Новый вид угроз для финансовых услуг
Жизнь и технологии меняются, мы сами шагнули в очень интересный мир, и я хочу обратить внимание банковское сообщество и брокерские сервисы на одну уязвимость, которая с лёгкой руки появилась в связи с принятием «Закона Яровой».
Операторы, согласно закону, наши с вами разговоры «стенографируют» и хранят. Со временем, у всё большего количества людей будут чесаться руки получить доступ к этим данным (тем более, когда они уже «стёрты», согласно регламенту). Интересна будет не та информация, где вы поздравляли с Днём рождения бабушку, а где разговаривали по телефону с оператором call центра банка или брокерской конторы. Оператор, согласно правильным регламентам служб безопасности, тщательно проверяет личность Клиента, уточняет фамилию, номер паспорта, кодовое слово и т.д. Я не работаю в сфере дата-центров, и знать не знаю, как именно хранятся данные, которые сейчас записываются, как настроены резервные копии, насколько они защищены от несанкционированного доступа. Но риск появления их на рынке вполне очевиден. Учитывая, что на наших просторах различные базы продаются очень активно, сложно себе представить, что каким-то магическим образом именно эти данные на 100% защищены.
По сути, все услуги финансовых организаций, которые настраивались для предоставления их по телефону - банкинг, брокерские услуги, становятся уязвимыми. Если представить, что сохраненная база разговоров уйдет на рынок, то злоумышленники смогут получить информацию по счетам Клиента, сменить пин-код банковских карт или заблокировать их, провести сделку по брокерскому счету и т.д. Возможно, что есть банки, с расширенным перечнем услуг по телефону, когда можно проводить переводы на внешние счета (им «повезло» больше всех).
Угроза появления таких прецедентов достаточно серьёзная, и брокерским сервисам, и банковским службам безопасности, как минимум, нужно пересмотреть схему идентификации пользователя по телефону и добавить в неё дополнительные элементы: смс идентификацию, коды с карточки (по старинке), коды в приложении банка, электронные токены и т.д.
Такие методы по крайней мере позволят минимизировать риски неприятных ситуаций как для Клиентов, так и для самих финансовых организаций.
Добавить смс-верификацию во время разговора усилит безопасность. Хотя выпуск дублей симкарт никто не отменял...
Тут не все так однозначно. И методов дополнительной идентификации я написал несколько, т.к. смс не всегда и не для всех случаев подойдет, потому что пользователь может звонить например со стационарного или служебного телефона.
Да и не только дублей, когда очень надо сотрудники оператора и без дублей тупо содержимое прочитать могут. При крупных финансовых операциях подобные серые услуги окупятся.
Нужны прецеденты - громкие истории со взломами телеги на двухфакторке
По старинке, убираем телефонию как таковую, и общаемся с глазу на глаз.
Это уже слишком сложно для мобильных граждан!
В этом году уже вводится биометрия в банках, сначала в рекомендательной, потом в обязательной форме. Кодовое слово будет не нужно.
Биометрия по телефону?
Голос.
Его и так уже используют, но это только дополнительная проверка.
Ещё не используют. Только вот вот начали внедрять терминалы биометрии и интеграцию с ЕБС. Сейчас вы можете выразить желание внести биометрию, но обязательного требования нет.
Я про голос, уже несколько лет некоторые банки сравнивают и голос, но основным методом проверки это не будет, только дополнительная.
Закон был принят в 2017 году, внедрение началось в 2018. Внедрение мягкое, так что априори нескольких лет не может быть.
Когда интеграция закончится и обязательная биометрия вступит в силу это будет основным подтверждением.
https://habr.com/ru/company/croc/blog/307576/
Какое отношение частное решение имеет к общему, которое базируется на требованиях законодательства?
Причем тут закон?
уже несколько лет некоторые банки сравнивают и голоснескольких лет не может быть
Ещё раз. Частная инициатива банка вне регламента ЦБ, вне правового поля может при условии отсутствия нарушений делать что угодно. Могут вводить свои решения, но никаким образом они не могут нарушать обязательные требования ЦБ.
ЕБС это цельное общее решение, которое интегрировано с согласия ЦБ и принято с соответствующими поправками к регламентам.
Так яснее?
Еще раз, где я что-то про закон писал?
Я написал что это давно используют некоторые банки, а вы начали говорить, что это не так.
А насчет идентификации только по голосу почитайте ту статью на Хабре, эти системы не работают без ошибок, поэтому единственным способом идентификации это не будет.
Банки могут использовать все что угодно, пока это не противоречит ЦБ. Если ЦБ сказало, что ваши местячковые решения не являются источником истины, значит можете использовать но как игрушку. Сейчас ситуация другая. Любые местячковые решения в помойку, только ЕБС.
Это будет просто исходя из норм закона и регламентов. Вы это можете понять?
Я сказал, что такая практика уже ведется несколько лет некоторыми банками, вы сказали, что такого не может быть. Точка.
Если бы вы сказали, что они это делают по частной инициативе, я бы не спорил, но вы просто написали что априори такого не может быть, что глупость.
Вот именно эти "помоечные местечковые решения" и станут ЕБС ))
https://www.vedomosti.ru/technology/articles/2018/10/19/784117-pomozhet
Тинек не райф, у него ИТ решения одни из лучших на рынке.
И? Я про него и писал, когда говорил что это много лет используется.
Статья на Хабре про Райф в Беларуси, а про Тинькоф там в комментах есть.
Тинькоф это использует как минимум с 2014-2015.
А вам не кажется, что голосом предоставлять свои персональные данные, пароли, кодовые слова это в принципе какая-то дикость? А дополнительные методы идентификации, которые вы перечислили выше, ввести можно было уже давно.
По сути да, но в большинстве банков если нужно решить какой-то вопрос, который не решается онлайн нужно звонить и предоставлять личные данные. Давно не звонили? Попробуйте, допрос будет подробный... И по факту этих дополнительных методов сейчас нет. Что я и считаю насущной необходимостью в связи с тотальной "прослушкой".
Тинькофф уже идентификации по голосу производит как дополнение к привязанному номеру с которого или на который звонок.
И вот вы с прищепкой на носу его захотели нае...ть.
Отличный повод для стартапа: выпуск насадок на мобильник, который будет преобразовывать голос в электронный, обезличенный. Уверен, что такая фишка на ура пойдет чиновникам, бандитам и параноикам - самая платежеспособная публика))
Это видимо шутка, но смартфон на то и смартфон. Таких приложений и сервисов предостаточно.
Это не шутка) Надо понимать разницу между приложением в смартфоне и смартфоне в приложении. Если, к примеру, в первом случае разговор пришить к делу можно, а во втором нет.
Отрывок из (возможного) разговора клиента с банком.
- Уважаемый, нам нужна дополнительная верификация личности, поэтому, пожалуйста, активируйте видеозвонок прямо сейчас.
- Так я же в одних трусах.
- Не беспокойтесь, приватность гарантируем (wink, wink).
На следующий день новый мем/персонаж во внутреннем чате сотрудников банка.