Как сделать мобильный банк безопаснее, не жертвуя удобством

Развитие клиентского опыта в мобильных банках часто ограничено необходимостью находить компромисс между удобством и требованиями безопасности. Банки стремятся сделать свои приложения такими же простыми, как популярные цифровые сервисы, но не все UX-решения, которые уже являются стандартом в других отраслях, могут использоваться в мобильных банках из-за более высоких стандартов защиты — эти приложения имеют прямой доступ к деньгам и личным данным клиентов.

В рамках исследования Mobile Banking Rank 2020 мы нашли ряд передовых практик по управлению персональными данными и транзакциями и совместно с компанией SafeTech, разработчиком решений для защиты систем дистанционного банкинга и электронного документооборота, оценили их безопасность. Этот материал дает возможность разработчикам мобильных банков понять, как предоставить клиентам удобное приложение и при этом обеспечить защиту от злоумышленников.

Первый вход по номеру карты и SMS-коду привычен, но недостаточно надежен

Регистрация в мобильном банке и первый вход в приложение — важный этап пользовательского пути и дополнительный инструмент вовлечения. Передовые банки уже осваивают это пространство, упрощая идентификацию на входе и предлагая клиентам опыт, сравнимый по удобству с регистрацией в интернет-магазине или социальной сети. Но использование в мобильном банке идентификаторов, привычных в других цифровых сервисах, небезопасно: пара логин-пароль может быть украдена, смартфон клиента утерян и так далее. Поэтому для большей безопасности банк всегда проверяет клиента минимум по двум каналам.

Мы считаем, что лучший опыт дают цифровые сервисы, которые предлагают клиенту зарегистрироваться в приложении по номеру карты и SMS-коду, который придет на телефон, указанный при оформлении продукта. Это удобно для клиента и проверяются два канала взаимодействия — карта выдана в банке, а телефон для SMS в руках у клиента. В ситуациях, когда номер карты не под рукой, можно предложить вариант входа по номеру счета с SMS-подтверждением, как это делает Альфа-Банк.

В приложении Альфа-Банка есть регистрация и по номеру карты, и по номеру счёта с SMS-подтверждением.

Однако с точки зрения безопасности и такой вариант регистрации в приложении имеет изъяны. Номер банковской карты — важный реквизит, который стремятся получить мошенники. Клиент может по недосмотру установить «фейковое» приложение, либо перейти на «фишинговую» страницу и ввести номер карты. Одноразовый SMS-код также достаточно легко перехватывается с помощью «фейкового» приложения или методов социальной инженерии. Иными словами, все, что фактически передается, показывается и потом вводится клиентом (номер карты, логин-пароль, SMS-код и пр.), можно либо перехватить, либо выманить обманным путем.

Поэтому на данный момент банки определяют способ регистрации по номеру карты и SMS-коду, как компромиссный, предлагая прямые ссылки на свои приложения и стараясь повышать квалификацию клиентов в области информационной безопасности.

Более безопасно использовать для идентификации то, что есть у клиента, но сложно или невозможно передать голосом или перехватить. Например, вместе с документами по продукту клиенту можно выдавать QR-код для активации приложения. Но это не очень удобно для массового сегмента.

Мы ожидаем, что в ближайшей перспективе банки начнут применять дополнительные технологии проверки личности при первом входе. Это обязательное liveness detection (определение, что перед камерой телефона живой человек) и сравнение фото клиента с изображением на паспорте, сохраненным в банке. Для пользователя это, конечно, изменение привычного шаблона поведения, но данный способ все же довольной простой и понятный, а уровень безопасности при этом значительно повышается.

Подтверждение операций должно осуществляться при помощи электронной подписи с Touch ID и Face ID

При ежедневной работе с мобильным банком важно дать клиенту простые и удобные инструменты для всех операций, при этом необходимо обеспечить контроль авторства и целостности всех распоряжений, переданных в банк. Недостаточная проработка этих факторов приведет к расходам: либо к косвенным (клиент не будет пользоваться приложением), либо к прямым (клиент оспорит транзакцию). Также пользователь может потерять деньги из-за действий мошенников, которые смогут исполнить переводы от его имени.

Большинство банков требуют подтверждать операции, которые совершает пользователь, при помощи одноразовых кодов, передаваемых в push-сообщениях или через SMS. Но эти способы имеют большие проблемы: коды не доходят, если нет связи, их приходится вводить вручную, а с технической точки зрения перехватить push или SMS — легко решаемая задача.

Самый небезопасный способ — подтверждать операцию с помощью постоянного пароля, который передается в банк вместе с транзакцией по каналам связи. Особенно, если это тот же пароль используется для входа в мобильное приложение (код из 4-5 цифр). Как показало исследование Mobile Banking Rank 2020, в ряде приложений мобильного банкинга такие практики все еще сохраняются.

Некоторые банки просто отключают механизмы подтверждения, называя «электронной подписью» идентификатор сессии, в которой работает пользователь. Это противоречит нормативным документам ЦБ (например, Положению Банка России № 683-П, в котором есть требование контроля авторства и целостности платежных документов). Такая подпись может быть легко оспорена клиентом, о чем свидетельствует судебная практика. Если банк готов пойти на это, то риск больших потерь можно снизить, установив лимиты на транзакции без подтверждения, например, до 5000 рублей для частных лиц и до 15000 рублей для юридических.

Безопасное и юридически «чистое» подтверждение должно основываться на следующих правилах:

1. Подтверждение («электронная подпись») формируется в смартфоне клиента и позволяет контролировать авторство и целостность операции;
2. Никто, кроме клиента, не имеет возможности сформировать такое же подтверждение;
3. Банк может только проверить, что подтверждение верно;
4. Приложение может сформировать подтверждение только после аутентификации в нем клиента (отпечаток пальца/Face ID).

С точки зрения пользователя, это должно выглядеть как простое предъявление отпечатка пальца или распознавание по Face ID в смартфоне. При этом очень важно понимать, что сами по себе эти технологии аутентификации не формируют подпись транзакции, а являются своего рода «замком», который открывает доступ к функциям подтверждения. Иначе это создает лишь видимость безопасности при ее полном отсутствии.

Если механизмы подтверждения внутри приложения реализованы правильно, то подтверждение отпечатком пальца или Face ID — лучшая и одна из самых безопасных практик.

В приложении Россельхозбанка пользователь подтверждает операции при помощи Touch ID.

В отображении реквизитов карт CVC-код безопасно показывать отдельно

Пользователи все реже обращаются к пластиковым картам, в том числе и во время онлайн-оплаты покупок. Лидеры рынка уже позволяют посмотреть реквизиты карты в приложении: номер карты, срок действия, имя владельца и CVV/CVC-код. Однако сам доступ к этим данным сопряжен с риском их утечки. Поэтому стандартами Payment Card Industry Data Security Standard и Payment Application Data Security Standard категорически запрещено хранить в приложении CVV/CVC-коды.

Чтобы найти компромисс между безопасностью и удобством, банки отображают реквизиты карты только при условии, если клиент подтвердит действие, как любую другую транзакцию (SMS, push, отпечаток пальца, Face ID). Для большей безопасности приложения показывают CVV/СVС-код в отдельном окне, что исключает возможность сделать скриншот со всеми платежными реквизитами.

Банк Хоум Кредит показывает данные карты так, чтобы нельзя было увидеть все реквизиты на одном экране.

Изменение персональных данных безопаснее подтверждать с помощью фото

Данные владельца счета — крайне важная сущность. Их несанкционированное или ошибочное изменение может привести к серьезным проблемам, поэтому банк обязан обеспечить высочайший уровень защиты всех операций с ними. Наиболее безопасный способ изменить данные о владельце счета — личная встреча с менеджером банка, но он максимально неудобен и затруднен в условиях пандемии.

Варианты удаленного изменения можно условно разделить по уровню безопасности:

1. Самый рисковый вариант — подтверждение SMS/push-кодами. Они легко перехватываются и не обеспечивают авторство и целостность операции, поэтому риски кражи денег, а также успешного оспаривания клиентом этих действий — максимальные.
2. Если для подтверждения операций банк использует технологии электронной подписи, которая формируется на смартфоне и подтверждается отпечатком пальца или Face ID, то процедура удаленной смены личных данных становится гораздо менее рискованной.
3. Максимально защищенный вариант на данный момент — сочетание технологий электронной подписи и биометрии. Но это потребует от клиента дополнительных действий для liveness detection — например, сделать «селфи» в момент операции. Это делает процесс смены данных чуть более громоздким, но даёт действительно высокий уровень безопасности.

Из реализованных на сегодняшний день мы считаем лучшей практику, сочетающую ввод кода из SMS и прикрепление фотографии паспорта или селфи с паспортом. Подобную практику показывает мобильное приложение Банка Ренессанс Кредит.

Банк Ренессанс Кредит подтверждает смену паспортных данных с помощью приложенного фото и SMS-кода.

Для смены паспортных данных не нужно заполнять формы вручную — достаточно прикрепить фотографии или сканы нескольких страниц паспорта. На последнем этапе обновления паспортных данных клиенту необходимо подтвердить свое намерение кодом из SMS.

Появление новых технологий в будущем поможет решить много пользовательских проблем: применение liveness detection поможет успешно бороться с фродом, а распространение Единой Биометрической Системы сделает более надежной дистанционную идентификацию пользователей для целей банковского обслуживания.

Однако, как показывают лучшие практики банков, самым уязвимым звеном в системе безопасности все еще является сам человек. Потому важной составляющей безопасности мобильных банков еще долго будет оставаться образовательная работа с пользователями и повышение их квалификации. Клиент, имеющий хотя бы базовые представление об информационной безопасности, в меньшей степени подвержен методам социальной инженерии и, значит, его активность сопряжена с меньшими рисками для самого банка.

Подготовлено для NBJ