Як захистити свій платіж в інтернет-банкінгу - публікація на
При дистанційному банківському обслуговуванні (ДБО) без надійного підтвердження особи клієнта неможливо обійтися. Ми з'ясували, які засоби автентифікації застосовують у банківській галузі та наскільки вони ефективні.
Традиційна автентифікація за допомогою імені користувача (логіна) та пароля хороша для форуму чи інтернет-магазину. Але там, де йдеться про управління банківськими рахунками та платежі, цього зовсім недостатньо. Логін та пароль надто легко компрометуються, наприклад, за допомогою комп'ютерного вірусу.
Другий за популярністю метод - скретч-карти зі списком одноразових паролів. Вони не залежать від жодних зовнішніх факторів, дешеві (клієнту надаються безкоштовно), мають обмежену кількість паролів (у більшості випадків 112). Після використання всіх паролів ви не зможете здійснювати жодних операцій, доки не сходите до банку за іншою карткою. Втім, можна взяти одразу кілька. Основним недоліком цього способу є неможливість прив'язки до операції, що дає шанс вкрасти у вас гроші, підмінивши реквізити за допомогою троянської програми або фішингового сайту.
USB токени також масово використовуються вітчизняними банками. На вигляд цей пристрій не відрізняється від звичайної флешки. Усередині міститься ключ користувача, який сам назовні не видається, з його допомогою підписуються реквізити створюваного документа. При отриманні запиту на підтвердження операції користувач повинен підключити токен до порту USB.
Використання USB-токена для аутентифікації не дає зловмиснику можливості перехопити код під час доставки клієнту, як і у випадку з кодами на скретч-картках. Але небезпека таїться у необхідності фізично підключати токен до комп'ютера. АктивнийКористувач ДБО, виконавши цю процедуру один, два, десять разів, може просто розслабитися, переставши отримувати ключ між операціями. Це дозволить шахраю, який узяв його комп'ютер під управління, виконати будь-яку операцію.
MAC-токени, які поки що не прижилися в Україні, є повністю автономними електронними пристроями, що не підключаються ні до комп'ютера, ні до будь-якої мережі. Унікальні ключі для генерації одноразових паролів записуються на етапі виробництва. Важливою особливістю MAC-токена є прив'язка одноразового пароля, що створюється, до реквізитів документа. Для введення реквізитів (наприклад, суми, номери рахунку, БІК банку одержувача) такі пристрої оснащують цифровою клавіатурою. Вартість MAC-токена починається від 1 тис. рублів, що для роздрібної торгівлі дуже відчутно. Крім того, він відлякує користувача необхідністю ручного введення відносно великого обсягу даних під час виконання кожної операції. Ці причини, мабуть, і не дозволяють таким пристроям набути поширення в нашій країні.
Технологія шахрайства SpyEye змінює інформацію у вікні браузера. Все дуже просто: ви заходите до свого інтернет-банку, бачите поповнення на рахунку солідної суми, і вам виводиться вікно з попередженням, що на ваш рахунок надійшла помилкова трансакція. Поки ви не повернете гроші, троянець не дасть виконати жодної операції. Повернення грошей і буде фродом, тому що насправді саме ваші гроші підуть за вказаними реквізитами. А одноразовий пароль згенеруєте та введете ви самі.
Функціональність MAC-токена за скромніші гроші може забезпечити технологія EMV CAP. Генерацією коду може займатися EMV-чіп, вбудований у пластикову картку клієнта. Для введення інформації та виведення готового коду використовується недорогий кардрідер. Цю технологіювже використовують деякі вітчизняні кредитні організації, наприклад, НОМОС-Банк.
«Для нашого банку EMV CAP — спосіб забезпечити високонадійну автентифікацію клієнта в інтернет-банкінгу, значно надійнішу, ніж при скретч-картах із паролями та СМС-доставці одноразового пароля. Внаслідок цього ліміти операцій при використанні EMV CAP значно вищі: 500 тисяч рублів на день на зовнішні платежі проти 50 тисяч із СМС-паролями. Цей інструмент ми пропонуємо всім клієнтам, вартість рідера EMV CAP становить 500 рублів. Такий пристрій також входить до преміальних наборів послуг», - повідомив порталу Банки.ру Артем Кульвінський, начальник управління розробки та супроводу дистанційних сервісів НОМОС-Банку.
Токени з оптичним введенням інформації поєднують високу захищеність MAC-токенів з відсутністю необхідності вводити дані вручну. Вся інформація вводиться з екрана комп'ютера за допомогою оптичного датчика, вбудованого в ток. Після введення реквізитів операції на дисплеї з'являються запит на код підтвердження і область, що блимає особливим чином (флікер-код) так кодуються дані для токена. Зчитуючи їх, токен виводить на вбудований екран розкодовані реквізити та код у відповідь, обчислений з використанням реквізитів. Користувач перевіряє коректність реквізитів і вводить код у відповідь.
Глава представництва SafeNet в Україні та СНД Сергій Кузнєцов так характеризує переваги оптичних токенів: «Зважаючи на те, що дані про трансакцію можуть бути підмінені під час передачі до банку, їх необхідно ретельно перевіряти. Засіб автентифікації SafeNet eToken 3500 зчитує дані трансакції, які банк отримав із веб-браузера за допомогою оптичного датчика, а потім відображає на своєму екрані. Якщо дані на екрані засобу автентифікаціїзбігаються з введеними, користувач створює унікальний електронний підпис, який є підтвердженням операції. Оскільки засіб аутентифікації eToken 3500 зчитує відомості про трансакцію з екрану, виключаються помилки внаслідок неправильного введення, тому сама процедура підтвердження стає зручнішою».
На мобільний додаток для автентифікації зробив ставку "Альфа-Банк". «Окрім SMS-автентифікації Альфа-Банк пропонує послугу «Альфа-Ключ», яка представляє мобільний додаток для всіх популярних мобільних пристроїв (iPhone, Android, Symbian та ін.). З його допомогою клієнт може генерувати одноразовий пароль в інтернет-банку «Альфа-Клік» без необхідності чекати на СМС-повідомлення, що зручно за кордоном і в зоні поганого сигналу стільникової мережі, одночасно забезпечується підвищена безпека при проведенні операцій. Додатково до цього використання програми збільшує разові та денні ліміти на більшість операцій у два рази. Підключити Альфа-Ключ можна всього за 199 рублів, річне обслуговування обійдеться в 299 рублів. VIP-клієнтам банку послуга надається безкоштовно. Апаратні токени Альфа-Банк зараз не використовує», - розповів Денис Чеверікін, провідний спеціаліст відділу розвитку та інновацій інтернет-банку кредитної організації.
Мабуть, найбільш захищеним засобом автентифікації для ДПЗ є AGSES-карти. Багато в чому вони схожі з оптичними токенами, але додається ще один рівень захисту - від попадання в чужі руки: ці карти оснащені сканером відбитка пальця і відображають код у відповідь тільки після того, як впізнають користувача.
Цей метод аутентифікації поєднує всі можливі переваги: код не передається користувачеві по будь-яким каналам, прив'язаний до реквізитів конкретної операції, а самакартка прив'язана до користувача. На жаль, немилосердна ціна всіх цих переваг поки що зупиняє більшість банків від запровадження цієї системи безпеки.
Директор з продажу компанії «БІФІТ» Станіслав Шилов розповів про підхід своєї компанії до засобів аутентифікації: «Наразі є велика кількість технологічних рішень для підтвердження платежів. У кожного з них є свої особливості, але загальна тенденція така: за підвищення рівня безпеки доводиться платити або в прямому розумінні (використовуючи дорожчі пристрої), або в переносному (жертвуючи зручністю здійснення операцій). Тут немає універсального рішення, що підходить всім. Правильно використовувати зважений підхід до безпеки: низькоризикові операції робити максимально зручними та простими у скоєнні, а операції з високим ризиком, наприклад зовнішні перекази на великі суми, захищати за допомогою найбезпечніших технічних засобів. Саме такий підхід ми використовуємо у нашому рішенні інтернет-банкінгу для обслуговування фізичних осіб».
На жаль, майже все це багатство можливостей в Україні майже не затребуване, особливо в інтернет-банкінгу для фізичних осіб. Більшість фінустанов покладаються на прості та недорогі засоби аутентифікації: СМС-доставку паролів, чеки та скретч-картки з паролями. Але після набуття чинності з початку 2014 року статті 9 федерального закону «Про національну платіжну систему», яка змусить банки компенсувати клієнтам усі втрати, пов'язані з проведенням несанкціонованих операцій, кредитним організаціям доведеться замислитись про впровадження більш надійних засобів аутентифікації клієнта.
Автор: Михайло ДЬЯКОВ
Рахунок для бізнесу
Кредитну картку