Некоторые аналитические издания, подводя итоги 2015 г. по вопросам информационной безопасности, отмечают, что в Российской Федерации через системы интернет-банкинга было похищено свыше 2,6 млрд руб. При этом применение «троянов» под операционную систему Android позволило «умыкнуть» у физических лиц 61 млн руб. Всего у физических лиц было украдено более 100 млн руб. Конечно, самый большой ущерб понесли юридические лица – 2 млрд руб. Также была новость об успешной атаке на биржевого брокера, ущерб которого превысил 5 млн долл. Курс в тот день колебался от 55 до 66 руб. за доллар.
К основным причинам реализации атак относятся проблемы с аутентификацией клиента и мониторингом действий. Не буду описывать принципы аутентификации клиентов банков в мобильном и клиент-банке. Все, кто пользуется, знакомы с ними. Отмечу, что классический механизм верификации клиентов в мобильном банке – SMS-верификация. Данный метод имеет существенный недостаток – дорого, неудобно и небезопасно. Уязвимость ОКС 7 позволяет реализовать перехват как внутри оператора связи, так и третьими лицами.
Одним из перспективных направлений является бимодальная верификация по голосу или/и лицу с помощью мобильного приложения. Клиент осуществляет вход в мобильный или клиент-банк с помощью бимодальной аутентификации, состоящей из проверки лица, голоса и/или по артикуляции и мимике. Подобная аутентификация для клиентов банка позволяет:
- упростить аутентификацию в мобильном банке;
- проводить верификацию клиента при совершении финансовых транзакций;
- упростить дистанционное обслуживание;
- предотвратить мошеннические действия;
- значительно повысить лояльность клиентов, упрощая для них множество процедур и повышая общую безопасность;
- проводить аутентификацию в информационных системах и обеспечивать дополнительную степень защиты при совершении критических операций.
Интересным направлением считается дистанционное обслуживание клиента с записью факта регистрации событий в blockchain. Это даст возможность организовать дистанционное обслуживание посредством мобильного или веб-приложения, позволяющего создавать цифровой контент (фото, видео, аудио) и подписывать его при помощи технологии blockchain для подтверждения авторства и времени создания контента. Есть возможность распознать паспорт клиента через камеру мобильного устройства с автоматическим занесением распознанных данных в договор, сверить фото клиента и фото в паспорте. Кроме того, система позволит при зачитывании текста договора клиентом проводить сверку речи с текстом.
Данное направление развивается в мире достаточно активно. Ждем соответствующих отечественных решений.
