• Размещать ответы в темах можно без регистрации, сообщения будут опубликованы после модерации

Безопасность ДБО — а как у них?

BillyBones

Старожил
Рег-ция
10.01.2024
Темы
2
Сообщения
33
Реакции
21
Почти каждый день мы слышим истории о том, что мошенники «взломали» интернет-банк и украли деньги со счетов, а то и взяли кредит от имени клиента. Иногда виной тому то, что клиенты сами отдают мошенникам все данные, иногда — недостаточно продуманные протоколы безопасности у банков, но чаще — сочетание этих факторов.
Я много раз слышал и читал, что банковские услуги в России лучше развиты, чем, например, в Европе. Что в РФ более функциональные ИБ и мобильные приложения, очень многие услуги доступны онлайн, банковские услуги вообще дешевы, да еще и всякие кэшбэки дают. Но почти никогда в таких рассказах не упоминалось сравнение защищенности ДБО и безопасности средств клиентов.
Российские банки лидируют в плане безопасности или, наоборот, отстают? Что нужно позаимствовать, а что — не стоит?
Сейчас много россиян открыли счета в банках самых разных стран — расскажите, как это устроено у них, что нравится, а что — нет.
 
Для начала опишу, как устроено ДБО в одном из европейских банков, с которым мне довелось познакомиться.
При открытии счета выдается логин (далее e-id), состоящий из цифр. Он используется для входа в ИБ, мобильное приложение. Возможно, нужен при звонках в поддержку, но тут у меня нет уверенности. Он никак не связан с данными клиента, картой, телефоном и т.д. Он также не связан с id клиента в банке. Его нельзя заменить на собственный. Если он будет скомпрометирован, банк выдаст новый.

Интернет-банк​

Для первого входа в ИБ нужен e-id и код активации. Код активации присылают в смс, когда подключаешь ИБ в отделении банка. Код действителен 60 дней. Если не войти в ИБ за это время, придется запрашивать новый код активации через отделение банка или службу поддержки. При первом входе нужно будет установить пароль. Для последующих входов в ИБ есть две опции:
  • сценарий, который банк считает основным: вводишь e-id на странице входа, банк в ответ показывает Authentication Identifier (число) и присылает пуш в мобильное приложение. При клике на пуш, запускается мобильное приложение, которое проверяет FaceID/TouchID (или запрашивает 5-значный код для входа в приложение). В мобильном приложении отображется экран подтверждения входа, на котором указан Authentication Identifier. Для подтверждения нужно нажать кнопку «Подтвердить». Пароль не нужен, одноразовые коды не нужны.
  • запасной сценарий: вход по e-id + пароль + одноразовый смс-код.
Подтверждение операций в ИБ: при совершении операций в ИБ можно их подтвердить (подписать) сразу, или же сначала заполнить несколько поручений, а потом подписать пачкой. Способа подписания два:
  • основной: направляется пуш в мобильное приложение, в мобильном приложении открывается экран со списком подтверждаемых операций и идентификатором пакета на подпись (можно сравнить с тем, что в ИБ отображается). Для подписания нужно нажать кнопку, коды и пароли не нужны.
  • резервный способ: одноразовый код в смс.

Мобильное приложение

При первом входе (он же привязка устройства) нужен e-id, пароль и одноразовый код из смс. Смс предупреждает об опасности, а пароль написан так, что при взгляде не вычленяется сразу из текста, так что придется прочитать всю смс:
ATTENTION! You are about to grant access to your bank account on a new device. In case you did not initiate this request, please immediately contact us on this number: +1234567890. The password is NOT a login code, DO NOT provide it in web browsers, only use it in myBank mobile application. Your Mobile token activation password is: kcwacsdt. <здесь название банка>
Дальнейший вход в мобильное приложение по 5-значному коду, который придумываешь при первом входе, или по биометрии.
Подтверждение операций в приложении: заполняешь реквизиты по шагам, на последнем шаге поручение доступно для просмотра целиком и есть кнопка «Autorise». При ее нажатии приложение проверяет биометрию, одноразовые коды и пароли не запрашиваются.

Покупки в интернете (3DS)

Подтверждение оплат в интернете похоже на подтверждение обычных операций в ИБ: приходит пуш в МП. При тапе на пуш открывается МП, которое проверяет биометрию и показывает информацию об операции (сумму, магазин). Есть кнопка подтверждения и отказа. При подтверждении МП проверяет только биометрию, одноразовых кодов нет.
Резервный вариант, если приложение недоступно: подтверждение операции комбинацией статического PIN2, который нужно задать заранее в ИБ, и одноразового кода из смс.

Итог

С одной стороны у банка получилась система, в которой в большинстве сценариев не используются пароли и одноразовые коды. Основной вариант подтверждения — мобильное приложение, это примерно то самое беспарольное будущее, о котором нам рассказывают ведущие софтвеерные корпорации. С другой стороны, любые действия закрыты двумя факторами (доступ к смс и знание пароля; наличие смартфона с приложением и знание пароля от него или подтверждение биометрией), причем в качестве факторов не используется то, что может относительно легко стать известно третьим лицам (номер карты, номер телефона, номер счета, email).
Если злоумышленник получит доступ к мобильному приложению, то это большие проблемы. Но получить доступ к приложению опять же не так легко. Например, одновременная потеря карты и телефона не позволит ни войти в ИБ, ни в МБ, ни привязать МБ к новому устройству.

В реализациях росбанков меня раздражает, например, то, что при совершении операции в мобильном приложении банк пришлет одноразовый код в пуше на то же самое устройство и сам его подставит в форму. И будет ссылаться на этот код как на доказательсто того, что действие было выполнено клиентом. Это какая-то профанация. А если не подставит в форму сам, то это лишнее действие, которое нужно сделать клиенту. Но и оно ничего не добавляет в плане безопасности, потому что код отправляется на то же самое устройство.
Как считаете — описанная выше реализация несет больше плюсов или минусов? Безопаснее ли она? Удобнее ли?
 
@BillyBones, познавательно. Такой принцип (в-общем) и в других странах? И еще. Интересна процедура смены телефона (установка МП на другое устройство).
И вот, там все-же также используются небезопасные СМС (с) слоупок.
 
То есть использование МП практически обязательно.
Но тут скорее вопрос в том, если забыл пароль, как его восстановить без МП? Все так же придёт смс с кодом?
 
@BillyBones, познавательно. Такой принцип (в-общем) и в других странах? И еще. Интересна процедура смены телефона (установка МП на другое устройство).
И вот, там все-же также используются небезопасные СМС (с) слоупок.
При переустановке МП процедура такая же как при первом входе туда: нужен e-id, пароль от ИБ и одноразовый 8-буквенный код из смс.
Но тут скорее вопрос в том, если забыл пароль, как его восстановить без МП? Все так же придёт смс с кодом?
Для восстановления забытого пароля нужно получить новый код активации ИБ. Он отправляетя в смс, но запрашивать его надо в отделении банка или по звонку в службу поддержки.
То есть использование МП практически обязательно.
Да, банк смотрит на мобильное приложение как на основной сценарий. Но при большом желании можно обойтись без приложения, хоть будет это менее удобно.
И вот, там все-же также используются небезопасные СМС (с) слоупок.
Ха-ха)) Так и есть, но отличие в том, что во всех сценариях, где используются коды из смс, недостаточно получить только их. Всегда нужно знать еще какой-то другой "секрет", поэтому перехват злоумышленниками только лишь смс с кодом не приведет к потере денег
 
Он отправляетя в смс, но запрашивать его надо в отделении банка или по звонку в службу поддержки.
А звонок опять таки привязан к номеру телефона?
Или есть ещё какая-то индификация?
Всегда нужно знать еще какой-то другой "секрет"
Как я понимаю, у них дают логин, вы придумываете пароль и дополнительно ввод смс кода!
У наших примерно тоже самое, есть логин и пароль и при желании смс код. Вопрос только в сбросе логина и пароля...
 
А звонок опять таки привязан к номеру телефона?
Или есть ещё какая-то индификация?
Не знаю, мне не доводилось пользоваться этим. Надеюсь, что есть.
У наших примерно тоже самое, есть логин и пароль и при желании смс код. Вопрос только в сбросе логина и пароля...
У наших часто логин или проверочная инфа для сброса является не секретными (номер телефона или нормер карты).
 
У наших часто логин или проверочная инфа для сброса является не секретными (номер телефона или нормер карты).
Согласен... У большинства действительно и номер телефона и номер карты/счета, но помню, когда выдавали карты в смп с кодами, то такой подход считали архаичным... Все сводиться к номеру телефона...
 
Воскрешу древнюю тему, хочется поделиться тем, как всё реализовано у Home Credit Казахстан. Кмк, это один из редких сейчас примеров перекоса в сторону избыточности безопасности (а не её недостаточности). При этом все технологии обычные, никакой собственной магии не придумано. Просто расставлено много эшелонов защиты.

Регистрация в новом МП банка происходит так:
- Ввод номера телефона
- Получение смс-кода
- Ввод ИИН (идентификатора гражданина)
- Фотографирование лица (образец биометрии собирается при открытии счёта)
- Фотографирование машиночитаемого документа (паспорт, ID)
- Ожидание 3-4 минуты реального времени (Такая задержка как будто намекает на присутствие живых аутсорсеров, которые аппрувят фотографии как реальные, а не сгенерированные. В ночное время она побольше.)

Дальнейший вход в приложение по короткому коду или внутрителефонной биометрии (touch id / face id).

Внутри приложения платежи и внешние переводы подтверждаются смс-кодом. 3DSecure также реализован через смс.

Что меня удивило: если во время телефонного разговора попытаться зайти в приложение, то оно будет временно заблокировано на вход (не будет никакого сообщения об ошибке, но быстрый вход просто не будет срабатывать, уходя в вечный цикл). Ни в каких других ситуациях у меня такое поведение воспроизвести не получилось, только во время звонков (причём не только через сотовую сеть, но и через мессенджер). До сих пор не уверен, бага это или фича. Никаких разрешений в системе банковскому приложению не выдано, но полагаю, что достаточно косвенных признаков, по которым определяется текущий разговор.

В МП запрещено системой делать скриншоты. Это конечно неудобно само по себе, но, я подозреваю, целились в программы удалённого доступа, которым система таким образом тоже запретит просматривать содержимое экрана с открытым приложением.

Можно посмотреть реквизиты карты: номер и срок действия свободно, а CVV-код - после ввода смс. При этом в МП есть функциональность card2card переводов, и при выборе своей собственной карты как источника - требует повторно ввести все цифры своей же карты, кроме первых 6 и последних 4. Судя по всему, банк не доверяет своему собственному card2card шлюзу и не передаёт в него полные реквизиты карты.

В МП совершенно внезапно обнаружил пункт настроек "Удалить аккаунт". Не пробовал, боюсь что заставят идти в отделение за повторной регистрацией. Если оно так и работает, это прекрасно для сценария временного завершения взаимодействия с банком или когда аккаунт уже стал скомпрометирован.

ИБ у банка нет вообще. Подозреваю, и ради экономии, и потому что реализовать схему с биометрией и жёсткой привязкой к девайсу через ИБ сложнее.
 

Кто сейчас смотрит эту тему

Назад
Верх