Спецпроекты

Телеком Безопасность Мобильная связь Стратегия безопасности Пользователю

Мобильный банкинг в России: удобен, но опасен?

Услуги мобильного банкинга становятся все более популярными и существенно облегчают жизнь как клиентам, так и самим финансовым учреждениям. Тем не менее, на другой чаше весов один, но большой минус: использования телефонов для доступа к банковским услугам существенно понижает уровень безопасности и повышает шансы злоумышленников завладеть данными или деньгами. Причем по большей части это вина отнюдь не банков.

Сергей Березин: Для мобильного банкинга хорошо бы иметь отдельный смартфон

На вопросы CNews ответил Сергей Березин, менеджер по маркетингу BCC Group

CNews: Опасен ли мобильный банкинг? Кажется, больше шансов быть ограбленным на улице.

Сергей Березин: Не соглашусь, что мобильный банкинг более опасен, чем привычный интернет-банкинг. Можно сказать, что мобильный банкинг даже более безопасен, чем интернет-банкинг - просто в силу меньшего числа доступных операций. Так, например, в ряде реализаций интернет-банкинга для частных клиентов есть возможность покупать/продавать ценные бумаги (или паи ПИФов), открывать/закрывать депозиты, в то время как даже для самого "продвинутого" мобильного банкинга эти операции пока не реализованы.


Сергей Березин: В настоящее время наиболее серьезной защитой доступа к банковскому приложению на мобильном устройстве считается идентификация по PIN-калькулятору

Кроме того, мобильный банкинг в некотором смысле может быть более безопасным, чем традиционный банкинг с посещением отделения банка – есть регионы (необязательно в России), где у клиента гораздо больше шансов быть ограбленным на улице по пути к отделению банка, чем при использовании мобильного банкинга.

Действительно, существуют две основные угрозы информационной безопасности (ИБ), ассоциированные с мобильным банкингом. Эти угрозы: фальсификация истинного владельца смартфона (имперсонализация) при помощи вредоносного ПО и угроза физической кражи/утери мобильного устройства с последующим взломом доступа к банковскому приложению на устройстве.

Пути снижения угрозы заражения смартфона вредоносным ПО полностью аналогичны таким же рекомендациям для интернет-банкинга. Т.е. не загружать программы, игры, коллекции фото и видео из сомнительных источников, не давать свой смартфон с установленным банковским приложением "поиграть" другим членам семьи (особенно подросткам), "своей девушке" и т.д., а также не сдавать его в ремонт, на перепрошивку и т.п., предварительно не стерев банковское приложение.

В идеале, для мобильного банкинга хорошо бы иметь отдельный смартфон, на котором нет никаких иных программ, кроме операционной системы и банковского приложения. Аналогия – во многих организациях с серьезным подходом к ИБ есть специально выделенный компьютер только для операций "банк-клиент". Этот ПК или ноутбук находится под неусыпным контролем системного администратора с точки зрения ПО и физически контролируется службой безопасности организации.

Что касается угрозы ИБ, ассоциированной со взломом украденного или утерянного смартфона, то в настоящее время наиболее серьезной защитой доступа к банковскому приложению на мобильном устройстве считается идентификация по PIN-калькулятору. Это намного более защищенный вход, чем по пользовательскому паролю, поскольку пароль некоторые пользователи умудряются записать и сохранить среди файлов смартфона, а 8-разрядный код PIN-калькулятора, имеющий срок жизни всего 30сек, подобрать практически невозможно.

Упоминаемая автором статьи аутентификация с помощью дополнительных SMS гораздо менее устойчива, т.к. в случае кражи/утери мобильного устройства эти SMS с большой вероятностью будут приходить уже не владельцу, а злоумышленнику. Добавлю, что основной целью кражи смартфонов являются все-таки сами мобильные устройства, а отнюдь не доступ к банковскому приложению (которого на конкретном смартфоне может и не быть). В случае кражи/утери мобильного устройства, - совершенно аналогично случаю кражи/утери банковской карты, - необходимо немедленно звонить в банк для блокировки функционала мобильного банкинга.

Короткая ссылка