В начале марта ЮниКредит Банк сообщил о появлении в мобильных приложениях банка технологии генерирования сеансовых ключей MobiPass, призванной повысить удобство и безопасность использования дистанционных каналов услуг. Портал Банки.ру выяснял, как работает эта технология и какие преимущества дает клиентам.
Об уязвимости передачи кодов подтверждения операции по СМС говорилось уже не раз. Они не имеют непосредственной привязки к реквизитам операции, относительно легко перехватываются и подмениваются злоумышленниками. Другой дешевый вариант доставки одноразовых кодов — скретч-карта — в целом безопаснее, но не так удобен. Ведь коды могут кончиться, а карту можно потерять.
Вместо этих классических методов подтверждения операций можно использовать различные более защищенные и удобные технологии, многие из которых требуют применения дорогостоящих аппаратных компонентов. Некоторые российские банки, использующие систему «ДБО BS-клиент» компании BSS, дают клиентам возможность создавать свои коды (сеансовые ключи) самостоятельно, у себя на мобильном устройстве. Такие возможности предоставляет технология MobiPass.
«В нашем банке технология MobiPass реализована в приложении для физических лиц. Для юридических лиц MobiPass не может использоваться в качестве основного средства аутентификации, поскольку по закону необходима усиленная подпись. В качестве дополнительного подтверждения операций юридических лиц мы используем коды на скретч-картах и СМС-пароли, и для их замены MobiPass использовать можно, но наш банк это пока не планирует», — говорит начальник отдела развития интернет- и мобильного банкинга «ЮниКредита» Елена Шальнова.
Ноу-хау ЮниКредит Банка состоит в том, что кредитная организация оснастила технологией MobiPass свои мобильные приложения. «В стандартном варианте MobiPass распространяется в виде отдельного приложения, — рассказывает Шальнова. — Когда клиент пользуется мобильным банкингом, ему приходится дважды переключаться с между приложениями, чтобы сформировать сеансовый ключ и вставить в документ. У нас же от клиента требуется минимум манипуляций: чтобы подтвердить документ, достаточно нажать кнопку, что гораздо быстрее и удобнее. В случае подтверждения документа в интернет-банке никакой разницы между отдельным приложением и нашим вариантом нет».
Чтобы воспользоваться MobiPass, клиент должен скачать и установить мобильное приложение (BSS MobiPass в случае «ДБО BS-клиент»). Причем, помимо версий для iOS и Android, есть вариант для Java MIDP 1.0, который подходит практически для любого современного телефона. После установки приложения пользователю нужно придумать персональный четырехзначный ПИН-код и ввести 32-значный секретный ключ, который ему выдает банк. Ключ поставляется четырьмя восьмизначными частями, которые для безопасности можно поставлять разными каналами (СМС, электронная почта, сообщение в системе интернет-банкинга, телефонный звонок и т. д.).
В дальнейшем, при необходимости подтвердить операцию в интернет- или мобильном банке, пользователю нужно ввести в мобильное приложение кодовое число (хэш-функцию подписи документа), которое соответствует созданному документу, и свой ПИН-код. Приложение MobiPass выдаст одноразовый ответный код, который зависит и от ПИН-кода, и от кодового числа. Этот код необходимо ввести в поле интернет-банка или приложения мобильного банка для подтверждения операции.
Несмотря на кажущуюся уязвимость перед мобильными троянцами, приложение MobiPass достаточно защищено. Во-первых, секретный ключ в прямом виде в нем не хранится — на него наложена битовая маска из ПИН-кода, заданного пользователем. Таким образом, приложение «не знает» правильный ключ — оно просто выдает ответный код при вводе любого ПИН-кода, а уже система банка разбирается, корректен ли этот код. Через несколько попыток ввода некорректного кода учетная запись пользователя будет блокирована.
Таким образом, MobiPass хорошо защищает от троянцев, подменяющих интерфейс интернет- или мобильного банка. В ситуации, когда вы создаете документ на оплату 100 рублей в адрес оператора мобильной связи, а вредоносная программа формирует документ на оплату 100 тыс. рублей в адрес «дяди Васи», создать правильное кодовое число без знания секретного ключа оно не сможет. Без правильного кодового числа корректный ответный код уже не получить.
Очевидным способом мошенничества в таком случае может быть внутренний фрод, когда сотрудник банка использует секретный ключ в своих целях. Однако в «ЮниКредите», как утверждает Елена Шальнова, этого опасаться не стоит: «Мы практически исключили возможность внутреннего фрода: при подключении клиента требуется дополнительная авторизация другим сотрудником, клиенту высылается СМС-оповещение при любом изменении настроек. И вообще весь процесс от подачи клиентом заявления до непосредственно подключения верифицирован с точки зрения безопасности».
Тем не менее возможна ситуация компрометации секретного ключа и со стороны пользователя: если вредоносное приложение обойдет систему самозащиты приложения MobiPass, отследит ПИН-код, введенный пользователем при выполнении корректной операции, то оно может узнать и секретный ключ. Потому обычных мер предосторожности (например, использования мобильного антивируса) избегать не следует.
Михаил ДЬЯКОВ, Banki.ru
Комментарии
Иными словами, как и в случае с перехватом СМС, достаточного самого тупого трояна в мобильном, подслушающего логин, пароль и пин. Ничего нового в плане безопасности.