Дарья Верестникова, STCrypt: В зоне наибольшего риска клиенты банков, которые продолжают использовать устаревшие методы подтверждения операций

Дарья Верестникова, генеральный директор STCrypt (SafeTech Group), автор телеграм-канала «Об ИБ с высоты каблуков», рассказала порталу Cyber Media об актуальной специфике защиты клиентов в банковской отрасли, а также о трендах и мерах, которые могут стать ключевыми для повышения безопасности в ближайшем будущем.

Cyber Media: Сегодня практически все банки сталкиваются со сложностями размещения банковских приложений в мобильных сторах. Как решаются эти задачи, какие риски ИБ это может повлечь и какие подходы наиболее оптимальны с точки зрения удобства пользователя и защиты?

Дарья Верестникова: Сегодня банки сталкиваются с двумя основными сложностями при публикации своих мобильных приложений:

1. Удаление санкционных приложений и аккаунтов. Ранее банки пытались обходить ограничения, публикуя приложения от имени других организаций. Однако для этого приходилось маскировать их функциональность — выдавать за «сканеры QR-кодов», «онлайн-магазины» и другие нейтральные сервисы. Проблема в том, что модераторы стали внимательнее проверять такие уловки: если «сканер QR-кодов» неожиданно весит несколько сотен мегабайт, это вызывает подозрения.
2. Ограничения на повторную публикацию. Apple тщательно анализирует код приложений. Если в новом продукте обнаружатся совпадения с ранее удаленным банкингом, оно не пройдет модерацию. К тому же правила проверки постоянно меняются. Даже если приложение удалось разместить, оно может исчезнуть из стора, если платформа внезапно введет новые требования.

Таким образом, существуют два пути решения.

Первый вариант — полностью переписать приложение. Это дорого и долго, но помогает пройти модерацию. Однако нет гарантии, что через несколько месяцев правила снова не изменятся.

Второй вариант — использовать специализированные мобильные браузеры. Этот вариант набирает популярность. Суть в том, что пользователь скачивает обычный браузер, но настроенный специально для работы с веб-версией банка. Для ревьюера это просто инструмент для просмотра сайтов, не связанный с финансовыми сервисами.

Преимущества такого подхода:

• Безопасность. Банк контролирует веб-интерфейс и может внедрять механизмы защиты.
• Актуальность. Функциональность обновляется на сервере, а не в самом приложении.
• Удобство. Браузер можно интегрировать со смартфоном, например, NFC, биометрия, контакты, и даже поддерживать электронную подпись.
• Снижение риска удаления. Поскольку это всего лишь браузер, вероятность блокировки значительно ниже.

Таким образом, банки вынуждены искать альтернативные способы доставки своих сервисов пользователям, и браузерный доступ — один из самых эффективных вариантов на сегодняшний день.

Cyber Media: Проблема с банковскими троянами и другим ВПО, которое направлено на перехват СМС-кодов и пуш-уведомлений: насколько остро она стоит, и какие меры принимаются для защиты пользователей?

Дарья Верестникова: Мошеннические схемы в банковской сфере эволюционируют. Сегодня активны не только мошенники-социальные инженеры, но и программные трояны, фишинговые атаки, вредоносное ПО. Их цель — получить доступ к сервису дистанционного банковского обслуживания или учетным записям на «Госуслугах».

В зоне наибольшего риска — клиенты банков, которые продолжают использовать устаревшие методы подтверждения операций. Центробанк рекомендует переходить на более надежные технологии, такие как средства криптографической защиты (СКЗИ) и электронная подпись. Однако SMS-коды и PUSH-коды до сих пор остаются основным способом аутентификации и подтверждения транзакций у многих финансовых организаций.

В октябре 2022 года вступило в силу указание Банка России № 6071-У, которое внесло изменения в нормативные акты 683-П и 757-П. Цель этих поправок — предотвратить несанкционированные операции в дистанционных каналах.

Согласно новым требованиям, для защиты электронных сообщений теперь необходимо использовать:

1. Усиленную квалифицированную (УКЭП) или неквалифицированную (УНЭП) электронную подпись.
2. Средства криптографической защиты информации (СКЗИ) с имитовставкой и аутентификацией отправителя.

Эти меры полностью исключают возможность использования одноразовых кодов, отправляемых через SMS или PUSH-уведомления.

6 марта было принято Положение 851-П, которое заменило ранее опубликованные нормативные акты и установило дополнительные требования по безопасности при операциях с цифровым рублем.

Дополнительно с 1 марта 2025 года вступил в силу механизм самозапрета на выдачу кредитов. Это позволит гражданам защититься от мошеннических займов, оформив соответствующее заявление через «Госуслуги». При этом снять запрет можно будет в том же сервисе с использованием приложения «Госключ», где аутентификация опирается на логин, пароль и ту же SMS.

Cyber Media: Электронная подпись в контексте банковского сектора: на ваш взгляд, насколько эффективен этот инструмент с точки зрения ИБ и с какими сложностями сталкиваются банки, их клиенты?

Дарья Верестникова: Электронная подпись — эффективный и удобный инструмент, особенно в мобильном формате. Однако ее неправильное внедрение может, наоборот, увеличить риски мошенничества. Основной момент — разделение двух процессов: первичного создания ключей электронной подписи и перегенерации ключей с использованием уже существующих. Если не разделять эти два процесса и упростить первичную генерацию ключей до минимума, чтобы ускорить процесс для клиента, то все опять сведется к стандартному подтверждению операций через SMS. В таком случае произойдет не увеличение уровня защиты, а лишь дискредитация технологии электронной подписи.

Для первичного создания ключей важно предусмотреть дополнительные меры безопасности. Например, установить минимальный «доверенный» срок использования системы дистанционного банковского обслуживания (ДБО) без жалоб на мошенничество:

• клиент должен активно пользоваться мобильным банком не менее 5 дней;
• в течение этого времени у него не должно быть обращений в банк по поводу взлома или подозрительных операций.

Также в этот период необходимо использовать повышенные меры информирования клиентов о совершении операций, производить дополнительную аутентификацию совершаемых операций:

1. Уведомлять клиента о создании электронной подписи на устройстве.
2. Запрашивать дополнительные кодовые слова при операциях.
3. Отслеживать действия клиента антифрод-системами.

Если появляются подозрительные признаки, например, неожиданное добавление нового контрагента или подписание документа в нерабочее время, доступ к ДБО следует временно заблокировать и уведомить клиента согласно требованиям 161-ФЗ.

Перегенерацию ключей ЭП, например, при смене устройства, необходимо проводить с использованием уже существующих на старом мобильном телефоне — подтверждать на нем запрос на создание новых ключей. В этом случае геопозиция нового устройства должна совпадать с предыдущим. Если это не так, операцию стоит рассматривать как гарантированно мошенническую.

Правильное внедрение электронной подписи и дополнительных мер защиты не только повысит безопасность клиентов, но и упростит их взаимодействие с банком. Однако ключевой момент — не упрощать первичные шаги ради удобства. На той стороне всегда может быть мошенник, и задача банка — защищать клиента, а не перекладывать на него ответственность.

Cyber Media: На ваш взгляд, какие тренды и инициативы в части защиты клиентов банков будут определяющими и наиболее эффективными в ближайшем будущем?

Дарья Верестникова: В ближайшие годы главную роль в безопасности сыграют два направления: строгий контроль над электронной подписью и новые меры против мошеннических звонков.

1. Электронная подпись по 851-П. Если банки начнут правильно соблюдать требования 851-П и внедрять электронную подпись вместо устаревших SMS-кодов для подтверждения операций, это значительно снизит риски хищения средств. Такой подход исключает перехват данных и делает атаки мошенников гораздо сложнее.
2. Запрет на SMS во время звонка. Одна из перспективных инициатив — блокировка отправки SMS-кодов, пока клиент говорит по телефону. Это актуально, например, в случаях, когда коды остаются в процессе первичной генерации ключей. Такая мера поможет защитить пользователей от социальной инженерии, когда злоумышленники убеждают жертву продиктовать код, поступающий в момент разговора.

Эти инструменты могут существенно повысить уровень защиты клиентов, если банки будут внедрять их правильно и комплексно.

Источник: https://securitymedia.org/articles/interview/darya-verestnikova-stcrypt-v-zone-naibolshego-riska-klienty-bankov-kotorye-prodolzhayut-ispolzovat-u.html