Новости > Публикации экспертов
19.03.2025 15:14
Дарья Верестникова, STCrypt: В зоне наибольшего риска клиенты банков, которые продолжают использовать устаревшие методы подтверждения операций
Дарья Верестникова, генеральный директор STCrypt (SafeTech Group), автор телеграм-канала «Об ИБ с высоты каблуков», рассказала порталу Cyber Media об актуальной специфике защиты клиентов в банковской отрасли, а также о трендах и мерах, которые могут стать ключевыми для повышения безопасности в ближайшем будущем.
Cyber Media: Сегодня практически все банки сталкиваются со сложностями размещения банковских приложений в мобильных сторах. Как решаются эти задачи, какие риски ИБ это может повлечь и какие подходы наиболее оптимальны с точки зрения удобства пользователя и защиты?
Дарья Верестникова: Сегодня банки сталкиваются с двумя основными сложностями при публикации своих мобильных приложений:
- Удаление санкционных приложений и аккаунтов. Ранее банки пытались обходить ограничения, публикуя приложения от имени других организаций. Однако для этого приходилось маскировать их функциональность — выдавать за «сканеры QR-кодов», «онлайн-магазины» и другие нейтральные сервисы. Проблема в том, что модераторы стали внимательнее проверять такие уловки: если «сканер QR-кодов» неожиданно весит несколько сотен мегабайт, это вызывает подозрения.
- Ограничения на повторную публикацию. Apple тщательно анализирует код приложений. Если в новом продукте обнаружатся совпадения с ранее удаленным банкингом, оно не пройдет модерацию. К тому же правила проверки постоянно меняются. Даже если приложение удалось разместить, оно может исчезнуть из стора, если платформа внезапно введет новые требования.
Таким образом, существуют два пути решения.
Первый вариант — полностью переписать приложение. Это дорого и долго, но помогает пройти модерацию. Однако нет гарантии, что через несколько месяцев правила снова не изменятся.
Второй вариант — использовать специализированные мобильные браузеры. Этот вариант набирает популярность. Суть в том, что пользователь скачивает обычный браузер, но настроенный специально для работы с веб-версией банка. Для ревьюера это просто инструмент для просмотра сайтов, не связанный с финансовыми сервисами.
Преимущества такого подхода:
- Безопасность. Банк контролирует веб-интерфейс и может внедрять механизмы защиты.
- Актуальность. Функциональность обновляется на сервере, а не в самом приложении.
- Удобство. Браузер можно интегрировать со смартфоном, например, NFC, биометрия, контакты, и даже поддерживать электронную подпись.
- Снижение риска удаления. Поскольку это всего лишь браузер, вероятность блокировки значительно ниже.
Таким образом, банки вынуждены искать альтернативные способы доставки своих сервисов пользователям, и браузерный доступ — один из самых эффективных вариантов на сегодняшний день.
Cyber Media: Проблема с банковскими троянами и другим ВПО, которое направлено на перехват СМС-кодов и пуш-уведомлений: насколько остро она стоит, и какие меры принимаются для защиты пользователей?
Дарья Верестникова: Мошеннические схемы в банковской сфере эволюционируют. Сегодня активны не только мошенники-социальные инженеры, но и программные трояны, фишинговые атаки, вредоносное ПО. Их цель — получить доступ к сервису дистанционного банковского обслуживания или учетным записям на «Госуслугах».
В зоне наибольшего риска — клиенты банков, которые продолжают использовать устаревшие методы подтверждения операций. Центробанк рекомендует переходить на более надежные технологии, такие как средства криптографической защиты (СКЗИ) и электронная подпись. Однако SMS-коды и PUSH-коды до сих пор остаются основным способом аутентификации и подтверждения транзакций у многих финансовых организаций.
В октябре 2022 года вступило в силу указание Банка России № 6071-У, которое внесло изменения в нормативные акты 683-П и 757-П. Цель этих поправок — предотвратить несанкционированные операции в дистанционных каналах.
Согласно новым требованиям, для защиты электронных сообщений теперь необходимо использовать:
- Усиленную квалифицированную (УКЭП) или неквалифицированную (УНЭП) электронную подпись.
- Средства криптографической защиты информации (СКЗИ) с имитовставкой и аутентификацией отправителя.
Эти меры полностью исключают возможность использования одноразовых кодов, отправляемых через SMS или PUSH-уведомления.
6 марта было принято Положение 851-П, которое заменило ранее опубликованные нормативные акты и установило дополнительные требования по безопасности при операциях с цифровым рублем.
Дополнительно с 1 марта 2025 года вступил в силу механизм самозапрета на выдачу кредитов. Это позволит гражданам защититься от мошеннических займов, оформив соответствующее заявление через «Госуслуги». При этом снять запрет можно будет в том же сервисе с использованием приложения «Госключ», где аутентификация опирается на логин, пароль и ту же SMS.
Cyber Media: Электронная подпись в контексте банковского сектора: на ваш взгляд, насколько эффективен этот инструмент с точки зрения ИБ и с какими сложностями сталкиваются банки, их клиенты?
Дарья Верестникова: Электронная подпись — эффективный и удобный инструмент, особенно в мобильном формате. Однако ее неправильное внедрение может, наоборот, увеличить риски мошенничества. Основной момент — разделение двух процессов: первичного создания ключей электронной подписи и перегенерации ключей с использованием уже существующих. Если не разделять эти два процесса и упростить первичную генерацию ключей до минимума, чтобы ускорить процесс для клиента, то все опять сведется к стандартному подтверждению операций через SMS. В таком случае произойдет не увеличение уровня защиты, а лишь дискредитация технологии электронной подписи.
Для первичного создания ключей важно предусмотреть дополнительные меры безопасности. Например, установить минимальный «доверенный» срок использования системы дистанционного банковского обслуживания (ДБО) без жалоб на мошенничество:
- клиент должен активно пользоваться мобильным банком не менее 5 дней;
- в течение этого времени у него не должно быть обращений в банк по поводу взлома или подозрительных операций.
Также в этот период необходимо использовать повышенные меры информирования клиентов о совершении операций, производить дополнительную аутентификацию совершаемых операций:
- Уведомлять клиента о создании электронной подписи на устройстве.
- Запрашивать дополнительные кодовые слова при операциях.
- Отслеживать действия клиента антифрод-системами.
Если появляются подозрительные признаки, например, неожиданное добавление нового контрагента или подписание документа в нерабочее время, доступ к ДБО следует временно заблокировать и уведомить клиента согласно требованиям 161-ФЗ.
Перегенерацию ключей ЭП, например, при смене устройства, необходимо проводить с использованием уже существующих на старом мобильном телефоне — подтверждать на нем запрос на создание новых ключей. В этом случае геопозиция нового устройства должна совпадать с предыдущим. Если это не так, операцию стоит рассматривать как гарантированно мошенническую.
Правильное внедрение электронной подписи и дополнительных мер защиты не только повысит безопасность клиентов, но и упростит их взаимодействие с банком. Однако ключевой момент — не упрощать первичные шаги ради удобства. На той стороне всегда может быть мошенник, и задача банка — защищать клиента, а не перекладывать на него ответственность.
Cyber Media: На ваш взгляд, какие тренды и инициативы в части защиты клиентов банков будут определяющими и наиболее эффективными в ближайшем будущем?
Дарья Верестникова: В ближайшие годы главную роль в безопасности сыграют два направления: строгий контроль над электронной подписью и новые меры против мошеннических звонков.
- Электронная подпись по 851-П. Если банки начнут правильно соблюдать требования 851-П и внедрять электронную подпись вместо устаревших SMS-кодов для подтверждения операций, это значительно снизит риски хищения средств. Такой подход исключает перехват данных и делает атаки мошенников гораздо сложнее.
- Запрет на SMS во время звонка. Одна из перспективных инициатив — блокировка отправки SMS-кодов, пока клиент говорит по телефону. Это актуально, например, в случаях, когда коды остаются в процессе первичной генерации ключей. Такая мера поможет защитить пользователей от социальной инженерии, когда злоумышленники убеждают жертву продиктовать код, поступающий в момент разговора.
Эти инструменты могут существенно повысить уровень защиты клиентов, если банки будут внедрять их правильно и комплексно.