Chirkov.net: блог

В новостной рассылке на прошлой неделе пришло:

RSA: БАНКОВСКИЕ SMS ТОКЕНЫ УЯЗВИМЫ
Количество атак мобильных телефонов увеличится в этом году из-за того, что преступники пытаются перехватывать SMS токены аутентификации. Такое мнение
высказали представители компании RSA, сообщает xakep.ru.
Токены были созданы для того, чтобы дополнить собой ввод имени пользователя и пароля, требуя от пользователя подтвердить платеж уникальным цифровым кодом, в данном случае высылаемым посредством SMS-сообщения. Услуга становится все более популярной, и Commonwealth Bank of Australia отмечает, что 80 проц их клиентов используют токены для того, чтобы подтвердить платежи третьим лицам с помощью SMS или с помощью более надежных портативных генераторов ключей. Банк не заставляет клиентов использовать данную услугу, но те, кто не захочет пользоваться ей, не смогут производить операции с высокой степенью риска через Интернет-банк.
В прогнозе на 2011 г RSA отметила, что рассылка токенов посредством SMS сделает телефоны мишенью. Использование аутентификации с помощью SMS … как дополнительного средства
обеспечения безопасности, добавляет уязвимое место в мобильный канал, — сообщила компания в докладе.  Преступник может … провести телефонную атаку типа отказа в обслуживании, и мобильный телефон потребителя не будет работать. Сервис перенаправления SMS сообщений также становится привычным объектом для мошенников и дает им возможность перехватить /токен/, высланный банком на мобильный телефон пользователя, и перенаправить его на телефон киберпреступника.
Компания предсказала, что количество смишинг-атак и фишинга на мобильных телефонах, проводимого с помощью SMS, также увеличится в этом году. Количество успешных смишинг-атак больше, чем стандартных фишинг-атак, потому что потребители не ожидают получить спам на мобильный телефон и, скорее всего, поверят, что сообщение — законное.
Также сказано, что не существует эффективных технологий по предотвращению смишинга.

В России SMS-аутентификация это один из самых популярных способов аутентификации клиентов и подтверждения платежей, поэтому меня это сообщение очень заинтересовало и я обсудил его с коллегами, погруженными в предметную область. Резюмируя их мнение: на все смартфоны (за исключением невзломанного iPhone) можно незаметно для пользователя поставить программу, которая может перехватывать, перенаправлять, подменять или имтировать входящие и исходящие SMS-сообщения, но это не возможно на обычном мобильном телефоне.

Таким образом, SMS-аутентификация относительно безопасна на обычных мобильных телефонах, но не безопасна на смартфонах и должна применяться с ограничениями по сумме (чтобы не было экономической целесообразности заморачиваться с подкидыванием троянов на смартфон) и назначениями платежей (например, только платежи по пользовательским шаблонам)

Скоро, очень скоро экс-владелец «Северной Казны» В.Н.Фролов удивит мир проектом под условным названием «Лучший в мире Интернет-банк», который реализуется совместно с «НОМОС-Банком» на базе небольшого банка «Уран» (вскорости будет официально переименован). А пока этого не произошло в Екатеринбурге провели исследование функциональности и удобства Интернет-банков, предлагаемых различными банками.

Почему в Екатеринбурге? Да потому, что там публика продвинутая и реально активно пользуется дистанционными услугами, местные банки активно конкурировали между собой и с «федералами» и вырастили клиентов. А последний год, огромная масса клиентов (порядка 80 тыс. пользователей Интернет-банка) ищет замену «Северной Казне», которую так топорно похоронила «Альфа». Борьба за этих клиентов заставило местные банки активизироваться в развитии своих систем Интернет-банкинга.
заинтересовало? »»»

Наткнулся на платежный Интернет-сервис виртуального Океан-банка под названием Платеж.Ру, который называется «интернет-терминал безопасной оплаты услуг банковскими картами VISA и MasterCard».

Суть сервиса заключается в том, что владельцы карт убогих банков, которые не имеют собственных систем дистанционного банковского обслуживания (мобильный и интернет-банк) могут зарегистрировать свою международную банковскую карту в этом сервисе и оплачивать различные услуги с помощью Океан-Банка. Регистрация осуществляется также как и у МТСа: авторизация некоторой суммы (в пределах 50 рублей), которую надо сообщить для окончания регистрации. Кроме того Океан-банк запрашивает CVV2, но обещает его не хранить и потом запрашивать еще раз для каждой платежной операции. После завершения регистрации моментально был прислан реверсал.
заинтересовало? »»»

Выложил статью, посвященную персонализации дистанционного банковского обслуживания. Статья родилась по мотивам ранних записей и изначально планировалась для публикации в книге «Дистанционное банковское обслуживание», которую планировал(ует) выпустить ЦИПСиР. Однако, они куда-то пропали, а я за это время успел сделать презентацию по этой теме в рамках форума iFin-2009 и на днях отдал ее для публикаций в журналы. PS Тут можно скачать презентацию доклада на iFin-2009, вообще говоря там же обещали выложить и видеозаписи, но пока нет…

В России все еще действует больше тысячи банков и подавляющее большинство из них обслуживает корпоративный бизнес (чаще всего своих акционеров). Однако, время, когда каждое предприятие учреждало собственный банк прошло, сейчас даже крупные ФПГ и холдинги продают свои банковские активы, а те, которые пока не продают, переквалифицируют их в розничные (либо с целью диверсифицировать риски, либо для увеличения стоимости при будущей продажи). Перефразируя известную поговорку нынче «плох тот банк, который не мечтает стать розничным».

Гуру маркетинга говорят, что главное в бизнесе это найти незанятую нишу, позиционироваться и пол-дела сделано. В банковском бизнесе другая половина дела это IT-обеспечение проекта. Обслуживание массового клиента и развертывание сети продаж накладывает дополнительные требования на системы автоматизации и действующие банковские системы далеко не всегда им удовлетворяют. Это заставляет банки вкладываться в модернизацию IT-инфраструктуры, а это долгие и дорогие проекты.

В Казахстане у розничных банков модно покупать крутые «западные» АБС, которые заточены на обслуживание розницы (T24, Equation, FlexCube и т.п.) и доказали, что способны успешно перемалывать миллионы клиентов. Это длительные проекты стоимостью в десятки миллионов долларов — в  2005 году сразу несколько банков РК купили T24, но к концу 2008 года во всех этих банках запущены лишь отдельные малозначительные модули и до завершения проектов еще очень далеко.

В России у банков принято рачительнее относится к деньгам (а может пример Уралсиба который год внедряющего пилотный проект на базе Finacle пошел на пользу) и повальная мода на иностранные АБС пока до нас не дошла — банки выкручиваются по-своему. заинтересовало? »»»

На РБК вышла интересная статья об объемах рынка дистанционного банковского обслуживания в России, снабженная большим количеством цитат Председателя совета директоров банка «Северная Казна» г-на Фролова . Северная Казна является одним из пионеров e-banking в России и успешно продает услуги интернет-банкинга (собственной разработки) во всех регионах своего присутствия.
Далее нарезка интересных цифр и фактов из статьи:
заинтересовало? »»»

Арком изрядно удивил, разработав домашний платежный терминал, который предназначен «для дома, квартиры, офиса» и предоставляет следующие услуги:

• точка wi-fi доступа в интернет
• skype-фон (с возможностью подключения обычных телефонов)
• платежные сервисы (всем знакомый платежный терминал)
• видеонаблюдение и видеосвязь (в презентации эта тема совершенно не раскрыта)

Оставим в стороне такие феньки, как интернет-доступ, skype и видеонаблюдение, может кого-то привлекает роль домашнего эквайера?

Мне кажется, что подобное устройство может быть интересно для офиса, где есть какое-то количество сотрудников, у которых может быть ограничен доступ в интернет (а у кого-то и вовсе отсутствовать), присутствует поток посетителей — эти люди потенциально будут совершать платежные операции через это чудо мысли. Однако, взрывной рост сетей платежных терминалов связан с наличными платежами, а данное устройство работает только с картами. Это недостаток, в сравнении с компактными моделями платежных терминалов, которые предназначены для настенного размещения и встречаются даже на стенах совсем уж мини-маркетов типа «большой ларек».

 Может быть я ретроград, но в частном доме, и тем более квартире, применения этому девайсу совершенно не вижу. Зачем банку устанавливать и впоследствии обслуживать сеть подобных устройств, если существуют мобильный и интернет-банк, которые позволяют удобнее делать гораздо больший спектр операций? При этом эти каналы взаимодействия с банком не требуют технического обслуживания на стороне клиента и не просят пробурить дополнительные дырки на стене дома :)

Мобильный телефон это, несомненно, удобный канал обслуживания клиентов. Какой же набор банковских услуг предоставлять и как технологически это обеспечить?

Сначала стоит разобраться в терминологии — специалистами часто используются два термина с неустоявшимися определениями:»мобильный банкинг» и «SMS-банкинг». Однажды, обсуждая доработку SMS-команд для совершения операции оплаты «чужого» телефонного номера, я принял участие в споре с разработчиком, который отказывался делать эту доработку, ссылаясь на то, что это «функционал мобильного банкинга, а у нас SMS-банкинг». Оборону разработчика я пробил следующим шутливым доводом: «мобильный и SMS-банкинг различаются так же, как эротика и порнография — все зависит от точки зрения конкретного человека».
заинтересовало? »»»

Выложил две свои статьи по банковской тематике:

• Выбор программного обеспечения для построения процессингового центра — уже была опубликована
• Банковское самообслуживание для розничных клиентов — еще не опубликована