания с самого начала развивались быстрее, и именно для них появились такие способы защиты, как электронная подпись и USB-токены. Но c усложнением защиты начали усложняться и механизмы их обхода. В ответ на автозалив и фродовые атаки стали использовать одноразовые пароли OneTimePassword (OTP) как дополнительный фактор. Для физических лиц раздача ключей электронной подписи оказалась в принципе невозможной, поэтому здесь обратились к скретч-картам. А потом — исходя из соображений удобств клиента — перевели на OTP в SMS и PUSH.

Использование банками SMS и PUSH-уведомлений, которое началось в погоне за улучшением Userexperience и увеличением числа клиентов, вызывает множество вопросов. Одни эксперты замечают, что передача в SMS и PUSH одноразовых паролей и подтверждение ими операций физлиц, были для своего времени, конечно, шагом вперед к удобству и безопасности. Другие возражают, что SMS и PUSH сейчас уже неспособны защитить от наиболее распространенных атак: социальной инженерии и подмены реквизитов платежа, перехвата SMS и злонамеренного ПО. Да и сами сценарии использования OTP уже не воспринимаются такими удобными — пользователи хотят подтверждать документы в DIGITAL в одно касание.

Сейчас на смену SMS и PUSH-уведомлениям приходят технологии мобильной аутентификации и электронной подписи, которые интегрируются с различными системами обеспечения безопасности, в частности с биометрическими системами аутентификации и антифрод-системами.

Электронная подпись

Электронная подпись (ЭП) в последние годы стала предметом интересов и регулярных обсуждений экспертного сообщества и рядовых пользователей. Согласно федеральному закону от 6 апреля 2011 года №63-ФЗ «Об электронной подписи», электронная подпись обладает полной юридической силой, являясь полноценной заменой рукописной подписи.

В самом общем смысле электронная подпись — это результат криптографического преобразования электронного документа. Криптографические алгоритмы и протоколы, а также основанные на них программные и программно-аппаратные решения (специалисты называют их «средства электронной подписи») обеспечивают требуемые свойства «подписываемой» информации: целостность, достоверность, аутентичность. Поставщик услуг в цифровых каналах обслуживания, получив от пользователя документ, подписанный ЭП, проверяет ее корректность, убеждается, что получено действительно волеизъявление конкретного клиента и начинает оказание запрошенного сервиса.

Любое действие клиента в удаленных каналах, даже отправка в банк платежа сопровождается электронной подписью. Видами электронных подписей являются:

• простая электронная подпись;
• усиленная неквалифицированная электронная подпись (иногда ее называют НЭП – неквалифицированная электронная подпись);
• усиленная квалифицированная электронная подпись (часто называют КЭП – квалифицированная электронная подпись).

Для подтверждения волеизъявления при взаимодействии с государственными учреждениями используется квалифицированная электронная подпись. Частным клиентам она дает возможность обращаться в госструктуры, учебные и медицинские учреждения, коммерческие и финансовые институты. Юридическим лицам ЭП дает возможность участвовать в электронных торгах, создавать юридически значимый электронный документооборот, сдавать всю необходимую отчетность в контролирующие органы власти в электронном виде. В то же время для основной массы случаев электронного взаимодействия достаточно использования НЭП или УНЭП. Другое дело, что решение для формирования электронной подписи должно быть также безопасно реализовано.

Если подпись обеспечивает контроль целостности и авторства, формируется в результате криптографических преобразований, то это – единственный верный, надежный и экономически целесообразный путь.

Правовые решения

В 2019 году Банк России обнародовал положение № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента». Положение содержит два важных пункта с точки зрения технологии подписи и подтверждения транзакции в DIGITAL-каналах.

Во-первых, необходимо реализовывать контроль целостности и авторства документа. Для выполнения этого пункта с помощью SMS и Push необходимо подтверждать, что до конечного клиента дошла смс-ка, обязательно собирать хэш с транзакций, и уже на основании этого делать код подтверждения. А привязанный к реквизитам код подтверждения с контролем целостности становится гораздо длиннее привычных четырех цифр. С push тоже можно сделать контроль авторства, но это проблематично. Во-вторых, клиент должен подтверждать совершение каждой банковской операции, а в случае массового платежа – передавать все реквизиты.Каждый раз на конечном устройстве он подтверждает свое желание совершить конкретный платеж с конкретными реквизитами, конкретным способом с контролем авторства и целостности.

В Европе с вступлением в действие в сентябре 2019 года Платежной директивы Евросоюза PSD2 (Revised Payment Service Directive), финансовый сектор начал обновление решений для аутентификации и подтверждения транзакций. Так, еще в июне 2018 года Европейский платежный союз заключил, что SMS не являются подходящим методом доставки OTP должны быть заменены на более безопасные методы.

Социальная инженерия

Из-за высокого уровня фродовых атак и социальной инженерии, регулятор ужесточает меры безопасности. По статистике ФинЦЕРТ, 97% хищений составляют хищения при помощи социальной инженерии. Можно привести в пример уже набивший всем оскомину звонок из якобы службы безопасности банка, когда нужно продиктовать смс, чтобы предотвратить списание средств. Напуганный клиент пытается переложить с себя ответственность за сохранность денег и диктует требуемое. Это порочная практика, но, к сожалению, люди привыкли так делать.

Надо сказать, что кибермошенники очень быстро адаптируются к изменениям во внешней среде. Стоило только президенту выступить с обращением по коронавирусу и заявить об отсрочках по кредитам, как регулятор уже доложил о связанных с ними случаях мошенничества. Суть социальной инженерии в том, чтобы получить информацию, используя человеческие слабости. И для того, чтобы выяснить номер карты, нужны только поставленный голос и актерские способности, злоумышленникам даже не потребуется cvv.

Но существуют даже способы еще проще. Есть простейшие программы, которые работают на телефоне в фоновом режиме и не определяется никакими детекторами. Человек заходит в любой интернет-магазин, перевод P2P и пр., пытается совершить платеж, а все коды из SMSи PUSH отправляются прямиком на сервер злоумышленника. Пока вы спите – ваши деньги уходят.

Одним из известных исследований «возможности отправки одноразовых кодов в системах мобильного и интернет-банка, а также для информирования о транзакциях» в России стал анализ Центра судебных экспертиз компании RTM Group. Не вдаваясь в подробности (отчет доступен в интернете), можно сделать вывод, что SMS можно использовать с целым рядом оговорок, а вот PUSH-уведомления — нельзя. А учитывая негативную судебную практику в отношении SMS, возросшую стоимость услуг операторов связи, и, самое главное, волну мошенничества с использованием методов социальной инженерии, необходимо отказаться от SMS и PUSH.

PayControl

В 2016 году компания SafeTech приняла участие в конкурсе Skolkovo Cybersecurity Сhallenge и получила грант в размере 5 млн рублей на технологическое развитие. Финансирование позволило начать разработку, о которой говорили давно, но на которуюне хватало ресурсов. Это платформа мобильной аутентификации и электронной подписи PayControl.

PayControl – решение для электронной подписи в смартфоне, которое позволяет клиентам с высоким уровнем безопасности и удобства подтверждать свои операции, создаваемые в любых цифровых каналах (интернет-банкинг, мобильный банкинг, операции CNP, рrivate-bank и др.). Может работать как в виде отдельного приложения для смартфона, так и встраиваться непосредственно в приложение мобильного банкинга.

Также существует АРМ разбора конфликтной ситуации, чтобы в суде можно было доказать, верна или не верна подпись. А это достаточно сложно сделать с симметричными OTP, которые передаются в СМС или Push.В случае решения от PayControl мобильная электронная подпись — это ассиметричная криптография, где ключ электронной подписи«зарождается», «хранится» и«умирает» в телефоне, привязан к отпечатку устройства, поэтому он не может быть клонирован и перенесен на какое-либо другое устройство. Смартфон клиента — это полноценный USB-токен на мобильном устройстве. Электронной подписью подписывается то, что отображается на экране. Следовательно, соблюдается пункт о контроле авторства и целостности, согласно постановлению 683-П.

PayControl полностью блокирует распространенные атаки на клиентов систем ДБО, таких как перевыпуск SIM-карты, фишинг, подмена документа и др.

Пользовательимеет возможность убедиться в корректности данных операции или электронного документа и сформировать подпись независимо от используемого устройства. Никаких дополнительных скретч-карт или криптокалькуляторов. Никакой зависимости от наличия сотовой связи и скорости доставки SMS. Использование PayControl не сложнее, чем звонок с мобильного телефона. Пользователи решения PayControl (не только физические лица, но и организации) отмечают удобство в использовании, сокращение клиентского пути, снижение уровня фродо.

Результаты внедрения решений компании SafeTech позволяют финансовым и страховым институтам реализовать новые цифровые сервисы: зарегистрировать новый бизнес в режиме онлайн, открыть счет удаленно без посещения офиса банка, а в дальнейшем — подписывать платежи и документы в любом месте и в любое время.

Ключевые цифры и факты:

• Победитель Skolkovo Cybersecurity Challenge*;
• 9 лет на рынке;
• Заказчиками SafeTech являются более 60 банков;
• Проекты SafeTech реализованы в 5 из ТОП-5 и 8 из ТОП-10 российских банков;
• Решения SafeTech используют более 300 000 юридических лиц;
• Технологии SafeTech помогают обслуживать 2 000 000 частных клиентов;
• По результатам 2019 года компания была отмечена наградой «Самая инновационная компания в финансовой сфере».

Skolkovo Cybersecurity Challenge – международный конкурс инновационных проектов, направленных на защиту мира от киберугроз. Конкурс анонсируется на конференции CyberDay. Представители партнеров и учредителей конкурса выступают с докладами, раскрывающими ключевые задачи, которые стоят перед участниками.

В этом году Skolkovo Cybersecurity Challenge вошел в состав международной конференции Startup Village, которая трансформировалась в Startup Village Livestream’20 и станет одной из первых виртуальных конференций в России и главным бесплатным технологическим мероприятием года.

Startup Village пройдет в восьмой раз в юбилейный для Фонда «Сколково» год.

Источник: https://vc.ru/finance/123945-evolyuciya-bezopasnosti-digital-kanalov-ili-pochemu-opasny-sms-i-push-uvedomleniya

Опубликовано 29 Апреля 2020