Осень интернет-банкинга

С 14 сентября 2019 г. условия интернет-банкинга и других видов безналичных онлайн-платежей (например, с кредитной карты, через дебетовые платежные системы типа PayPal или со смартфона) становятся более сложными. Изменяется и становится многоступенчатой система идентификации плательщиков при онлайн-доступе к их банковским счетам. Защита счетов ужесточается в интересах клиентов банков, чтобы не дать доступ мошенникам, научившимся взламывать банковские коды и пароли. Меры безопасности определены Второй европейской директивой о платежных услугах (Payment Services Directive 2, или PSD2), которая была принята еще в 2015 г., а сейчас окончательно вступает в силу.

С одной стороны, забота об интересах плательщиков понятна. С другой стороны – те, кто ныне с привычными удобствами пользуется интернет-бэнкингом, озабочены: останется ли система столь же комфортной?

Удобно...

Интернет-банкинг, или, проще сказать, доступ к банковскому счету через Интернет, стал настолько же простым и распространенным, как многие другие интернет-услуги. Интересуешься прогнозом погоды – загляни в Интернет. Хочешь справиться о состоянии своего банковского счета или перевести деньги? Тоже загляни в Интернет.

Хотя в денежных делах есть, конечно, определенные строгости. Для доступа к счету нужно ввести пароль. После этого можно проверить текущие поступления и расходы. Но для платежа необходимо дополнительно ввести шестизначный трансакционный номер (TAN), полученный от банка. Корректное сочетание пароля и TAN является для банка подтверждением того, что счетом распоряжается именно его владелец, а не кто-то посторонний.

TAN – одноразовый. Для каждого платежа со счета нужно вводить новый. Какой именно? Раньше банк присылал клиенту список номеров, из которого он выбирал по одному для каждого текущего платежа. На заре интернет-банкинга клиентам дозволялось выбирать номера из списков в произвольном порядке – лишь бы не было повторов. Потом, для безопасности, процедуру усложнили. Для очередного перевода денег банк требует ввести номер, занимающий определенную позицию в списке (индексированный TAN – iTAN).

Однако с сентября списки TAN отменяются. Самоидентификация для интернет-банкинга становится сложнее. Станет сложнее также оплачивать кредитными картами покупки, сделанные в Интернете, вести мобильные платежи.

...но опасно

В 2005 г., когда ввели порядок идентификации с помощью iTAN, было объявлено, что эта система стопроцентно безопасна, не поддается взлому. Но уже в 2010 г. Федеральное ведомство криминальной полиции сообщило, что в результате успешных хакерских атак было похищено со счетов, защищенных iTAN, не менее 1,65 млн €. Атаки продолжаются.

Для выявления индексированных номеров применяется хакерская методика «Человек посредине» (Man in the middle, или MITM). Через запущенного в пользовательский компьютер «троянца» (шпионскую программу) связь с банком устанавливается через посредника. Владелец счета об этом, естественно, не подозревает. Идентификационные запросы банка, чтобы открыть доступ к счету, поступают к нему через хакера. Клиент вводит запрашиваемые пароль и iTAN, но они также поступают к хакеру. А уже хакер передает их банку якобы от имени владельца счета. И опустошает счет. Однако «троянец» до поры до времени искажает картину, не позволяя владельцу счета обнаружить исчезновение денег. Когда же клиент и банк спохватятся, хакера уже и след простыл…

Более персонализированная идентификация

Перед фактической отменой iTAN-списков банки информируют клиентов о новом порядке доступа к счету для интернет-банкинга. Согласно PSD2, идентификация становится многофакторной, основанной на различных способах распознания клиента. Система «пароль плюс iTAN» основывалась на знании необходимых номеров. Хакерская практика последних лет показывает, что фактор «знание» недостаточен для надежной защиты. Ведь он, в сущности, ничего не говорит о личности пользователя, не дает ответа на вопрос, действительно ли им является владелец счета или некое постороннее лицо, выкравшее необходимые «знания» (номера).

Теперь для доступа к счету будут задействованы три фактора идентификации: знание, владение устройством и биометрия, причем как минимум два из них должны присутствовать одновременно.

Фактор «знание» основывается на введении кода (тот же пароль).

Фактор «владение устройством» – это пользовательское имя (Lоgin, Benutzername), подтверждаемое не «вручную» (простым введением соответствующих букв и цифр), а через индивидуальное совмещенное устройство – например, со специальной карты, с зарегистрированного банком номера мобильного телефона или со специального генератора TAN.

Фактор «биометрия» подтверждается отпечатком пальца владельца счета или узором радужной оболочки его глаза. Рисунок папиллярных линий или радужка сканируются смартфоном владельца счета (для чего на смартфон должны быть установлены соответствующие мобильные приложения).

Действительно сложно! К тому же эти факторы должны быть задействованы не только для платежей, но и для «пассивного» (обзорного) доступа к банковскому счету – просто для того, чтобы проверить его состояние.

Фактор «биометрия» (отпечаток пальца, сканирование радужки или сделанная смартфоном «моментальная» фотография владельца) будет задействован и при оплате покупок, сделанных в Интернете, а также оплаченных кредитной картой, со смартфона (мобильный платеж), через PayPal или другую платежную систему.

Смартфон желателен, но не обязателен

Как видим, современный («умный») мобильный телефон становится ключевым устройством для идентификации при интернет-банкинге и прочих интернет-платежах. Значит, каждый, кто платит безналично, должен иметь смартфон?

Это желательно, но не обязательно. Банки предлагают своим клиентам иные биометрические идентификационные устройства, которые гораздо дешевле, чем смартфон (около 20 €). Или чиповые интерфейсы для домашнего компьютера (Homebanking Computer Interface, или HBCI), также позволяющие самоидентифицироваться для ведения интернет-банкинга. Правда, такие чип-карты HBCI стоят дороже (около 90 €). И конечно, они не позволяют вести мобильные платежи.

Впрочем, мобильные платежи – это эксклюзивная опция для смартфонов, осуществляемая через банковские мобильные приложения (Finanz-Apps). Эксперты полагают, что новые требования Европейской директивы открывают широкую дорогу мобильным платежам. Они выглядят более упрощенными, ведь смартфон в руках – это уже сочетание двух факторов: «владение устройством» и передача «биометрии» владельца.