Кажется, только что немцы с большим трудом привыкли заниматься банковским делом из дома на компьютере, преодолев недоверие к интернет-банкингу, как они уже стоят на следующем этапе развития — мобильный банкинг, используя свои смартфоны в качестве кассового окна. Для многих смартфонов достаточно отпечатка пальца, чтобы открыть интерфейс пользователя. Но насколько безопасен мобильный банкинг, и о чем должны знать потребители?
Конкуренция
Причина проста. В частности, в условиях конкуренции за молодых клиентов банковский сектор в настоящее время сталкивается с ожесточенной борьбой. Символ для этого — N26. До 2016 года так называемый «Финтех» торговал под номером 26 и с тех пор имеет собственную банковскую лицензию. Товарным знаком этого банка является управление счетом на смартфоне. Помимо всего прочего, N26 сообщает о том, что вы можете открыть текущий счет на смартфоне в течение восьми минут.
Банковское дело становится проще
Крупные банки, такие как ING-DiBa или Comdirect в частности, а также сберегательные кассы, стремительно развиваются в этом направлении. «Наши клиенты могут сканировать счета с помощью нашего приложения. Программа идентифицирует IBAN, получателя и сумму счета в счете-фактуре и создает на его основе транзакцию, в рамках которой клиенту больше не нужно будет вручную вводить 22 буквы или цифры IBAN», — объясняет Мартен Аренс из Comdirect.
Другим примером является интересная функция Kwitt в приложении Sparkassen und Volksbanken. Эта программа ориентирована на молодежь. С Kwitt клиент банка имеет возможность перевести деньги друзьям и знакомым со своего смартфона без необходимости вводить IBAN. Все, что ему нужно сделать, это нажать на контакты в своем смартфоне. Когда счет должен быть оплачен после праздничного вечера с друзьями в ресторане, только один платит. Остальные переводят свою долю в течение нескольких секунд одним касанием пальца на своем мобильном телефоне. Это позволяет достигать суммы в 30 евро даже при отсутствии TAN.
Сложная концепция безопасности
Звучит неплохо. Но насколько безопасен мобильный банкинг? Какие риски берут на себя клиенты банка, переводя деньги со своего смартфона на автобусной остановке перед очередным автобусом или лифтом? Что они должны сделать, чтобы обезопасить свои мобильные телефоны от кибератак?
Классический онлайн-банкинг работает следующим образом: каждый, кто переводит деньги на свой компьютер через Интернет, получает номер транзакции (TAN), с помощью которого он разрешает перевод на свой компьютер. Обычно он получает TAN на свой смартфон — либо по SMS, либо в виде фото TAN. Но эта двухканальная процедура, т.е. разделение банковских операций и доступа к ТАН, на самом деле не работает в мобильном банкинге, где все происходит на смартфоне.
Только сберегательные кассы пытаются сохранить двухканальную процедуру в мобильном банкинге. Для этого они работают с двумя приложениями. В дополнение к собственно сберегательному приложению для банковских операций, они предлагают так называемое S-pushTAN-приложение. Это означает, что клиент получает TAN, необходимый для передачи данных, отдельно через приложение pushTAN. Этот TAN может быть либо переведен вручную в текущее банковское приложение, либо автоматически перенесен из него. Только в этом случае возможна сделка.
Новая архитектура безопасности
N26 использует многоуровневую концепцию безопасности: «Первый шаг — это привязка смартфона к учетной записи. Для этого устройство зарегистрировано у нас», — объясняет Георг Хауэр из N26. Клиент, имеющий пароль к своему счету, получает код ссылки из банка в виде SMS-сообщения. Если смартфон зарегистрирован, пользователю придется войти в приложение N26 позже. Это можно сделать либо с помощью пароля, либо с помощью отпечатка пальца. С устройствами Apple он также работает с функцией распознавания лиц.
Для совершения реальной операции, например, банковского перевода, клиенту нужен PIN-код операции, который он сам заранее определяет. Георг Хауэр объясняет: «Вы можете сравнить это с PIN-кодом, который вы используете при снятии денег в банкомате. N26 также имеет четвертый уровень безопасности. Мы посылаем нашим клиентам уведомления о каждом движении по счету». Клиент получает сообщение о том, что, например, со счета списано 100 евро на оплату товара. Если он не знает об этом движении по счету, он может немедленно возразить против списания.
Пока никаких претензий
Федеральное управление по информационной безопасности (BSI), напротив, скептически настроено. Здесь утверждают: «Когда речь идет о мобильном банкинге, мы считаем, что осторожность — это в порядке вещей». Тот факт, что связь с банком осуществляется не через два отдельных аппаратных компонента, является слабым местом с точки зрения BSI.
На самом деле, атаки на смартфоны в любом случае будут осуществляться реже с помощью тайно устанавливаемого вредоносного ПО. В повседневной жизни старая добрая фишинговая почта, используемая для перехвата учетных записей и паролей, представляет собой гораздо большую опасность.
Охрана
Кристиан Фрич из ING-DiBa комментирует: «Мы знаем, что некоторые клиенты совершают ошибки при использовании нашего приложения на своем смартфоне. Но у нас никогда не было случая повреждения, при котором третья сторона могла бы получить доступ к счету клиента через брешь в безопасности приложения».
Если вы пользуетесь банковским приложением ING-DiBa, то сначала вам необходимо зарегистрироваться в банке, аналогично N26, и подключить к смартфону. Это означает, что приложение работает только на этом устройстве. Для совершения транзакций клиенту необходимо войти в приложение с помощью пятизначного мобильного PIN-кода, отпечатка пальца или сканирования лица. При входе в аккаунт банк проверяет, авторизовано ли на этот смартфон и приложение.
Отпечатки пальцев и Ко
Биометрические процедуры, такие как сенсорный идентификатор (отпечаток пальца) или сканирование лица, позволяют предположить, что мобильный банкинг является безопасным. Но так ли это? Отпечаток пальца, сохраненный на смартфоне, является не более чем сохраненным файлом. Кристиан Фрич поясняет: «Для идентификации отпечатка пальца мы используем технологию, которую предлагает Apple, среди прочего. Это не имеет ничего общего с нашей собственной архитектурой безопасности. Если бы Apple взломала операционную систему iOS, это была бы атака на Apple. Это означает, что хакер атакует не наш банк, а Apple по всему миру».
Нет необходимости в дополнительной защите
Тот факт, что ни N26, ни ING-DiBa, ни Comdirect не требуют от своих клиентов наличия антивирусного сканера на смартфонах, показывает их уверенность в себе. «В отличие от традиционного интернет-банкинга, когда клиент заходит на наш сайт через сторонний браузер, мобильный банкинг использует наше специально разработанное приложение, включая механизмы его защиты», — объясняет Мартен Аренс из Comdirect.
Представитель BSI подтверждает, что банки в мобильном банкинге действительно имеют возможность выявлять атаки на свои приложения и реагировать на них. Однако еще слишком рано давать оценку этим оборонным стратегиям в долгосрочной перспективе.
Ведь все три банка просто рекомендуют своим клиентам поддерживать операционную систему на своих смартфонах в актуальном состоянии. Это связано с тем, что некоторые банки больше не поддерживают старые версии операционной системы, так как здесь могут возникать пробелы в безопасности. «Мы отключаем наше банковское приложение на смартфонах со старыми операционными системами, такими как Android 4.0, чтобы защитить клиентов», — объясняет Кристиан Фрич.
Заключение
Рано или поздно не обойтись без мобильного банкинга. Но если вам не нужен ежедневный доступ к вашему счету, вы должны сначала получить дозу этого вида банковских операций. В качестве введения мы рекомендуем опробовать банковское приложение только для простых запросов баланса счета. Операции, которые должны быть авторизованы, не должны осуществляться до более позднего времени.
Подведем итоги основных достоинств и недостатков.
Плюсы:
Гибкость. С помощью смартфона клиент банка всегда и везде является хозяином своего банковского счета. Любой, кто вдруг вспомнит у лифта, что еще не оплатил счет своего стоматолога, может, в крайних случаях, сделать это со смартфона сразу между первым и пятнадцатым этажами.
Удобство. Большинство банковских приложений предлагают сервисные функции, которые облегчают банковскую деятельность. Передача фотографий используется особенно часто.
Время реакции. Если вы владеете ценными бумагами, может быть, важно быстро реагировать на изменения на фондовом рынке. Если цена ценной бумаги падает, клиент также может продать ее на пляже во время отпуска — или купить ее дешево наоборот.
Приложения для безопасного банковского обслуживания — это программы, разработанные и контролируемые самими банками. Попытка манипулирования приводит к отключению приложения банком. Если при движении по счету банк отправляет электронное письмо или SMS-сообщение, клиент может немедленно возразить против несанкционированного доступа.
Недостатки:
Информационный поток. Для того чтобы иметь возможность общаться со своим банком через Интернет, тем, кто хочет использовать мобильный банкинг, необходим тариф на передачу данных для своего смартфона. И сегодня существуют недорогие тарифы.
Риски. Утрата или кража смартфона означает для человека много волнений. В большинстве случаев SIM-карта должна быть заблокирована. Это также означает затраты. Новый смартфон с новой SIM-картой должен быть сначала зарегистрирован в банке. Это может занять несколько дней.
Хотя пользовательский интерфейс банковских приложений оптимизирован для небольших дисплеев смартфонов, мобильный банкинг часто приводит к стрессу и напряжению глаз.
Угрозы растут. Несмотря на отсутствие случаев несанкционированного доступа к счету третьих лиц в мобильном банкинге, это, вероятно, только вопрос времени, когда преступники также начнут пытаться получить доступ к смартфонам.
