Вклады
Карты
Кредиты
Инвестиции
Недвижимость
Страховки
Когда российские банки перешли на использование одноразовых смс-паролей для управления интернет-банком, клиенты разделились на две группы: одни вздохнули с облегчением, выбросив карточки со старыми «ключами», другие всерьёз обеспокоились ненадёжностью новой системы. Портал Сравни.ру выяснил, как сделать доступ в онлайн-банкинг безопасным и не подарить злоумышленникам свои деньги.
Когда российские банки перешли на использование одноразовых смс-паролей для управления интернет-банком, клиенты разделились на две группы: одни вздохнули с облегчением, выбросив карточки со старыми «ключами», другие всерьёз обеспокоились ненадёжностью новой системы. Портал Сравни.ру выяснил, как сделать доступ в онлайн-банкинг безопасным и не подарить злоумышленникам свои деньги.
Если вам позвонили с неизвестного номера, представились сотрудниками банка и, извиняясь, сообщили, что ваша карта по ошибке заблокирована, а теперь, чтобы её разблокировать, вам нужно продиктовать оператору код из смс-сообщения, можете смело класть трубку и заносить номер в чёрный список. Это мошенники пытаются получить доступ к интернет-банку.
Пожалуй, это самый простой способ, рассчитанный, как говориться, «на дурака», но и он работает. Каждый день находятся доверчивые пенсионеры, легкомысленные студенты и просто невнимательные люди, которые дарят похитителям свои деньги. Что уж говорить о мошенниках классом повыше, которые готовы сложными программами генерировать пароли, делать слепки карт и даже устраиваться в салоны сотовой связи, что добраться до банковских счетов? Их мысль постоянно оказывается на шаг впереди новейших защитных технологий, но банки не сдаются и продолжают возводить стену между злоумышленниками и клиентами.
Карточка с ключами
Ещё пару лет назад клиенты банков вместе с новенькой пластиковой картой получали ещё одну карточку с одноразовыми паролями, которая внешне напоминала лотерейный билет с множеством скрытых номеров. Сегодня найти такой раритет получится максимум в пяти-шести банках, и то, в качестве альтернативного варианта доступа к своему личному кабинету. Владелец такой карточки должен был при совершении каждой операции в онлайн-пространстве стирать защитный слой и использовать новый пароль.
Карточки эти постоянно забывались дома и терялись, а пароли имели отвратительное свойство – заканчиваться в самый не подходящий момент. Чтобы получить новую порцию ключей клиенту приходилось каждый раз лично являться в офис банка.
Каждый раз, преодолевая все эти неудобства, люди возмущались и мечтали о новом удобном и быстром способе получать доступ к своему счёту через интернет. И он появился.
Эра смс-паролей
Идя в ногу со временем, банки решили предлагать свои клиентам подтверждать все операции в интернете через мобильный телефон.
«Сегодня большинству клиентов удобнее получать пароли в виде СМС-сообщений на телефон, который всегда с тобой, а не носить с собой дополнительную карту, на которой нанесено ограниченное количество кодов. Например, в отпуске или в командировке вам может понадобиться совершить операцию в интернет-банке, а пароли на карте у вас закончатся, и новую карту получить будет негде», – говорит директор департамента развития платежей и интернет-продуктов Связного Банка Анастасия Масленникова.
Такая система значительно не требует от клиентов посещения офисов или банкоматов, владелец счёта не ограничен количеством кодов, не нужно вычеркивать использованные пароли, не нужно ничего устанавливать на свой компьютер и можно пользоваться интернет-банком в любом месте, имея под рукой мобильный телефон.
«SMS подтверждения платежей сейчас наиболее популярная дополнительная мера информационной защиты транзакций. Она проста в реализации и не требует как от банка, так и от клиента серьёзных дополнительных усилий», – резюмирует вице-президент по развитию розничного бизнеса С Банка Павел Шубин.
Кроме удобства, по словам руководителя департамента маркетинга и развития розничного бизнеса Совкомбанк Натальи Васильевой, смс-пароли предоставляют клиентам и ещё и более высокий уровень защиты, по сравнению с паролями на карточке. С ней соглашаются и другие представители банковского рынка.
«Смс-пароли – наиболее удобная и безопасная система, при соблюдении важнейших аспектов применения данной технологии, один из таких аспектов индивидуальный SMS код для каждого подтверждения, – говорит главный эксперт управления развития технологий дистанционных сервисов и продаж банка ХоумкКредит Максим Коковкин. – Такой SMS код не подойдёт, если злоумышленник получит доступ к коду и попробует его использовать для подтверждения какой либо другой операции. Срок действия кода и количество неверных вводов, так же важны для обеспечения безопасности подтверждения платежей и переводов в интернет-банке, конечно это лишь часть аспектов, которые должен учитывать банк при реализации безопасной технологии SMS подтверждения».
Действительно, одноразовые пароли, приходящие на телефон, смогут защитить клиента от потери карточки с «ключами» или даже фишинговых сайтов, которые могут копировать данные с компьютеров держателей карт, в этом просто нет смысла, ведь пароли всё равно работают только один раз.
Атака клонов
Но с безопасностью всё не так просто. Для мошенников появление новой системы защиты стало не то чтобы препятствием на пути к заветным счетам своих жертв, а скорее новым полем деятельности, на котором можно оттачивать свои навыки.
О самой простой схеме добывания паролей мы уже рассказывали в самом начале. Но есть и более хитроумные приёмы. Самая серьёзная брешь в системе одноразовых паролей – это перевыпуск сим-карт. Схема, в общем-то, тоже не слишком сложная: мошенник по копии паспорта или любому другому документу получает в салоне связи новую сим-карту, сославшись на то, что старая, например, утеряна.
Крупные операторы уже пообещали разобраться в этом вопросе и ужесточить требования к заказчику новой сим-карты. Но на деле пока это требование сплошь и рядом игнорируется. Когда в январе автору этого материала понадобилось сменить старую симку на новую формата микро, консультант салона связи даже не попросил предъявить паспорт. Нужно было только назвать свой номер.
Наверняка находятся и более сознательные работники, которые всё-таки беспокоятся о безопасности своих клиентов, но ведь и мошенники не лыком шиты. Не исключено, что они просто воспользуются огромной кадровой текучкой в салонах связи и просто отправят в какую-нибудь бойкую точку своего продавца. А ведь теперь абоненты могут ещё и менять оператора, сохраняя свой номер, так причин для выпуска новых сим-карт на старые номера прибавилось.
Железная привязка
Некоторые банки сегодня пытаются защититься от клонов сим-карт, но пока, такие борцы, к сожалению, в меньшинстве. Такой опцией обзавелись, например, Альфа-банк, Промсвязьбанк, Русский стандарт, Ситибанк, Номос-банк и ТКС банк.
Система защиты от дублирующих карт заключается в привязке к счёту не просто номера мобильного телефона, а индентификатора сим-карты. Т.е. если запрос на получение одноразового пароля придёт с другой сим-карты, банк получит сигнал и заблокирует банковскую карту. При этом не важно, находитесь ли вы в роуминге (т.е. обслуживаетесь местным оператором) или нет.
Разблокировать карту в таком случае только звонком в call-центр, назвав оператору свои идентификационных данные или визитом в офис банка.
Блокировка, кстати, случается не только при попытках украсть деньги. Такое случается и с ничего не подозревающими о средствах защиты банка, клиентами, которые сменили сим-карту. Так что если вы меняли карту, обязательно сообщите об этом своему банку, иначе при следующей попытке доступа к личному кабинету, рискуете оказаться заблокированными. Не лишним будет сообщить банку и о предстоящей поездке за границу. В таком случае, если запрос на получение пароля поступит из непривычной точки, у банка не будет причин блокировать карточку.
Свобода выбора
Видимо ориентируясь на клиентов, которые стремятся избавиться от мобильного рабства во всех смыслах этого слова, и периодически отключающих мобильник, например, во время поездок, некоторые банки до сих пор предлагают оба вида доступа к интернет-банку.
«В случаях, когда недоступна сотовая связь и необходимо провести перевод или платёж в интернет-банке (например, за границей) наш клиент может воспользоваться кодом из набора паролей. Карточку с паролями можно получить в любом офисе банка. Стоит отметить, что хищения денежных средств в 99,9% случаев происходят из-за невнимательности клиента. Поэтому, независимо от того, какое устройство генерирует коды для подтверждения, необходимо соблюдать меры предосторожности. Выполнение простых и понятных правил исключает хищения», – говорит директор департамента электронного бизнеса Промсвязьбанка Алгирдас Шакманас.
Генератор будущего
Проблему безопасного доступа к онлайн-банкингу в ближайшем будущем должна решить система нового поколения – генератор паролей в виде мобильного приложения.
«Сейчас банки работают над предложением нового способа верификации – с помощью специального приложения на смартфоне, которое генерирует переменные коды даже в том случае, если он не подключен к сети или плохо ловит сотовый сигнал. В этом году такие решения тоже появятся на нашем рынке», – обещает Анастасия Масленникова.
Приложения эти уже используются несколькими крупными западными банками. За прошлый год на свои смартфоны их скачало несколько миллионов пользователей. Пока по обеспечиваемому уровню безопасности они показывают хорошие результаты. Будем надеяться, что наши банки освоят их раньше, чем кибер-мошенники.
Авто
Льготы
Право
Бизнес
Спорт
Образование