Онлайн-банкинг сделал управление финансами клиентов намного проще и удобнее. Однако, возросшее за последние несколько лет количество кибератак в Украине, в особенности — атак на банки, заставляет беспокоиться по поводу безопасности учреждений и их клиентов. Кибератака — это не единственное, о чем стоит беспокоиться. Кража личных данных клиента и доступ к его учетной записи — очень актуальная проблема.
Поскольку мошенники и другие преступники стремятся получить доступ к учетным записям и опустошить счета пользователей, банки всего мира подвергаются тщательному анализу на предмет того, как они борются с такими атаками. И на то есть веская причина: в конце концов, если банк не может должным образом убедиться в том, что клиент тот, за кого себя выдает, то это вина банка. Как тогда банки могут гарантировать, что только клиенты могут получить доступ к своим счетам?
Донося до своих пользователей важность их данных и защищая процесс авторизации с помощью двухфакторной аутентификации от GMS.
Пароли и парольные фразы
Использование паролей является стандартом для любого процесса входа в систему в наши дни. Однако существуют различные уровни безопасности, с которыми вы должны ознакомить своих клиентов. Короткие пароли легко подобрать, используя два распространенных типа программ. Атаки “грубой силой” характерно топорны: это попытки угадывать случайные последовательности символов снова и снова, пока не найдется нужная (метод полного перебора). Перебор по словарю использует список часто используемых слов, чтобы произвести взлом быстрее.
Добросовестные компании обязывают пользователей включать в свои пароли цифры и символы, чтобы затруднить эти атаки. Однако, хотя такие пароли и затрудняют запоминание собственного пароля для пользователя, у взломщика они отнимают ненамного больше времени. На практике, перебор по словарю часто учитывает популярные замены символов (0 вместо o, 1 или! Вместо i и так далее), чтобы обойти такую защиту.
Поэтому лучше применять более длинный пароль, даже если он использует только строчные буквы, чем использовать легко запоминающееся слово и добавлять несколько дополнительных символов. Просто потому, что программе придется потратить больше времени на его подбор. Идеально — сочетание трех-четырех случайных слов в парольной фразе (иногда называемой схемой XKCD, по названию комикса бывшего инженера НАСА Рэндалла Манро). Более того, их легче запомнить, чем все эти числа и замены символов.
Когда угроза безопасности — сам пользователь
К сожалению, пароли и парольные фразы все еще не гарантируют надлежащей кибербезопасности. Это связано с главной проблемой в любой компьютерной системе, которая существует где-то между клавиатурой и креслом: людьми.
Люди ужасно небрежно придерживаются мер безопасности: делятся паролями, записывают их, выбирают неслучайные комбинации, и — о ужас! — используют один и тот же пароль на нескольких сайтах. Последняя проблема особо распространена. Вот почему после каждой утечки данных на важном веб-сайте пользователям рекомендуется менять пароли для всех других сайтов: есть вероятность, что скомпрометированный пароль повторно использовали в другом месте, и теперь все их учетные записи потенциально уязвимы. Вы должны предполагать, что ваши клиенты поступают так же — не думайте, что они в безопасности, потому что вы запрашиваете пароль.
Перечисленные выше проблемы приходят на ум еще до того, как мы вспомним про мошенничество и фишинг — махинации (зачастую — весьма изощренные), предназначенные для получения паролей клиентов. Например: электронные письма, содержащие ссылку на сайт, похожий на действующий сайт банка пользователя, на котором клиента просят войти в систему. К более грубым формам относятся звонки, в ходе которых кто-то, притворяющийся сотрудником банка просит клиента назвать пароль, чтобы “подтвердить свою личность”. На удивление, это срабатывает. В любом случае, мошенник теперь знает пароль клиента и может получить доступ к его учетной записи.
Двухфакторная аутентификация
Одним из наиболее эффективных способов обеспечения безопасности клиентов и их учетных записей является подключение еще одного средства идентификации помимо пароля. Но не все методы одинаково хороши. Автор блога по кибербезопасности и журналист Брайан Кребс был в ужасе, когда понял, что некоторые американские банки на полном серьезе рассматривают имена пользователей в качестве второго фактора аутентификации. Особенно учитывая, что многие повторно используют свое имя пользователя на разных сайтах — или просто используют свою электронную почту, реальное имя или другую легкодоступную информацию. Все эти данные вряд ли являются секретом, не говоря уже о том, чтобы служить отдельным фактором защиты.
Но что такое «фактор аутентификации»? Это одно из трех: что-то, что пользователь знает, что-то, что у него есть, или кто-то, кем он является. Пароль и имя пользователя — это то, что пользователь знает, и оба могут быть угаданы. Безопаснее использовать как минимум два разных фактора. Банки на самом деле уже знают это: они используют форму двухфакторной аутентификации, когда требуют, чтобы клиенты использовали и карту (что-то, что у них есть), и пин-код (что-то, что они знают), чтобы снять деньги в банкомате.
Что-то, что есть у большинства клиентов, это мобильный телефон. При этом, 79% людей держат его под рукой по меньшей мере 22 часа в сутки. Портативность наших телефонов также делает нас более осведомленными о том, где они находятся — мы лучше следим за ними и блокируем их чаще, чем наши домашние компьютеры. Более того, один мобильный банк использует это как доказательство того, что мобильный банкинг по своей сути безопасен.
Мобильные телефоны также могут быть заблокированы с помощью кода, рисунка или — все чаще — с помощью биометрической защиты, такой как распознавание лиц или отпечатков пальцев. Если предположить, что устройство будет потеряно или украдено, разблокировать его будет по-прежнему трудно, что делает его удобным и безопасным способом аутентификации попыток доступа к учетной записи клиента.
Как это работает?
Принцип работы любой системы двухфакторной аутентификации (2FA) заключается в том, что пользователь сначала представляет первый фактор идентификации, в результате чего получает запрос предоставить второй. Только после того, как будет предоставлен второй фактор аутентификации, система выдаст желаемый результат. Например, если вставить банковскую карту в банкомат, деньги не будут выданы, пока не будет введен PIN-код. Пользователям, которые используют систему Google 2FA, при входе в свою учетную запись на новом устройстве будет предложено подтвердить свою личность с помощью SMS или приложения.
Решение от GMS работает аналогично системе Google. Однако вместо SMS с кодом в теле сообщения, которое может прочесть хакер, получивший удаленный доступ к телефону, GMS делает звонок пользователю. Последние четыре цифры (которые могут определяться случайным образом при каждом вызове) образуют код авторизации, который пользователю будет предложено ввести, подтверждая, что телефон у него при себе. Если клиент не является лицом, пытающимся войти в учетную запись, он получит пропущенный вызов, предупреждающий о попытке вторжения и не дающий злоумышленнику продолжить работу.
- Киент получает входящий звонок с номера +38089123 XXXX.
- Клиент вводит код авторизации, обозначенный числами, заменяющими XXXX (комбинация может быть случайной или выбранной банком).
- Доступ подтвержден.
- В качестве дополнительного сервиса GMS может настроить IVR-авторизацию.
Реализация этого решения довольно гибкая. Наиболее безопасной моделью является использование системы 2FA при каждом входе пользователя в систему. Однако похоже, что многие банки США и Великобритании считают это слишком сложно реализуемым и чрезмерно навязчивым для клиентов ради простого доступа к балансам и выпискам. Немногие внедрили надлежащую 2FA, к большому удивлению сообщества информационной безопасности и организаций по защите прав потребителей (которые представляют тех самых людей, что и банки, по собственному мнению, спасают от обременительных процедур входа в систему).
Возможно, менее навязчивым, но, несомненно, менее безопасным методом будет запрашивать 2FA только для крупных транзакций или переводов, или когда перевод впервые производится на незнакомый счет. В обоих сценариях — при первом входе в систему или во время транзакций с высокой стоимостью — 2FA добавляет уровень защиты клиента помимо пароля.
Как высказалась одна организация по защите прав потребителей: «Лучшим банкам… удается использовать двухфакторную аутентификацию, не делая ее слишком обременительной для клиентов, поэтому у остальных нет оправданий для того, чтобы жертвовать безопасностью». И, как мы показали, готовое решение от GMS легко реализуется и не требует дополнительного оборудования — только номер телефона клиента.
Многоуровневая защита
Обеспечение безопасности банков и их клиентов — сложная задача. Не существует единого решения или технологии, которая сделает учреждение полностью защищенным. Банки нуждаются в многоуровневом подходе, который учитывает внутренние процессы, физическую безопасность и защиту идентификационных данных клиентов. Однако, как мы убедились ранее, даже учреждениям на предположительно хорошо развитых рынках, где достаточно давно известны лучшие практики кибербезопасности, не хватает базовых процедур безопасности. В этом банки отстают от своих коллег в других отраслях — даже видеоигры используют преимущества 2FA для защиты учетных записей своих пользователей.
Банкам стоило бы идти в авангарде, чтобы не казаться легкими мишенями, и заставить злоумышленников попытать счастья в другом месте. Чтобы обеспечить безопасность клиентов, вы должны информировать их о важности надежного пароля (и предлагать время от времени менять его) и внедрить решение 2FA, чтобы быть вдвойне уверенными, что только клиенты могут получить доступ к своим учетным записям.
GMS предлагает безопасную и надежную 2FA для всех представителей банковской сферы. Узнайте, как мы можем помочь вашему банку уже сегодня.