Безопасно — не всегда значит неудобно. Исследователи Markswebb совместно со специалистами из SafeTech оценили лучшие практики мобильных банков с точки зрения сохранности данных и безопасности транзакций. Рассказывают Дарья Верестникова, коммерческий директор компании SafeTech (на фото слева) и Анастасия Долгова, ведущий UX-исследователь Markswebb (на фото справа):

Развитие клиентского опыта в мобильных банках часто ограничено необходимостью находить компромисс между удобством и требованиями безопасности. Банки стремятся сделать свои приложения такими же удобными, как популярные цифровые сервисы, но не все UX-решения, которые уже являются стандартом в других отраслях, могут использоваться в мобильных банках из-за более высоких стандартов защиты — эти приложения имеют прямой доступ к деньгам и личным данным клиентов.

В рамках исследования Mobile Banking Rank 2020 исследователями Markswebb был описан ряд передовых практик по управлению персональными данными и транзакциями, а специалисты компании SafeTech, разработчика решений для защиты систем дистанционного банкинга и электронного документооборота, оценили их безопасность. Этот материал — результат совместного анализа экспертов двух компаний. Он дает возможность разработчикам мобильных банков понять, как предоставить клиентам удобное приложение и при этом обеспечить защиту от злоумышленников.

Первый вход по номеру карты и SMS-коду привычен, но недостаточно надежен

Регистрация в мобильном банке и первый вход в приложение — важный этап пользовательского пути и дополнительный инструмент вовлечения. Передовые банки уже осваивают это пространство, упрощая идентификацию на входе и предлагая клиентам опыт, сравнимый по удобству с регистрацией в интернет-магазине или социальной сети. При этом использование привычных в других цифровых сервисах идентификаторов для входа в мобильный банк небезопасно: пара логин-пароль может быть украдена, мобильный телефон клиента утерян и так далее. Поэтому для большей безопасности банк всегда проверяет клиента минимум по двум каналам.

Мы считаем, что лучший опыт дают банки, которые предлагают клиенту зарегистрироваться в приложении по номеру карты и SMS-коду, который придет на телефон, указанный при оформлении продукта. Это удобно для клиента и при этом проверяются два канала взаимодействия — карта выдана в банке, а телефон для SMS в руках у клиента. В ситуациях, когда номер карты не под рукой, можно предложить вариант входа по номеру счета с SMS-подтверждением, как это делает Альфа-Банк.

В приложении Альфа-Банка есть регистрация и по номеру карты, и по номеру счёта с SMS-подтверждением

Однако с точки зрения безопасности такой вариант регистрации в приложении имеет изъяны. Номер банковской карты — важный реквизит, который стремятся получить мошенники. Клиент может по недосмотру установить «фейковое» приложение, либо перейти на «фишинговую» страницу и ввести номер карты. Одноразовый SMS-код также достаточно легко перехватывается с помощью «фейкового» приложения или методов социальной инженерии. Иными словами, все, что фактически передается, показывается и потом вводится клиентом (номер карты, логин-пароль, SMS-код и пр.), можно либо перехватить, либо выманить обманным путем.

Поэтому на данный момент банки определяют способ регистрации по номеру карты и SMS-коду, как компромиссный, предлагая прямые ссылки на свои приложения и стараясь повышать квалификацию клиентов в области информационной безопасности.

Более безопасно использовать для идентификации то, что есть у клиента, но сложно или невозможно передать голосом или перехватить. Например, вместе с документами по продукту клиенту можно выдавать QR-код для активации приложения. Но это не очень удобно для массового сегмента.

Мы ожидаем, что в ближайшей перспективе банки начнут применять дополнительные технологии проверки личности при первом входе. Это обязательное liveness detection (определение, что перед камерой телефона живой человек) и сравнение фото этого самого человека с изображением на паспорте, сохраненным в банке. Для клиента это, конечно, изменение привычного шаблона поведения, но данный способ все же будет простым и понятным, а уровень безопасности при этом значительно повышается.

Подтверждение операций должно осуществляться при помощи электронной подписи с Touch ID и Face ID

При ежедневной работе с мобильным банком важно дать клиенту простые и удобные инструменты для всех операций, при этом необходимо обеспечить контроль авторства и целостности всех распоряжений, переданных в банк. Недостаточная проработка этих факторов приведет к расходам: либо к косвенным (клиент не будет пользоваться приложением), либо к прямым (клиент оспорит транзакцию). Также пользователь может потерять деньги из-за действий мошенников, которые смогут исполнить переводы от его имени.

Большинство банков требуют подтверждать операции, которые совершает пользователь, при помощи одноразовых кодов, передаваемых в Push или SMS. Но эти способы имеют большие проблемы: коды не доходят, если нет связи, их приходится вводить вручную, а с технической точки зрения перехватить Push или SMS – легко решаемая задача.

Самый небезопасный способ – подтверждать операцию с помощью постоянного пароля, который передается в банк вместе с транзакцией по каналам связи. Особенно, если это тот же пароль используется для входа в мобильное приложение (код из 4-5 цифр). Как показало исследование Mobile Banking Rank 2020, в ряде приложений мобильного банкинга такие практики все еще сохраняются.

Некоторые банки просто отключают механизмы подтверждения, называя «электронной подписью» идентификатор сессии, в которой работает пользователь. Это противоречит нормативным документам ЦБ (например, Положение Банка России № 683-П, в котором есть требование «контроля авторства и целостности платежных документов»). Такая «подпись» может быть легко оспорена клиентом, о чем свидетельствует судебная практика. Если банк готов пойти на этот риск, то лучше установить лимиты на транзакции без подтверждения, например, до 5000 рублей для частных лиц и до 15000 рублей для юридических.

Безопасное и юридически «чистое» подтверждение должно основываться на следующих правилах:

1. Подтверждение («электронная подпись») формируется в смартфоне клиента и позволяет контролировать авторство и целостность операции;

2. Никто, кроме клиента, не имеет возможности сформировать такое же подтверждение;

3. Банк имеет возможность только проверить, что подтверждение верно;

4. Приложение может сформировать подтверждение только после аутентификации в нем клиента (отпечаток пальца/Face ID).

С точки зрения пользователя, это должно выглядеть как простое предъявление отпечатка пальца или распознавание по Face ID в смартфоне. При этом очень важно понимать, что сами по себе эти технологии аутентификации не формируют подпись транзакции, а являются своего рода «замком», который открывает доступ к функциям подтверждения. Иначе это создает лишь видимость безопасности при ее полном отсутствии.

Если же механизмы подтверждения внутри приложения реализованы правильно, то подтверждение отпечатком пальца или Face ID — лучшая и одна из самых безопасных практик.

В приложении Россельхозбанка пользователь подтверждает операции при помощи Touch ID

В отображении реквизитов карт CVC-код безопасно показывать отдельно

Пользователи все реже обращаются к пластиковым картам, в том числе и во время онлайн-оплаты покупок. Лидеры рынка уже позволяют посмотреть реквизиты карты в приложении: номер карты, срок действия, имя владельца и CVV/CVC-код. Однако сам доступ к этим данным сопряжен с риском их утечки. Поэтому стандартами Payment Card Industry Data Security Standard и Payment Application Data Security Standard категорически запрещено хранить в приложении CVV/CVC-коды.

Чтобы найти компромисс между безопасностью и удобством, банки отображают реквизиты карты только при условии, если клиент подтвердит действие, как любую другую транзакцию (SMS, Push, отпечаток пальца, Face ID). Для большей безопасности приложения показывают CVV/СVС-код в отдельном окне, что исключает возможность сделать скриншот со всеми платежными реквизитами.

Банк Хоум Кредит показывает данные карты так, чтобы нельзя было увидеть все реквизиты на одном экране

Изменение персональных данных в мобильном банке безопаснее подтверждать с помощью фото

Данные владельца счета — крайне важная сущность. Их несанкционированное или ошибочное изменение может привести к серьезным проблемам, поэтому банк обязан обеспечить высочайший уровень защиты всех операций с ними. Наиболее безопасный способ изменить данные о владельце счета – личная встреча с менеджером банка. Но он максимально неудобен и затруднен в условиях пандемии.

Варианты удаленного изменения можно условно разделить по уровню безопасности:

1. Самый рисковый вариант — подтверждение SMS/Push-кодами. Они легко перехватываются и не обеспечивают авторство и целостность операции, поэтому риски кражи денег, а также успешного оспаривания клиентом этих действий — максимальные.

2. Если для подтверждения операций банк использует технологии электронной подписи, которая формируется на смартфоне и подтверждается отпечатком пальца или Face ID, то процедура удаленной смены личных данных становится гораздо менее рискованной.

3. Максимально защищенный вариант на данный момент — сочетание технологий электронной подписи и биометрии. Но это потребует от клиента дополнительных действий для liveness detection — например, сделать «селфи» в момент операции. Это делает процесс смены данных чуть более громоздким, но даёт действительно высокий уровень безопасности.

Из реализованных на сегодняшний день мы считаем лучшим решение, сочетающее ввод кода из SMS и прикрепление фотографии паспорта или селфи с паспортом. Подобную практику показывает мобильное приложение Банка Ренессанс Кредит.

Банк Ренессанс Кредит подтверждает смену паспортных данных с помощью приложенного фото и SMS-кода

Для смены паспортных данных не нужно заполнять формы вручную – достаточно прикрепить фотографии или сканы нескольких страниц паспорта. На последнем этапе обновления паспортных данных клиенту необходимо подтвердить свое намерение кодом из SMS.

Появление новых технологий в будущем поможет решить много пользовательских проблем: применение liveness detection поможет успешно бороться с фродом, а распространение Единой Биометрической Системы сделает более надежной дистанционную идентификацию пользователей для целей банковского обслуживания.

Однако, как показывают лучшие практики банков, самым уязвимым звеном в системе безопасности все еще является сам человек. Потому важной составляющей безопасности мобильных банков еще долго будет оставаться образовательная работа с пользователями и повышение их квалификации. Клиент, имеющий хотя бы базовые представление об информационной безопасности, в меньшей степени подвержен методам социальной инженерии и, значит, его активность сопряжена с меньшими рисками для самого банка.