Осень интернет-банкинга

Что в нем меняется, что усложняется и почему

Сложно сказать, останутся ли и в будущем мобильные платежи настолько простыми© STR, AFP

С 14 сентября 2019 г. условия интернет-банкинга и других видов безналичных онлайн-платежей (например, с кредитной карты, через дебетовые платежные системы типа PayPal или со смартфона) становятся более сложными. Изменяется и становится многоступенчатой система идентификации плательщиков при онлайн-доступе к их банковским счетам. Защита счетов ужесточается в интересах клиентов банков, чтобы не дать доступ мошенникам, научившимся взламывать банковские коды и пароли. Меры безопасности определены Второй европейской директивой о платежных услугах (Payment Services Directive 2, или PSD2), которая была принята еще в 2015 г., а сейчас окончательно вступает в силу.

С одной стороны, забота об интересах плательщиков понятна. С другой стороны – те, кто ныне с привычными удобствами пользуется интернет-бэнкингом, озабочены: останется ли система столь же комфортной?

Удобно...

Интернет-банкинг, или, проще сказать, доступ к банковскому счету через Интернет, стал настолько же простым и распространенным, как многие другие интернет-услуги. Интересуешься прогнозом погоды – загляни в Интернет. Хочешь справиться о состоянии своего банковского счета или перевести деньги? Тоже загляни в Интернет.

Хотя в денежных делах есть, конечно, определенные строгости. Для доступа к счету нужно ввести пароль. После этого можно проверить текущие поступления и расходы. Но для платежа необходимо дополнительно ввести шестизначный трансакционный номер (TAN), полученный от банка. Корректное сочетание пароля и TAN является для банка подтверждением того, что счетом распоряжается именно его владелец, а не кто-то посторонний.

TAN – одноразовый. Для каждого платежа со счета нужно вводить новый. Какой именно? Раньше банк присылал клиенту список номеров, из которого он выбирал по одному для каждого текущего платежа. На заре интернет-банкинга клиентам дозволялось выбирать номера из списков в произвольном порядке – лишь бы не было повторов. Потом, для безопасности, процедуру усложнили. Для очередного перевода денег банк требует ввести номер, занимающий определенную позицию в списке (индексированный TAN – iTAN).

Однако с сентября списки TAN отменяются. Самоидентификация для интернет-банкинга становится сложнее. Станет сложнее также оплачивать кредитными картами покупки, сделанные в Интернете, вести мобильные платежи.

...но опасно

В 2005 г., когда ввели порядок идентификации с помощью iTAN, было объявлено, что эта система стопроцентно безопасна, не поддается взлому. Но уже в 2010 г. Федеральное ведомство криминальной полиции сообщило, что в результате успешных хакерских атак было похищено со счетов, защищенных iTAN, не менее 1,65 млн €. Атаки продолжаются.

Для выявления индексированных номеров применяется хакерская методика «Человек посредине» (Man in the middle, или MITM). Через запущенного в пользовательский компьютер «троянца» (шпионскую программу) связь с банком устанавливается через посредника. Владелец счета об этом, естественно, не подозревает. Идентификационные запросы банка, чтобы открыть доступ к счету, поступают к нему через хакера. Клиент вводит запрашиваемые пароль и iTAN, но они также поступают к хакеру. А уже хакер передает их банку якобы от имени владельца счета. И опустошает счет. Однако «троянец» до поры до времени искажает картину, не позволяя владельцу счета обнаружить исчезновение денег. Когда же клиент и банк спохватятся, хакера уже и след простыл…

Более персонализированная идентификация

Перед фактической отменой iTAN-списков банки информируют клиентов о новом порядке доступа к счету для интернет-банкинга. Согласно PSD2, идентификация становится многофакторной, основанной на различных способах распознания клиента. Система «пароль плюс iTAN» основывалась на знании необходимых номеров. Хакерская практика последних лет показывает, что фактор «знание» недостаточен для надежной защиты. Ведь он, в сущности, ничего не говорит о личности пользователя, не дает ответа на вопрос, действительно ли им является владелец счета или некое постороннее лицо, выкравшее необходимые «знания» (номера).

Теперь для доступа к счету будут задействованы три фактора идентификации: знание, владение устройством и биометрия, причем как минимум два из них должны присутствовать одновременно.

Фактор «знание» основывается на введении кода (тот же пароль).

Фактор «владение устройством» – это пользовательское имя (Lоgin, Benutzername), подтверждаемое не «вручную» (простым введением соответствующих букв и цифр), а через индивидуальное совмещенное устройство – например, со специальной карты, с зарегистрированного банком номера мобильного телефона или со специального генератора TAN.

Фактор «биометрия» подтверждается отпечатком пальца владельца счета или узором радужной оболочки его глаза. Рисунок папиллярных линий или радужка сканируются смартфоном владельца счета (для чего на смартфон должны быть установлены соответствующие мобильные приложения).

Действительно сложно! К тому же эти факторы должны быть задействованы не только для платежей, но и для «пассивного» (обзорного) доступа к банковскому счету – просто для того, чтобы проверить его состояние.

Фактор «биометрия» (отпечаток пальца, сканирование радужки или сделанная смартфоном «моментальная» фотография владельца) будет задействован и при оплате покупок, сделанных в Интернете, а также оплаченных кредитной картой, со смартфона (мобильный платеж), через PayPal или другую платежную систему.

Смартфон желателен, но не обязателен

Как видим, современный («умный») мобильный телефон становится ключевым устройством для идентификации при интернет-банкинге и прочих интернет-платежах. Значит, каждый, кто платит безналично, должен иметь смартфон?

Это желательно, но не обязательно. Банки предлагают своим клиентам иные биометрические идентификационные устройства, которые гораздо дешевле, чем смартфон (около 20 €). Или чиповые интерфейсы для домашнего компьютера (Homebanking Computer Interface, или HBCI), также позволяющие самоидентифицироваться для ведения интернет-банкинга. Правда, такие чип-карты HBCI стоят дороже (около 90 €). И конечно, они не позволяют вести мобильные платежи.

Впрочем, мобильные платежи – это эксклюзивная опция для смартфонов, осуществляемая через банковские мобильные приложения (Finanz-Apps). Эксперты полагают, что новые требования Европейской директивы открывают широкую дорогу мобильным платежам. Они выглядят более упрощенными, ведь смартфон в руках – это уже сочетание двух факторов: «владение устройством» и передача «биометрии» владельца.

Уважаемые читатели!

Старый сайт нашей газеты с покупками и подписками, которые Вы сделали на нем, Вы можете найти здесь:

старый сайт газеты.


А здесь Вы можете:

подписаться на газету,
приобрести актуальный номер или предыдущие выпуски,
а также заказать ознакомительный экземпляр газеты

в печатном или электронном виде

Поддержите своим добровольным взносом единственную независимую русскоязычную еврейскую газету Европы!

Реклама


Сон на таблетках

Сон на таблетках

Насколько он полезен, насколько вреден?

Хотя бы одно из двух – но лучше первое

Хотя бы одно из двух – но лучше первое

Страшнее Schufa зверя нет?

Страшнее Schufa зверя нет?

Теперь и его делают менее страшным

Личность для удостоверения – только в цифровом формате

Личность для удостоверения – только в цифровом формате

Вялятся на корню

Вялятся на корню

Новый вид помидоров черри

Изменяющий правила игры

Изменяющий правила игры

Портативный электромобиль-трансформер

Возраст «делает ноги». Или наоборот?

Возраст «делает ноги». Или наоборот?

С годами отказывает не только сердце

Холод в конечностях

Холод в конечностях

Как их согреть?

E-Rezept – это не страшно!

E-Rezept – это не страшно!

Процедура его выдачи и применения упростилась. Что нужно знать пациенту

Не путать с лекарствами – это всего лишь NEM!

Не путать с лекарствами – это всего лишь NEM!

Когда молчание не золото

Когда молчание не золото

Анализ речи предотвращает сердечный приступ

Силой мысли

Силой мысли

Илон Маск наконец-то чипировал человеческий мозг

Все статьи
Наша веб-страница использует файлы cookie для работы определенных функций и персонализации сервиса. Оставаясь на нашей странице, Вы соглашаетесь на использование файлов cookie. Более подробную информацию Вы найдете на странице Datenschutz.
Понятно!