22.03.2012 - IX форум B+S: технологичные решения для банков (Екатеринбург, 2012)

Банковские технологии уральской столицы

Ежегодный форум B+S, организованный компанией Экспо-Линк в Екатеринбурге, является де-факто интересным событием, на котором представители банков Екатеринбурга (с одной стороны) высказывают свое мнение на новинки, предлагаемые ключевыми банковскими вендорами (с другой стороны).

Признаемся, что изначально у нас были некоторые опасения - латинская цифра IX говорила о далеко не первой такой встрече, и темы, поднимаемые на форуме, могут поднадоесть банкам. Однако, наши опасения были напрасными. Более того, пообщавшись в кулуарах на эту тему с представителями банков, у нас сложилось мнение, что интерес к этому форуму у банков наоборот возрос, что подтвердило общее число представленных банков (мы насчитали их свыше 30).

Клиент уходит в интернет

Серегин Алексей (начальник управления продаж компании Банк Софт Системс) привел интересную статистику, суть которой заключается в следующем: с увеличением массовости использования айфонов, айпадов, android-коммуникаторов и прочих "продвинутых" мобильных устройств, клиент все более предпочитает использовать их для дистанционной работы с сервисами банка, например, для оплаты услуг ЖКХ, сотовой связи, и переводами как между своими счетами, так и в пользу третьих лиц.

Более того, он высказал предположение, что если банк в течение ближайших 4-5 лет не адаптирует свои предлагаемые розничные услуги под это направление, клиенты предпочтут воспользоваться услугами другого банка, где эти сервисы реализованы наиболее удобно с точки зрения клиента.

Являясь сами владельцами таких "продвинутых" мобильных устройств, мы, как обычные клиенты банка, полностью согласны с удобством и необходимостью таких сервисов. Но, как технические специалисты по безопасности хотелось бы сразу обратить на несколько моментов:

Факт 1. Представители компании McAfee сообщают, что банковские троянские программы Zeus и SpyEye теперь оснащены новым модулем, который нацеливается на пользователей ОС Android, использующих компьютер или телефон для доступа к своим банковским счетам. (новость портала информационной безопасности SecurityLab.ru от 19 марта 2012)

Факт 2. Ни одна из семнадцати наиболее популярных утилит для защищенного хранения паролей в мобильных телефонах на платформах Apple iOS и BlackBerry не показала заявленного уровня безопасности. По результатам тестирования лишь один продукт признан относительно безопасным. Пароли, хранящиеся в остальных утилитах, можно восстановить менее, чем за сутки простым последовательным перебором мастер-ключа. Более того, семь из семнадцати утилит никак не защищают хранимые с их помощью пароли; пароли хранятся в открытом виде и могут быть получены моментально. (из результатов исследования наиболее популярных утилит для защищенного хранения паролей, проведенного в марте 2012 года компанией ElcomSoft)

Факт 3. Далеко не все Интернет-браузеры, установленные на мобильных устройствах, проверяют валидность SSL-сертификата в процессе установки шифрованного HTTPS-соединения. (из собственных наблюдений)

Таким образом, создание защищенной среды работы в ДБО с мобильного устройства является весьма непростой задачей. Скорее всего, для таких мобильных решений наиболее эффективным решением будет проверка легитимности дистанционного платежа на стороне банка.

Черно - белое

Неприятно удивила нас компания БИФИТ со своим решением по обнаружению мошеннических платежей в системе iBank 2. По словам Мустафаева Рустама (директора по маркетингу компании БИФИТ), для обнаружения мошеннических платежей, банк может самостоятельно написать правила, учитывающие следующие критерии:

  • черный список получателей

  • белый список получателей

  • набор лимитов сумм

  • поиск текста с учетом регулярных выражений

Если отбросить черно-белые списки (а также поиск текста по регулярным выражениям, что фактически является тоже черно-белым списком), то получается, что из "аналитического" функционала в iBank 2 остается только примитивная проверка плажей клиента на соответствие лимитов сумм. Получается, что если клиент крупный, то для него банк вынужден устанавливать большие лимиты сумм (иначе для этого клиента будет много ложных срабатываний системы). А следовательно, хакеры могут красть у этого клиента также большие суммы - система от БИФИТа будет бессильна против них.

Если кто-то надеется, что черные списки спасут клиентов ДБО, то напомним старую русскую пословицу - "знал бы где упал, да соломку постелил". Но вот только падают, как правило, не на соломку...

Мы попробовали соотнести уровень зрелости системы обнаружения мошеннических платежей от БИФИТа с возможностями нашей системы FraudWall. К сожалению, функционал не позволяет отнести ее даже к первому поколению FraudWall - в iBank 2 не анализируется даже примитивные поведенческие модели действий пользователей в системе.

Возможно, что сама система дистанционного банковского обслуживания, которым является iBank 2, удобна, надежна и проста с точки зрения клиента и банка. Но к сожалению, по какой-то причине компания БИФИТ не уделяет достаточного внимания проблеме обнаружения мошеннических платежей. Это подтверждается тем, что на форуме наибольший интерес к нашей системе FraudWall проявляли банки, работающие на iBank 2. Более того, в процессе обсуждения банки признались нам, что ни один из них не использует механизм обнаружения мошеннических платежей, встроенный в iBank 2. Для борьбы с мошенниками, банки вынуждены "на коленке" разрабатывать собственные проверки, которые раньше еще как-то могли обнаруживать мошеннические платежи, но сейчас, когда злоумышленники совершают платеж непосредственно с компьютера клиента, этого "коленочного" решения недостаточно.

Свое

От компании Фродекс с докладом на форуме выступил Луцкович Андрей - директор нашей компании.

Учитывая то, что мы не можем разглашать данные о наблюдаемых мошеннических платежах наших клиентов, мы использовали данные, полученные из открытых источников, но идентичных по своей сути.

Доклад компании Фродекс  (рекомендуем предварительно сохранить файл на диске)