CC BY
48Риски при индентификации клиента в системе мобильного банкинга
Волков Андрей Андреевич
студент, Департамент информационной безопасности, Финансовый университет при правительстве Российской Федерации, Andrew.volkov333@gmail.com
Мобильный банкинг - это технология, которая позволяет банкам оказывать услуги клиентам посредством мобильных приложений на мобильных устройствах. Мобильный банкинг включает в себя такие операции, как переводы денежных средств, оплата счетов и кредитов, просмотр выписок и истории транзакций, блокирование банковских карт и другие услуги. «Слабое» место любой системы мобильного банкинга - этап идентификации клиента. В целях подтверждения идентичности клиента мобильное приложение банка может использовать различные методы аутентификации, включая: отправку кода подтверждения на зарегистрированный номер мобильного телефона клиента, проверку биометрических данных (отпечаток пальца или сканирование лица), ввод пароля или ПИН-кода, который был предварительно создан клиентом, а также комбинацию данных методов. Идентификация клиента в мобильном банкинге может сопряжена с рисками, которые могут быть связаны с несанкционированным доступом к личным данным клиента, кражей личной информации, мошенничеством, другими проблемами обеспечения безопасности и, собственно, хищением денежных средств - основной целью правонарушителей. Ключевые слова: мобильный банкинг, интернет-банкинг, идентификация, двухфакторная аутентификация, биометрия, искусственный интеллект, мобильное приложение, кибератака
Развитие дистанционных банковских услуг обусловлено двумя причинами. Во-первых, сегодня экономическая отрасль находится на таком этапе развития и преобразования, когда на рынке возникает все большее количество поставщиков финансовых услуг. Это порождает повышение уровня конкуренции в области финансового посредничества и вынуждает банковские организации прибегать к инновационным технологиям в попытках сохранить клиентов [5, с. 486].
Во-вторых, изменились запросы к качеству и скорости оказания банковских услуг. Глобализация ускорила и усложнила механизмы расчета между различными субъектами экономических отношений; современный человек, как правило, сталкивается с необходимостью проведения ежемесячных, еженедельных и/или ежедневных платежей в адрес множества реципиентов - от мобильных провайдеров до поставщиков услуг ЖКХ, а корпоративные структуры, согласно нормам законодательства, должны уметь производить транзакции в электронном режиме.
Естественным результатом двух вышеописанных тенденций стало появление принципиально новых, простых в использовании и технологичных способов осуществления расчетов, платежей, отчислений, накоплений денежных средств. Подобными качественно новыми банковскими продуктами являются Интернет-банкинг и мобильный банкинг.
Интернет-банкинг можно определить следующим образом: форма банковской деятельности, основанной на имплемента-ции информационно-коммуникационных технологий, сущность которой заключается в предоставлении клиентам доступа к банковским услугам и операциям без необходимости физического посещения банковского филиала. Функционал стандартного Интернет-банкинга, как правило, включает в себя такие операции, как открытие и закрытие счетов, переводы денежных средств, оплата счетов и кредитов, просмотр выписок и истории транзакций, а также другие услуги, которые ранее были доступны в банковских отделениях.
Мобильный банкинг, в свою очередь, есть последующая эволюционная ступень развития дистанционных банковских систем. Мобильный банкинг -технология, которая позволяет банкам оказывать услуги клиентам посредством приложений на мобильных устройствах. Мобильный банкинг включает в себя такие функции, как переводы денежных средств, оплата счетов и кредитов, просмотр выписок и истории транзакций, блокирование банковских карт и другие услуги. Мобильный банкинг также может включать функции уведомлений на экране телефона; известны примеры приложений с интерфейсами аналитики для управления личными и корпоративными финансами, а также функции для связи с банковскими консультантами через чат-боты или интерактивных помощников. Мобильный банкинг сегодня считается действенным инструментом для предоставления удобного и быстрого доступа клиентов к банковским услугам и операциям. Благодаря мобильному банкингу клиенты могут получать информацию о движениях по счету, осуществлять платежи и переводы денег, а также управлять своими финансами без «привязки» к филиалу банка или персональному компьютеру.
X X
о
го А с.
X
го т
о
м о м
Сл>
fO CS
о
CS
о ш m
X
<
m О X X
В ходе эволюции технологий мобильного банкинга спектр их функциональных возможностей был многократно расширен. К примеру, мобильное приложение для банка «ВТБ24» предоставляет клиентам возможность через систему «ВТБ24-Онлайн» приобретать или продавать драгоценные металлы и ценные бумаги на фондовой бирже [5, с. 487].
По данным портала исследовательской компании Statista, количество пользователей мобильных банковских услуг продолжает расти по всему миру. В 2021 г. количество пользователей мобильного банкинга достигло 1,75 миллиарда человек, а к 2024 г., согласно прогнозам, данный показатель составит 2,1 миллиарда. По данным статистического отчета, страны Северной Америки и Западной Европы являются лидерами по использованию мобильных банковских услуг. В Северной Америке к концу 2021 г. около 64,6% населения использовало мобильные банковские приложения, а в Западной Европе -63,4% населения. Быстрый рост пользователей мобильного банкинга наблюдается в развивающихся странах Азии, Африки и Латинской Америки, где мобильный банкинг становится доступным и популярным благодаря развитию технологий и доступности мобильной связи [8].
На российском рынке банковских услуг мобильный банкинг уже давно занимает прочные позиции; более десятилетия назад банковский сектор, можно сказать, перешел в «онлайн». За 2021 г. пользователи установили мобильные приложения российских банков, входящих в топ-20, 61,2 млн раз; используют Интернет- или мобильный банкинг более 80 млн граждан. Наиболее качественными с точки зрения потребительского опыта и безопасности признаны приложения банков «Тинь-кофф», Райффайзенбанка и «Сбер» [6]. Многие отечественные банки развивают собственные экосистемы внутри мобильного приложения. В целях повышения лояльности клиентов банки внедряют в приложения различные вовлекающие механики: оплата по QR-коду, «сторис» с контентом, отображение статистики повседневных трат в виде инфографики [6]. Как показывает реальная практика развития мобильного банкинга в нашей стране и за рубежом, основными тенденциями в развитии систем мобильного банкинг являются следующие: (1) отказ от банковской терминологии; (2) использование маркетингового стиля текстов и чат-ботов-«собеседников»; (3) внедрение иконографики и инфографики вместо цифр и текста [1]. Все эти и многие другие нововведения создают у пользователя ощущение, приближенного к игровому (геймификация), и формируют, при этом, иллюзию безопасности и легкости работы с финансовыми инструментами. Тем не менее, именно безопасность выступает ключевой проблемой современного мобильного банкинга.
По данным исследования корпорации Ericsson (ConsumerLab, 2020 г.), более 90% пользователей Интернета обеспокоены вопросом безопасности персональных данных в Сети. 59% пользователей говорят о возможном отслеживании личных данных третьими лицами, 56% пользователей - об утрате конфиденциальности данных, передаваемых в приложения [4, с. 496]. Тем не менее, несмотря на рост общественной обеспокоенности о переходе финансов в виртуальное пространство, мало кто понимает истинные масштабы проблемы. Развитие сначала сетевых, а впоследствии - мобильных платежных ресурсов породило целую криминальную индустрию, деятельность которой направленна на получение средств за счет несанкционированного доступа к платежным картам, электронным платежным системам или к банкингу.
«Слабое» место любой системы мобильного банкинга -этап идентификации клиента. В мобильном банкинге идентификационные данные клиента загружаются, как правило, на этапе регистрации. Для регистрации аккаунта в приложении необходимо предоставить следующую информацию: номер
мобильного телефона, который будет использоваться для доступа к мобильному приложению банка; данные документа, удостоверяющего личность; информация о месте жительства, включая адрес регистрации. В целях подтверждения идентичности клиента мобильное приложение банка может использовать различные методы аутентификации, включая: отправку кода подтверждения на зарегистрированный номер мобильного телефона клиента, проверку биометрических данных (отпечаток пальца или сканирование лица), ввод пароля или ПИН-кода, который был создан клиентом или банком, а также комбинацию данных методов.
Идентификация клиента в мобильном банкинге может сопряжена с рисками, связанные с несанкционированным доступом к личным данным клиента, кражей личной информации, мошенничеством, другими проблемами обеспечения безопасности и, собственно, хищением денежных средств - основной целью правонарушителей. Рассмотрим основные риски, которые могут возникнуть при идентификации клиента в мобильном банкинге.
Правонарушители могут получать неавторизованный доступ к мобильному приложению; одним из методов его получения выступает фишинговая атака. Фишинговые атаки являются одним из ключевых рисков идентификации в мобильном банкинге. Фишинг представляет собой такой метод атаки, при котором злоумышленник пытается получить доступ к личной информации пользователя, используя поддельные веб-сайты или электронные сообщения, которые визуально аналогичны официальным ресурсам или схожи с ними. Фишинг может быть осуществлен посредством электронной почты, текстовых сообщений, социальных сетей и иных каналов связи. Злоумышленники могут направить пользователям фишинговые электронные письма, содержащие ссылки на сайты, где нужно ввести свои учетные данные.
Как правило, наиболее распространенным способом превенции несанкционированного доступа к личным данным и банковскому счету клиента выступает двухфакторная аутентификация. Двухфакторная аутентификация пришла на смену однофакторной, так как преодолеть ее оказалось весьма просто: требуется лишь программа-«кейлоггер», которая сможет зафиксировать информацию, вводимую клавиатурой или тач-скрином. Алгоритм двухфакторной аутентификации, в свою очередь, основан на двух этапах: подтверждение того, что знает пользователь (к примеру, пароль) и того, чем он владеет (мобильное устройство).
Сегодня двухфакторная аутентификация более не является абсолютно действенным способом защиты клиента. Рост количества банков, которые стали применять двухфакторную аутентификацию, привел к интенсификации разработок в области вредоносного ПО, которое сумеет «обойти» оба фактора аутентификации. Следовательно, повсеместное применение двухфакторной аутентификации обеспечило лишь временный эффект в плане повышения безопасности, подняв планку для производителей вредоносных финансовых программ [7, с. 30].
Кроме того, многие банки, которые применяют двухфак-торную аутентификацию, используют ее на минимальных параметрах сложности, что не позволяет ей обеспечить требуемый уровень защиты. Можно сказать, что перед тем, как начать сессию использования мобильного банкинга, клиент идентифицирует себя и проходит проверку, но во время сессий проверка практически не требуется. Банк, таким образом, не контролирует сам процесс пользования мобильным банкингом, акцентируя внимание исключительно на этапе входа в систему. В целях усиления защиты применяются также дополнительные способы: криптографическое устройство аутентификации (токен), SMS, ограничение на срок действия кодов авторизации, лимит по транзакциям и проч.
В целом, обход двухфакторной аутентификации представляет собой трудоемкую задачу и, в большинстве случаев, требует дополнительных навыков и технических знаний. Однако, использование «сильных» паролей, активация дополнительных механизмов защиты, таких как биометрическая аутентификация, и цифровая грамотность пользователей при работе с мобильными сервисами могут нейтрализовать риски несанкционированного доступа к идентификационным данным. Среди прочих методов минимизации рисков отметим также регулярное обновление банком идентификационных сведений, требуемых при идентификации клиентов [2, с. 89].
В ряде случаев банки обязывают пользователей оставлять свои биометрические данные для последующего входа в систему (в абсолютном большинстве случаев речь идет о сканировании лица и отпечатков пальцев). Как и любая иная система аутентификации, биометрическая аутентификация в мобильном банкинге не является абсолютно надежной. Злоумышленники могут, к примеру, принудить пользователя к использованию своей биометрии для входа в устройство, вынудив жертву разблокировать свое устройство при личном присутствии.
Кроме того, существуют иные инструменты - поддельные отпечатки пальцев или маски для лица, в т. ч. виртуальные, которые могут обмануть систему биометрической аутентификации. Имеют место также ситуации взлома устройства, на котором установлено приложение мобильного банкинга, и получение доступа к информации пользователя, включая биометрические данные.
Как указано выше, идентификационные данные клиента представляют собой фиксированный набор характеристик, позволяющих банку понять, что пользователь мобильного банка и реальный клиент банка являют собой одно и то же лицо. Следует отметить, что понятие «идентификационные данные» сегодня претерпевает существенные изменения: меняется, прежде всего, подход к тому, что именно следует считать идентификационными данными клиента. Сегодня таковыми считаются, помимо вышепречисленных, поведенческие характеристики, некоторые шаблоны действий, которым следует тот или иной пользователь мобильного банкинга. Мониторинг отклонения от подобных шаблонов является одним из инновационных способов обеспечения пользователь мобильных банковских приложений. Таким образом обеспечивается контроль не только на этапе регистрации или входа в систему, но и в процессе сессии.
Цифровой мониторинг поведения клиента позволяет идентифицировать подозрительные операции и направлять банку уведомления о подобных действиях. Поведенческий анализ, производимый в целях санкционирования доступа к счёту, может позволить банкам получать дополнительную информацию - данные геолокации, 1Р-адреса или идентификационные номера мобильных устройств, используемых для осуществления транзакции; фиксируются также режимы пользования мобильным банкингом (например, платежи происходят только после 18:00, или в выходные дни и т. п.). Все эти сведения компилируются в единый поведенческий цифровой профиль клиента и в последующем, в случае действий, которые явно отклоняются от параметров персонального профиля, банк блокирует счета или карты клиента.
В данной связи банки начинают привлекать инструментарий, основанный на работе искусственного интеллекта. Возможности самообучения и прецизионного дата-анализа позволяют интеллектуальным системам гораздо более точно выявлять случаи нетипичного поведения пользователя мобильного банкинга [3, с. 33]. К сожалению, велика вероятность того, что интеллектуальные системы будут с той же степенью эффективности применяться и мошенниками.
Цифровая неграмотность клиентов может стать еще одной причиной неправильного использования мобильного банкинга и повышения степени риска при идентификации. Клиенты могут осознанно передавать свои данные, пересылать их в сообщениях третьим лицам или знакомым, не быть знакомы с мерами безопасности и процедурами аутентификации, что также может увеличить риски утечки данных. Для снижения рисков при использовании мобильного банкинга необходимо уделять внимание мерам повышения цифровой грамотности клиентов (особенно пожилых лиц). Клиенты должны использовать надежные пароли и методы идентификации, а также отслеживать банковские операции и движения по счетам. Кроме того, необходимо своевременно обновлять программное обеспечение мобильных устройств и приложений мобильного банкинга.
В процессе передачи данных между мобильным устройством и серверами банка возможно использование незащищенных каналов связи или пробелов в системе безопасности, что, в свою очередь, может быть использовано злоумышленниками для перехвата идентификационных данных. Кроме того, у клиентов может возникнуть проблема использования ненадежных сетей Wi-Fi при входе в систему мобильного банкинга. В таких случаях злоумышленники могут использовать поддельные точки доступа, чтобы перехватывать передаваемые данные и впоследствии распоряжаться чужими денежными средствами.
Таким образом, мобильный банкинг представляет собой достаточно удобную - для банков и самих пользователей -технологию, которая позволяет клиентам банковской системы удаленно осуществлять операции с банковскими счетами через мобильные устройства. Несмотря на очевидные преимущества мобильного банкинга, его использование сопряжено с рисками и угрозами безопасности. Киберпреступники могут использовать различные методы для получения доступа к личным данным и банковским счетам клиентов, такие как фишинг, мошенничество через SMS, вредоносные программы и другие. Причиной утечки идентификационных данных и доступа к банковским счетам может быть сбой или уязвимость мобильных устройств, операционных систем и приложений. Отдельной проблемой является некорректное использование мобильного банкинга самими клиентами.
Литература
1. Васильева, И. А. Актуальные тенденции развития систем интернет-банкинга / И. А. Васильева // Экономика и современный менеджмент: теория и практика. - 2015. - №2 (46). - С. 6-12.
2. Ващекин, А. Н. Противодействие преступной деятельности в условиях развития цифровых технологий дистанционного банковского обслуживания / А. Н. Ващекин, И. В. Ваще-кина // Правовая информатика. - 2019. - №4. - С. 86-95.
3. Зорин, Г. Е. Искусственный интеллект и его применение в банковской сфере / Г. Е. Зорин // Вестник РУК. - 2020. -№1 (39). - С. 31-36.
4. Куликова, Е. Е. Восприятие рисков интернет-банкинга / Е. Е. Куликова, С. А. Юшкова // StudNet. - 2020. - №8. - С. 495501.
5. Лыткина, А. Ю. Интернет-банкинг и мобильный-банкинг как форма дистанционного банковского обслуживания / А. Ю. Лыткина, К. И. Пастухова // Science Time. - 2015. - №12 (24). -С. 486-493.
6. Ревва, Н. Следующая установка: мобильным банкингом пользуются уже 80 млн россиян // Известия. - 2022 [Электронный ресурс]. - Режим доступа: https://iz.ru/1412752/natalia-rewa/sleduiushchaia-ustanovka-mobilnym-bankingom-polzuiutsia-uzhe-80-mln-rossiian. - Дата доступа: 13.04.2023.
X X
о го А с.
X
го m
о
м о м
CJ
7. Юсупова, О. А. Безопасность транзакций при использовании интернет-банкинга / О. А. Юсупова // Финансовая аналитика: проблемы и решения. - 2016. - №35 (317). - С. 26-40.
8. Statista. - 2023 [Электронный ресурс]. - Режим доступа: https://www.statista.com . - Дата доступа: 13.04.2023.
Risks in client identification in the mobile banking system Volkov A.A.
Financial University under the Government of the Russian Federation
JEL classification: G20, G24, G28, H25, H30, H60, H72, H81, K22, K34
Mobile banking is a technology allowing banks to provide services to customers through mobile applications on mobile devices. Mobile banking has such functions as money transfers, payment of bills and loans, viewing statements and transaction history, blocking bank cards and other services. The "weak" point of any mobile banking system is the client identification stage. In order to verify the identity of the client, the bank's mobile application can use various authentication methods, including: sending a verification code to the client's registered mobile phone number, verifying biometric data (fingerprint or face scan), entering a password or PIN code that was previously created by the client, as well as a combination of these methods. Customer identification in mobile banking may involve risks that may be associated with unauthorized access to customer personal data, theft of personal information, fraud, other security issues and, in fact, theft of funds - the main goal of offenders. Keywords: mobile banking, internet banking, identification, two-factory authentication, biometry, artificial intelligence, mobile app, cyber attack
References
1. Vasilyeva, I. A. Actual trends in the development of Internet banking systems / I. A.
Vasilyeva // Economics and modern management: theory and practice. - 2015. -No. 2 (46). - P. 6-12.
2. Vashchekin, A.N., Vashchekina I.V. Countering criminal activity in the context of the
development of digital technologies for remote banking services // Legal informatics. - 2019. - No. 4. - S. 86-95.
3. Zorin, G. E. Artificial intelligence and its application in the banking sector / G. E.
Zorin // Vestnik RUK. - 2020. - No. 1 (39). - S. 31-36.
4. Kulikova, E. E. Perception of Internet banking risks / E. E. Kulikova, S. A. Yushkova
// StudNet. - 2020. - No. 8. - S. 495-501.
5. Lytkina, A. Yu. Internet banking and mobile banking as a form of remote banking
service / A. Yu. Lytkina, K. I. Pastukhova // Science Time. - 2015. - No. 12 (24). - S. 486-493.
6. Revva, N. The next setting: 80 million Russians already use mobile banking //
Izvestia. - 2022 [Electronic resource]. - Access mode: https://iz.ru/1412752/natalia-revva/sleduiushchaia-ustanovka-mobilnym-bankingom-polzuiutsia-uzhe-80-mln-rossiian. - Access date: 04/13/2023.
7. Yusupova, O. A. Transaction security when using Internet banking / O. A. Yusupova
// Financial analytics: problems and solutions. - 2016. - No. 35 (317). - S. 26-40.
8. Statista. - 2023 [Electronic resource]. - Access mode: https://www.statista.com . -
Access date: 04/13/2023.
fO СЧ
о
СЧ
о ш m
X
<
m О X X
