Новый вид угроз для финансовых услуг
Жизнь и технологии меняются, мы сами шагнули в очень интересный мир, и я хочу обратить внимание банковское сообщество и брокерские сервисы на одну уязвимость, которая с лёгкой руки появилась в связи с принятием «Закона Яровой».
Операторы, согласно закону, наши с вами разговоры «стенографируют» и хранят. Со временем, у всё большего количества людей будут чесаться руки получить доступ к этим данным (тем более, когда они уже «стёрты», согласно регламенту). Интересна будет не та информация, где вы поздравляли с Днём рождения бабушку, а где разговаривали по телефону с оператором call центра банка или брокерской конторы. Оператор, согласно правильным регламентам служб безопасности, тщательно проверяет личность Клиента, уточняет фамилию, номер паспорта, кодовое слово и т.д. Я не работаю в сфере дата-центров, и знать не знаю, как именно хранятся данные, которые сейчас записываются, как настроены резервные копии, насколько они защищены от несанкционированного доступа. Но риск появления их на рынке вполне очевиден. Учитывая, что на наших просторах различные базы продаются очень активно, сложно себе представить, что каким-то магическим образом именно эти данные на 100% защищены.
По сути, все услуги финансовых организаций, которые настраивались для предоставления их по телефону - банкинг, брокерские услуги, становятся уязвимыми. Если представить, что сохраненная база разговоров уйдет на рынок, то злоумышленники смогут получить информацию по счетам Клиента, сменить пин-код банковских карт или заблокировать их, провести сделку по брокерскому счету и т.д. Возможно, что есть банки, с расширенным перечнем услуг по телефону, когда можно проводить переводы на внешние счета (им «повезло» больше всех).
Угроза появления таких прецедентов достаточно серьёзная, и брокерским сервисам, и банковским службам безопасности, как минимум, нужно пересмотреть схему идентификации пользователя по телефону и добавить в неё дополнительные элементы: смс идентификацию, коды с карточки (по старинке), коды в приложении банка, электронные токены и т.д.
Такие методы по крайней мере позволят минимизировать риски неприятных ситуаций как для Клиентов, так и для самих финансовых организаций.
Добавить смс-верификацию во время разговора усилит безопасность. Хотя выпуск дублей симкарт никто не отменял...
Тут не все так однозначно. И методов дополнительной идентификации я написал несколько, т.к. смс не всегда и не для всех случаев подойдет, потому что пользователь может звонить например со стационарного или служебного телефона.
Да и не только дублей, когда очень надо сотрудники оператора и без дублей тупо содержимое прочитать могут. При крупных финансовых операциях подобные серые услуги окупятся.
Нужны прецеденты - громкие истории со взломами телеги на двухфакторке
По старинке, убираем телефонию как таковую, и общаемся с глазу на глаз.
Это уже слишком сложно для мобильных граждан!
В этом году уже вводится биометрия в банках, сначала в рекомендательной, потом в обязательной форме. Кодовое слово будет не нужно.
Биометрия по телефону?