Эволюция безопасности digital-каналов, или почему опасны SMS и Push-уведомления

Безопасность систем дистанционного банковского обслуживания остается серьезной проблемой для российского рынка. Согласно данным ФинЦЕРТ, количество попыток банковского мошенничества растет из года в год. При этом в банкинге продолжают использовать системы подтверждения, которые небезопасны изначально. Свое решение для отрасли - комплекс аутентификации и подтверждения электронных транзакций PayContol- предложила компания SafeTech, резидент Фонда «Сколково» и победитель международного конкурса инновационных проектов Skolkovo Cybersecurity Challenge.

Эволюция безопасности обслуживания ДБО

Технологии дистанционного банковского обслуживания с самого начала развивались быстрее, и именно для них появились такие способы защиты, как электронная подпись и USB-токены. Но c усложнением защиты начали усложняться и механизмы их обхода. В ответ на автозалив и фродовые атаки стали использовать одноразовые пароли OneTimePassword (OTP) как дополнительный фактор. Для физических лиц раздача ключей электронной подписи оказалась в принципе невозможной, поэтому здесь обратились к скретч-картам. А потом — исходя из соображений удобств клиента — перевели на OTP в SMS и PUSH.

Использование банками SMS и PUSH-уведомлений, которое началось в погоне за улучшением Userexperience и увеличением числа клиентов, вызывает множество вопросов. Одни эксперты замечают, что передача в SMS и PUSH одноразовых паролей и подтверждение ими операций физлиц, были для своего времени, конечно, шагом вперед к удобству и безопасности. Другие возражают, что SMS и PUSH сейчас уже неспособны защитить от наиболее распространенных атак: социальной инженерии и подмены реквизитов платежа, перехвата SMS и злонамеренного ПО. Да и сами сценарии использования OTP уже не воспринимаются такими удобными — пользователи хотят подтверждать документы в DIGITAL в одно касание.

Сейчас на смену SMS и PUSH-уведомлениям приходят технологии мобильной аутентификации и электронной подписи, которые интегрируются с различными системами обеспечения безопасности, в частности с биометрическими системами аутентификации и антифрод-системами.

Электронная подпись

Электронная подпись (ЭП) в последние годы стала предметом интересов и регулярных обсуждений экспертного сообщества и рядовых пользователей. Согласно федеральному закону от 6 апреля 2011 года №63-ФЗ «Об электронной подписи», электронная подпись обладает полной юридической силой, являясь полноценной заменой рукописной подписи.

В самом общем смысле электронная подпись — это результат криптографического преобразования электронного документа. Криптографические алгоритмы и протоколы, а также основанные на них программные и программно-аппаратные решения (специалисты называют их «средства электронной подписи») обеспечивают требуемые свойства «подписываемой» информации: целостность, достоверность, аутентичность. Поставщик услуг в цифровых каналах обслуживания, получив от пользователя документ, подписанный ЭП, проверяет ее корректность, убеждается, что получено действительно волеизъявление конкретного клиента и начинает оказание запрошенного сервиса.

Любое действие клиента в удаленных каналах, даже отправка в банк платежа сопровождается электронной подписью. Видами электронных подписей являются:

· простая электронная подпись;

· усиленная неквалифицированная электронная подпись (иногда ее называют НЭП - неквалифицированная электронная подпись);

· усиленная квалифицированная электронная подпись (часто называют КЭП - квалифицированная электронная подпись).

Для подтверждения волеизъявления при взаимодействии с государственными учреждениями используется квалифицированная электронная подпись. Частным клиентам она дает возможность обращаться в госструктуры, учебные и медицинские учреждения, коммерческие и финансовые институты. Юридическим лицам ЭП дает возможность участвовать в электронных торгах, создавать юридически значимый электронный документооборот, сдавать всю необходимую отчетность в контролирующие органы власти в электронном виде.В то же время для основной массы случаев электронного взаимодействия достаточно использования НЭП или УНЭП. Другое дело, что решение для формирования электронной подписи должно быть также безопасно реализовано. Если подпись обеспечивает контроль целостности и авторства, формируется в результате криптографических преобразований, то это – единственный верный, надежный и экономически целесообразный путь.

Правовые решения

В 2019 году Банк России обнародовал положение № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента». Положение содержит два важных пункта с точки зрения технологии подписи и подтверждения транзакции в DIGITAL-каналах.

Во-первых, необходимо реализовывать контроль целостности и авторства документа. Для выполнения этого пункта с помощью SMS и Push необходимо подтверждать, что до конечного клиента дошла смс-ка, обязательно собирать хэш с транзакций, и уже на основании этого делать код подтверждения. А привязанный к реквизитам код подтверждения с контролем целостности становится гораздо длиннее привычных четырех цифр. С push тоже можно сделать контроль авторства, но это проблематично. Во-вторых, клиент должен подтверждать совершение каждой банковской операции, а в случае массового платежа - передавать все реквизиты.Каждый раз на конечном устройстве он подтверждает свое желание совершить конкретный платеж с конкретными реквизитами, конкретным способом с контролем авторства и целостности.

В Европе с вступлением в действие в сентябре 2019 года Платежной директивы Евросоюза PSD2 (Revised Payment Service Directive), финансовый сектор начал обновление решений для аутентификации и подтверждения транзакций. Так, еще в июне 2018 года Европейский платежный союз заключил, что SMS не являются подходящим методом доставки OTP должны быть заменены на более безопасные методы.

Социальная инженерия

Из-за высокого уровня фродовых атак и социальной инженерии, регулятор ужесточает меры безопасности. По статистике ФинЦЕРТ, 97% хищений составляют хищения при помощи социальной инженерии. Можно привести в пример уже набивший всем оскомину звонок из якобы службы безопасности банка, когда нужно продиктовать смс, чтобы предотвратить списание средств. Напуганный клиент пытается переложить с себя ответственность за сохранность денег и диктует требуемое. Это порочная практика, но, к сожалению, люди привыкли так делать.

Надо сказать, что кибермошенники очень быстро адаптируются к изменениям во внешней среде. Стоило только президенту выступить с обращением по коронавирусу и заявить об отсрочках по кредитам, как регулятор уже доложил о связанных с ними случаях мошенничества. Суть социальной инженерии в том, чтобы получить информацию, используя человеческие слабости. И для того, чтобы выяснить номер карты, нужны только поставленный голос и актерские способности, злоумышленникам даже не потребуется cvv.

Но существуют даже способы еще проще. Есть простейшие программы, которые работают на телефоне в фоновом режиме и не определяется никакими детекторами. Человек заходит в любой интернет-магазин, перевод P2P и пр., пытается совершить платеж, а все коды из SMSи PUSH отправляются прямиком на сервер злоумышленника. Пока вы спите – ваши деньги уходят.

Одним из известных исследований «возможности отправки одноразовых кодов в системах мобильного и интернет-банка, а также для информирования о транзакциях» в России стал анализ Центра судебных экспертиз компании RTM Group. Не вдаваясь в подробности (отчет доступен в интернете), можно сделать вывод, что SMS можно использовать с целым рядом оговорок, а вот PUSH-уведомления — нельзя. А учитывая негативную судебную практику в отношении SMS, возросшую стоимость услуг операторов связи, и, самое главное, волну мошенничества с использованием методов социальной инженерии, необходимо отказаться от SMS и PUSH.

PayControl

В 2016 году компания SafeTech приняла участие в конкурсе Skolkovo Cybersecurity Сhallenge и получила грант в размере 5 млн рублей на технологическое развитие. Финансирование позволило начать разработку, о которой говорили давно, но на которуюне хватало ресурсов. Это платформа мобильной аутентификации и электронной подписи PayControl.

PayControl – решение для электронной подписи в смартфоне, которое позволяет клиентам с высоким уровнем безопасности и удобства подтверждать свои операции, создаваемые в любых цифровых каналах (интернет-банкинг, мобильный банкинг, операции CNP, рrivate-bank и др.). Может работать как в виде отдельного приложения для смартфона, так и встраиваться непосредственно в приложение мобильного банкинга.

Также существует АРМ разбора конфликтной ситуации, чтобы в суде можно было доказать, верна или не верна подпись. А это достаточно сложно сделать с симметричными OTP, которые передаются в СМС или Push.В случае решения от PayControl мобильная электронная подпись — это ассиметричная криптография, где ключ электронной подписи«зарождается», «хранится» и«умирает» в телефоне, привязан к отпечатку устройства, поэтому он не может быть клонирован и перенесен на какое-либо другое устройство. Смартфон клиента — это полноценный USB-токен на мобильном устройстве. Электронной подписью подписывается то, что отображается на экране. Следовательно, соблюдается пункт о контроле авторства и целостности, согласно постановлению 683-П.

PayControl полностью блокирует распространенные атаки на клиентов систем ДБО, таких как перевыпуск SIM-карты, фишинг, подмена документа и др.

Пользовательимеет возможность убедиться в корректности данных операции или электронного документа и сформировать подпись независимо от используемого устройства. Никаких дополнительных скретч-карт или криптокалькуляторов. Никакой зависимости от наличия сотовой связи и скорости доставки SMS. Использование PayControl не сложнее, чем звонок с мобильного телефона. Пользователи решения PayControl (не только физические лица, но и организации) отмечают удобство в использовании, сокращение клиентского пути, снижение уровня фродо.

Результаты внедрения решений компании SafeTech позволяют финансовым и страховым институтам реализовать новые цифровые сервисы: зарегистрировать новый бизнес в режиме онлайн, открыть счет удаленно без посещения офиса банка, а в дальнейшем — подписывать платежи и документы в любом месте и в любое время.

Ключевые цифры и факты:

· Победитель Skolkovo Cybersecurity Challenge*;

· 9 лет на рынке;

· Заказчиками SafeTech являются более 60 банков;

· Проекты SafeTech реализованы в 5 из ТОП-5 и 8 из ТОП-10 российских банков;

· Решения SafeTech используют более 300 000 юридических лиц;

· Технологии SafeTech помогают обслуживать 2 000 000 частных клиентов;

· По результатам 2019 года компания была отмечена наградой «Самая инновационная компания в финансовой сфере».

Skolkovo Cybersecurity Challenge – международный конкурс инновационных проектов, направленных на защиту мира от киберугроз. Конкурс анонсируется на конференции CyberDay. Представители партнеров и учредителей конкурса выступают с докладами, раскрывающими ключевые задачи, которые стоят перед участниками.

В этом году Skolkovo Cybersecurity Challenge вошел в состав международной конференции Startup Village, которая трансформировалась в Startup Village Livestream’20 и станет одной из первых виртуальных конференций в России и главным бесплатным технологическим мероприятием года.

Startup Village пройдет в восьмой раз в юбилейный для Фонда «Сколково» год.