Поиск

Двухфакторная аутентификация в мобильных приложениях

21.01.2017 от Andrew

Двухфакторная аутентификация пользователя и его операций в банковских приложениях подразумевает, что кроме пары логин-пароль используется второй идентифицирующий признак клиента, который, для повышения безопасности должен быть не связан с первым идентификатором. Изначально банковские приложения были ориентированы на компьютеры (Интернет-банк) и в качестве средств вторичной аутентификации использовались следующие методы:

  • таблица с одноразовыми кодиками;
  • кодовое слово из которого для каждой сессии выбиралось определенная буква;
  • разовые пароли, отсылаемые на e-mail, но чаще в виде SMS;
  • генераторы разовых паролей типа VASCO Digipass, которые в России не получили распространения;
  • технология DPA/CAP, основанная на генерации криптограммы с помощью чиповой карты и специального ридера

Последняя технология наиболее продвинута и защищенна от мошенничества, более того она позволяет любую операцию в ДБО представить как операцию, совершенную с использованием банковской карты, однако, у нее есть и недостатки, связанные с необходимость выдать каждому пользователю ридер стоимостью порядка 10 баксов (либо карту, с встроенным дисплеем и клавиатурой), который клиент должен иметь с собой для совершения операций, поэтому единицы российских банков поддерживают эту технологию. В силу простоты, удобства, общедоступности и дешевизны (правда в прошлом) SMS-сообщений, этот способ аутентификации пользователей систем ДБО стал доминировать на российском рынке. При использовании его для доступа в Интернет-банк он был достаточно безопасен, т.к. для совершения операции необходимо было получить не только идентификационные данные клиента, но и доступ к его мобильному телефону. Однако, с появлением смартфонов, с большими экранами и полнофункциональными банковскими приложениями, все больше дистанционный банкинг смещается на мобильные телефоны, а технологии аутентификации клиентов остаются прежними. Более того, в связи с подорожанием SMS-сообщений многие банки стали заменять SMS-сообщения на Push. И двухфакторная аутентификация стала по-сути однофакторной: получив доступ к смартфону клиента (где чаще всего идентификационные данные для входа в мобильный банк запоминаются приложением), мошенник на него же и получает разовый пароль. Клиент оказывается фактически не защищен технологически, да еще и договор банковского обслуживания предусматривает, что ввод разового пароля однозначно перекладывает ответственность за нее на клиента. Даже Тинькофф многие годы получающий титул «Лучшего мобильного банка», подтверждает операции в своем мобильном банке через Push и ничего не делает для внедрения по-настоящему двухфакторной аутентификации мобильных пользователей.

Читать полностью »

Рубрики: Банковская розница | 5 комментариев »»»

Циничный финтех

22.12.2015 от Andrew

Друг написал в FB, что ему удалось в реальной жизни использовать на пиво, когда-то полученные, 500 проморублей с помощью платежного приложения PayQR. Сейчас в России (и не только) множество стартапов предлагают без всяких новомодных ApplePay зарегистрировать в их приложении карту и использовать её реквизиты, оплачивая покупки в смартфоне. Идея очень интересная, хотя и не бесспорна с точки зрения безопасности и во многих  случаях удобства/простоты совершения операции, по сравнению с использованием самой карты. Друг сказал, что в приложении карта привязывается путём авторизации на случайную сумму и потом покупка проходит уже просто через ввод пароля в приложение — никаких CVV2 и новомодных 3DSecure! Мне стало интересно, как они предполагают разбираться с массовым фордом, который в этом случае неизбежен при масштабном использовании сервиса и я решил скачать приложение и посмотреть оферту, ссылок на которую на самом сайте не найти.

Надо сказать, что заметить оферту в приложении без специальной подготовки очень не просто, но меня на мякине не проведёшь и я погрузился в увлекательное с первых же пунктов чтиво, осилить которое в силу объёма сможет не каждый:). Признаюсь, что дочитав до пункта 5.1.3, в котором я заверяю компанию ФИТ, что не страдаю заболеваниями, которые мешают мне правильно понять всю суть  соглашения, с которым соглашаюсь путём регистрации, я регистрироваться передумал и приложение PayQR удалил, но записи, демонстрирующие безграничный юридический цинизм компании, ФИТ сделал:
Читать полностью »

Рубрики: Банковские карты | 1 уже не сдержался »»»

Многофакторая аутентификация в мобильном банке

12.12.2015 от Andrew

Став клиентом еще нескольких банков обратил внимание, что они производят подтверждение операций в приложении мобильного банка путем доставки SMS и даже push-сообщений непосредственно телефон, в котором и запускается это мобильное приложение. Клиентам таких банков стоит много раз подумать стоит ли им использовать такие мобильные банки, а банкирам подумать зачем они бессмысленно тратят деньги на рассылку OTP (one time password) в мобильном банке. По хорошему, банк должен уведомлять клиента о том, что мобильное устройство, с которого он осуществляет операции и на которое получает одноразовые пароли, должны быть разными или придумывать для мобильного банка другой способ аутентификации (таблица кодиков, например или аутентификация по DPA/CAP ридеру) и устанавливать более жесткие лимиты на операции, совершаемые в мобильном банке.

Рубрики: Банковская розница, Банковские карты | 1 уже не сдержался »»»

Чисто расчетный банк

03.12.2013 от Andrew

Очень давно не заходил на сайт креативного Банк24.ру и сегодня испытал когнитивный диссонанс, когда обнаружил, что они перестали выдавать кредиты и принимать депозиты, превратившись в чисто транзакционный банк и таким образом воплотив в реальность не сбывшуюся в Инбанке идею В.В.Фролова.

Сейчас сложные времена для банков и свои сбережения я раскидал по нескольким банкам, от чего испытываю явный дискомфорт как клиент, хотя и удовлетворяю профессиональное любопытство, пользуясь время от времени картами разных банков, изучая их продуктовую линейку, тарифную политику, интерфейсы и возможности их сервисов ДБО. Сегодня я имею счета в пяти банках, с точки зрения удобства и выгоды использования карточного продукта клиенту с улицы считаю лучшим ТКС и Связной (Тиньков пожалуй все таки выгоднее всего), но нифига не понимаю зачем мне банк, только ради карты и расчетных операций через ДБО? С разной степенью удобства все можно сделать в любом из 5 банков: где-то удобнее и понятнее, где-то дешевле, где-то красивее. В любом случае рядовому гражданину нужно либо взять деньги взаймы, либо приумножить накопленное, так чего ради он будет занимать или вкладывать в один банк, а расчеты вести через другой? Ну только если это не пенсионер, получающий пенсию в ближайшем отделении Сбербанка и купивший пылесос в кредит от Хомяков…

Рубрики: Банковская розница | 2 комментария »»»

Удачный карточный продукт

20.11.2011 от Andrew

Карта СвязногоСлучайно обнаружил, что существенная часть моих магнитогорских знакомых обзавелась картами «Связного» и не только обзавелись, но и активно пользуются переводя туда часть своих средств. Проведя среди них опрос пришел к выводу, что основными стимулами получения этой карты для всех поголовно стали:

  1. Повышенная процентная ставка на остаток по счету (10% на ежедневный остаток свыше 10 000 рублей)
  2. Бесплатное снятие наличных в любом банкомате (от 1 000 рублей за раз, без ограничения количества операций)

Все остальные плюсы типа бонусных баллов, бесплатного пополнения, кредитного лимита, бесплатного перевода между картами Связного уже были сугубо индивидуальны. Основными драйверами, которые заставляют брать эту карту и регулярно совершать некоторые телодвижения для перевода на нее денег, у всех совершенно одинаковы. Кроме плюсов, коллеги, привыкшие к богатству сервисов наших клиентов, отмечали и множество минусов в Интернет- и мобильном банкинге (отсутствие управления лимитами, невозможность выпустить виртуальную карту, частичная выписка и многое другое), но люди мирятся с этими неудобствами, настолько для них важны эти две причины. По-большому счету ведь ничего гениального — просто комбинация двух простых и очевидных вещей:

  • дайте людям повышенный процент на текущий остаток и вы получите большую оседаемость средств. Многие клиенты боятся ложить деньги в банк на долго, так как не уверены в завтрашнем дне, а такой плавающий и ни к чему клиента не обязывающий остаток в реальности может лежать очень долго. Правда на мой взгляд не правильно платить процет именно на остаток по карт, т.к. технологически карточный счет опасен и его глупо использовать для накоплений. Писал тут и тут.
  • в стране, заваленной банкоматами разных банков, глупо строить и содержать собственную банкоматную сеть — проще воспользоваться имеющимися и вместо затрат на банкоматы взять на себя затраты на банкоматный интерчендж. Еще до своего банкротства «Северная Казна» предлагала продукт «Большие города», который предлагал бесплатное снятие в любом банкомате ограниченное количество раз в течение месяца. «Связной» пошел дальше и вообще не стал ограничивать снятие (IMHO зря, т.к. 3-5 раз в месяц любому нормальному клиенту за глаза достаточно, а если задаться целью можно устроить флешмоб из множественных снятий по 1 000 рублей и просадить банк).

Эта комбинация помноженная на сеть дистрибуции Связного дала уже миллион карт и судя по всему они большей частью «работающие». Поработает «Связной» еще над сервисами и получится совсем конфетка!

Рубрики: Банковская розница, Банковские карты | 13 комментариев »»»

Безопасность SMS-токенов

24.01.2011 от Andrew

В новостной рассылке на прошлой неделе пришло:

RSA: БАНКОВСКИЕ SMS ТОКЕНЫ УЯЗВИМЫ
Количество атак мобильных телефонов увеличится в этом году из-за того, что преступники пытаются перехватывать SMS токены аутентификации. Такое мнение
высказали представители компании RSA, сообщает xakep.ru.
Токены были созданы для того, чтобы дополнить собой ввод имени пользователя и пароля, требуя от пользователя подтвердить платеж уникальным цифровым кодом, в данном случае высылаемым посредством SMS-сообщения. Услуга становится все более популярной, и Commonwealth Bank of Australia отмечает, что 80 проц их клиентов используют токены для того, чтобы подтвердить платежи третьим лицам с помощью SMS или с помощью более надежных портативных генераторов ключей. Банк не заставляет клиентов использовать данную услугу, но те, кто не захочет пользоваться ей, не смогут производить операции с высокой степенью риска через Интернет-банк.
В прогнозе на 2011 г RSA отметила, что рассылка токенов посредством SMS сделает телефоны мишенью. Использование аутентификации с помощью SMS … как дополнительного средства
обеспечения безопасности, добавляет уязвимое место в мобильный канал, — сообщила компания в докладе.  Преступник может … провести телефонную атаку типа отказа в обслуживании, и мобильный телефон потребителя не будет работать. Сервис перенаправления SMS сообщений также становится привычным объектом для мошенников и дает им возможность перехватить /токен/, высланный банком на мобильный телефон пользователя, и перенаправить его на телефон киберпреступника.
Компания предсказала, что количество смишинг-атак и фишинга на мобильных телефонах, проводимого с помощью SMS, также увеличится в этом году. Количество успешных смишинг-атак больше, чем стандартных фишинг-атак, потому что потребители не ожидают получить спам на мобильный телефон и, скорее всего, поверят, что сообщение — законное.
Также сказано, что не существует эффективных технологий по предотвращению смишинга.

В России SMS-аутентификация это один из самых популярных способов аутентификации клиентов и подтверждения платежей, поэтому меня это сообщение очень заинтересовало и я обсудил его с коллегами, погруженными в предметную область. Резюмируя их мнение: на все смартфоны (за исключением невзломанного iPhone) можно незаметно для пользователя поставить программу, которая может перехватывать, перенаправлять, подменять или имтировать входящие и исходящие SMS-сообщения, но это не возможно на обычном мобильном телефоне.

Таким образом, SMS-аутентификация относительно безопасна на обычных мобильных телефонах, но не безопасна на смартфонах и должна применяться с ограничениями по сумме (чтобы не было экономической целесообразности заморачиваться с подкидыванием троянов на смартфон) и назначениями платежей (например, только платежи по пользовательским шаблонам)

Рубрики: Банковская розница | 9 комментариев »»»

Мобильный банк на iPhone

29.06.2010 от Andrew

Попалась интересная новость:

«Сбербанк» поручил юристам добиться удаления из AppStore сторонних SMS-клиентов для работы на смартфоне iPhone со своим мобильным банком.

Программы — SMS-клиенты для мобильного банкинга «Сбербанка» SberLite и SberPro — позволяли перечислять деньги операторам мобильной связи и интернет-провайдерам, а также переводить средства между счетами «Сбербанка» и получать выпуски о состоянии счета.

SberLite начала продаваться в сентябре 2009 г., а SberPro – в феврале 2010 г. Стоимость первой с течением времени менялась от $1 до $3, второй – составляла $5. Общее число закачек двух приложений составило 2260, за счет чего разработчикам удалось получить около $2,5 тыс. Приложения для мобильного банка не приносили прибыли. «Затраты на их поддержание превышали выручку, — рассуждает Назаренко. — И я считаю, что проект был выгоден скорее «Сбербанку», чем нам».

заинтересовало? »»»

Рубрики: Банковская розница | 1 уже не сдержался »»»

SMS- и мобильный банк

13.06.2009 от Andrew

Выложил статью «SMS- и мобильный банк: возможности и необходимость«, которая изначально писалась для книги «Дистанционное банковское обслуживание», что собирался выпустить в мае ЦИПСиР, но уже вышла в свежем номере украинского журнала Карт-бланш

Рубрики: Банковские карты | 2 комментария »»»

Мобильный банк от МТС

02.10.2008 от Andrew

МТС — молодцы (второй раз сегодня:)! По сути они сделали первый универсальный мобильный банк федерального масштаба.

С вчерашнего дня МТС запустил сервис МТС-Pay для владельцев любых международных банковских карт, который позволяет оплачивать не только услуги связи МТС, но и некоторые другие услуги. Для подключения к сервису необходимо заменить SIM-карту телефона и зарегистрировать в системе одну или несколько платежных карт (регистрация каждой карты платная и строится на холдировании случайной суммы). Каждая платежная операция через систему стоит 10 рублей. Операции осуществляются посредством SMS-сообщений и в роуминге, соответственно, еще дорожают.

По сути, теперь сотовый оператор конкурирует с банками: клиент получает выбор пользоваться ли для совершения текущих платежей интернет- или мобильным  банком своего эмитента или воспользоваться предложением МТС.

PS Интересно на базе транзакции какого типа идет авторизация, чтобы эмитент ее не отверг? Ни про какие ограничения в обслуживании по банку эмитенту или типу карт (например, исключения для VISA Electron, Cirrus/Maestro) не говорится.

PPS на мой взгляд за оплату собственного телефона комиссию могли бы и не взимать. А ведь возможность оплатить собственный телефон с телефона актуальна как раз в момент, когда баланс уже «ушел в минус».

Рубрики: Банковская розница, Банковские карты | 2 комментария »»»

Мы не ищем легких путей…

12.09.2008 от Andrew

вот это да!!Временами просто диву даешься как сложно люди решают простые задачи:

Крайне неудобно оказаться в чужой стране с выключенным мобильником. Пополнить же счет российских операторов мобильной связи, находясь за рубежом, – проблема. Приходится либо заранее вносить заведомо большую сумму, либо просить кого-то, оставшегося в России, заплатить за мобильную связь.

Теперь эта задача для абонентов Билайн, МТС и МегаФон решена. Крупнейшая в России платежная система CyberPlat («КиберПлат») и всемирно известная система денежных переводов Western Union, объединив усилия, дают возможность пополнять лицевые счета абонентов у любого из этих операторов. Эта операция может быть произведена в тех пунктах Western Union, в которых подключена услуга Quick Pay. Таких пунктов – более 170 000 в 150 странах мира (глобальная сеть Western Union включает в себя свыше 355 000 пунктов обслуживания).
заинтересовало? »»»

Рубрики: Банковская розница, Банковские карты | 2 комментария »»»

« Раньше