Российские банки должны зарегистрировать смартфоны и компьютеры клиентов

в 13:48, , рубрики: Банк России, безопасность, идентификатор устройства, информационная безопасность, смартфоны, цб, метки: ,

image

Новые требования ЦБ к банкам, направленные на борьбу с мошенничеством, вступили в силу с 16 марта 2015 года. С полным текстом Указания ЦБ № 3361-У могут ознакомиться все желающие, но нас интересует конкретный абзац из пункта 2.8.3:

Оператор по переводу денежных средств на основании заявления клиента, переданного способом, определенным договором оператора по переводу денежных средств с клиентом, определяет параметры операций, которые могут осуществляться клиентом с использованием системы Интернет-банкинга, в том числе устанавливает:

перечень устройств, с использованием которых может осуществляться доступ к системе Интернет-банкинга с целью осуществления переводов денежных средств, на основе идентификаторов указанных устройств;

Естественно, в тексте не указано, что это за «идентификатор устройства» и как его можно получить. В результате эта процедура попала в зависимость от адекватности конкретных банков.

Что же может служить идентификатором устройства, с которого вы зашли в интернет-банк? MAC-адрес? IP? IMEI, в случае мобильного устройства? Набор параметров, собранный с компонентов PC?

Специалист СМП-банка Павел Головлёв рассказал «Известиям», что они в качестве идентификатора используют IP-адрес:
— Чтобы зарегистрировать устройство, через которое клиент планирует заходить в интернет-банк, ему необходимо прийти в офис банка и написать соответствующее заявление. Если клиент меняет устройство, то ему необходимо обратиться в банк и обновить информацию об идентификаторе устройства. Если теряет — то алгоритм действий в данном случае должен быть таким же, как и при потере банковской карты: сообщить в банк об утрате устройства и о блокировке операций, которые будут совершаться с данного IP-адреса. Банк, конечно, будет учитывать идентификаторы, так как без этого невозможно реализовать блокировку по этому признаку.

Александр Новиков из Бинбанка сообщил о замене SMS-оповещений push-уведомлениями:
— Эти уведомления присылаются банком клиенту напрямую в отличие от SMS, что повышает безопасность. Все мобильные устройства (телефоны, планшеты), к которым подключены push-уведомления, отображаются в браузерной версии интернет-банка. При утере мобильного устройства клиент может оперативно зайти в интернет-банк через любой компьютер и удалить его из списка. Соответственно, мошенники не смогут им воспользоваться для получения пароля.

Елена Дегтева из ВТБ24:
— Оптимальным способом идентификации устройства клиента при работе через интернет является определение отпечатка системы — набора параметров, являющихся уникальными для конкретного устройства. При несовпадении банк может запросить дополнительное подтверждение по операции, связавшись, например, с клиентом по телефону, или отказать в ее проведении, если дополнительная идентификация не прошла успешно. Таким же образом может обновляться и база устройств, если клиент устройство сменил.

Также в тексте Указания упоминается о необходимости приостанавливать рассылку уведомлений при получении информации «о замене SIM-карты клиента, прекращении обслуживания или смене номера телефона, указанного в договоре с клиентом».

В погоне за повышением безопасности клиентов банков ЦБ принял меры, которым сами клиенты, возможно, и не будут особенно рады. Теперь к критериям выбора подходящего банка добавится ещё один – адекватность в подходе к обслуживанию «онлайн-банкинга». Кому понравится, находясь в отпуске за границей, потерять свой смартфон и остаться без возможности зайти в интернет-банк с другого устройства.

Автор: SLY_G

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js