Новые меры по борьбе с мошенничеством при дистанционном обслуживании банками россиян ввел с 16 марта 2015 года ЦБ РФ. Отныне, чтобы воспользоваться услугой интернет-банка или мобильного банка, клиенты должны зарегистрировать все устройства, с которых собираются совершать транзакции через cеть, сообщает газета «Известия».
Предполагается, что операции нельзя будет провести с незарегистрированного смартфона, планшета или компьютера. А рассылку служебных SMS для получения одноразового пароля и другой информации при смене клиентом номера или SIM-карты банки будут блокировать.
Согласно новым требованиям, изложенным в указании ЦБ №3361-У, на основании заявления клиента банк определяет параметры операций, которые могут проводиться через интернет- и мобильный банкинг. Также банк устанавливает список устройств на основе их идентификаторов, с помощью которых может осуществляться доступ к системам дистанционного банковского обслуживания для перевода денег, устанавливая при этом максимальную сумму перевода средств за одну операцию или за определенный период времени.
Однако в указании ЦБ не сказано, каким образом банки будут идентифицировать устройства клиентов. По предположениям представителя компании Digital Security, скорее всего, речь идет об уникальном идентификаторе модема конкретного устройства — МАС-адресе, с помощью которого осуществляется доступ в Сеть. Или же банки могут использовать IP-адреса клиентов.
С чем не согласен руководитель аналитического центра Zecurion Владимир Ульянов. По его мнению, IP-адрес для идентификации клиента категорически не подходит. Так как более 50% пользователей не имеют постоянных IP, а значит, смысла привязывать к нему нет.
Владимир Ульянов, руководитель аналитического центра Zecurion:
— Что касается использования MAС-адресов и конфигураций оборудования — эта идея кажется более разумной, однако и здесь есть свои изъяны. Конфигурация оборудования и даже MAC-адреса, которые на практике можно менять, могут оказаться одинаковыми у нескольких пользователей. Злоумышленники смогут этим воспользоваться.
В ЦБ на запрос «Известий» ответить по существу, каким образом банки будут идентифицировать клиентов, так и не смогли. Пока этот вопрос остается открытым, а банки исполняют новые требования по своему разумению.