Как мы защищались и к чему это привело

Мобильная подпись - всем и каждому!

В закладки

С чего начать разговор о безопасности DIGITAL физических лиц? Начнем с истории развития способов подтверждения.

Изначально дистанционные сервисы и, соответственно, средства подтверждения транзакций в ДБО юридических лиц шли немного впереди сервисов и безопасности для частных клиентов. Это и понятно: «юрики» раньше начали использовать цифровые каналы, на их счетах всегда больше денег и потому успешная атака на них сулила мошенникам большие «барыши». Именно поэтому подпись транзакций в ДБО юрлиц всегда была в приоритете и упрощение user experience было не главным.

Помните, что когда-то доступ в банк с компьютера бухгалтера организовывался через VPN по ГОСТу, а для подписи можно было использовать только сертифицированный криптопровайдер? Как сначала на дискете/флешке, а потом и на аппаратном токене хранились ключи электронной подписи? Своеобразным «венцом» этого развития стало активное внедрение в ДБО антифрод-систем, а также использование устройств доверенного отображения данных – для защиты от самых «высокотехнологичных» атак на клиентов, включая удаленное управление и «подмену реквизитов платежа». Сейчас же активно развиваются технологии безопасной и удобной мобильной подписи, «превращающие» смартфоны пользователей в средства подписи.

А что же в ДБО для физических лиц? Взрывное развитие этого сегмента стартовало чуть позже, но с точки зрения безопасности шло несколько иным путем.

В погоне за улучшением usability, напрямую влияющего на число активных пользователей, банки зачастую предпочитали принимать риски кражи денег у клиентов, чем внедрять сложные технологии подтверждения. Так, многие сделали акцент на одноразовые пароли в SMS. Ну конечно, для своего времени простой и бюджетный путь! А когда небезопасность SMS уже всем стала очевидна, а цена на них выросла, то банки начали передавать коды подтверждения в PUSH, иногда даже с автоподстановкой. Либо вообще без подтверждения. Ведь клиентам так удобно! Такой подход не позволяет обеспечить ни эффективную защиту от мошенников, ни защиту позиции банка в случае судебного иска от пострадавшего или «якобы пострадавшего» пользователя.

О том, что это значит, а также о судебной практике и правомерности использования в ДБО физических лиц SMS и PUSH-уведомлений мы подробнее поговорим в следующий раз.

{ "author_name": "Дарья Верестникова", "author_type": "self", "tags": ["\u0434\u0430\u0448\u0430\u0432\u0434\u0435\u043b\u0435","verestnikova","safetech","paycontrol"], "comments": 0, "likes": 0, "favorites": 0, "is_advertisement": false, "subsite_label": "unknown", "id": 119913, "is_wide": true, "is_ugc": true, "date": "Mon, 13 Apr 2020 16:45:08 +0300", "is_special": false }
Сервис-дизайн
10 июля Онлайн 40 000 ₽
Объявление на vc.ru
0
Комментариев нет
Популярные
По порядку

Прямой эфир