МОБИЛЬНЫЕ БАНКОВСКИЕ ПРИЛОЖЕНИЯ: СЕМЬ ПРИЧИН ДЛЯ НЕДОВЕРИЯ

Все чаще при выборе банка его будущие клиенты обращают внимание на удобство работы с банковским мобильным клиентом для Android или iOS. Но, помимо удобства, обращать внимание нужно и на безопасность программного обеспечения. Может ли пользователь каким-либо образом сам оценить надежность приложения?

Ни для кого не секрет, что чаще всего максимально удобные и удовлетворяющие любым пользовательским запросам приложения страдают недостаточным уровнем безопасности. А те, которые, наоборот, ставят во главу угла усиление безопасности, не так уж удобны в использовании. Что делать? Жертвовать ли защитой в угоду комфорту? Или продолжать «плакать и колоться о неудобный, но безопасный кактус»?

Для того чтобы ответить на этот вопросы, мы выделили ряд критериев, которые влияют на безопасность мобильного банковского приложения. Чем большее их число реализовано в конкретном приложении, тем выше гарантии сохранности денежных средств его пользователя.

Первое, что необходимо понимать про пароли: отсутствие двухфакторной аутентификации с помощью СМС (или других методов) резко увеличивает шанс на успешное хищение средств со счетов клиента. Поэтому к наличию двухфакторной аутентификации мы рекомендуем отнестись с наибольшим вниманием. Тем более что как раз этот критерий не требует глубокого погружения в техническую часть.

На что стоит обратить внимание? Во-первых, приходят ли вообще СМС с одноразовыми паролями. Чаще всего логика разработчика приложения такова: «Вы уже используете мобильное приложение, зачем еще на него же присылать сообщение с паролем?» В результате злоумышленник, похитивший только идентификатор сессии и не захвативший ваш телефон, может проводить операции безо всяких подтверждений. Также злоумышленники могут просто подбирать логины и пароли к мобильным приложениям и, в случае успеха, получить доступ к денежным средствам владельца приложения.

Во-вторых, какие действия с приложением (или в нем) подтверждаются одноразовым паролем. Причем варианты в данном случае могут быть, как говорится, «в ассортименте»: регистрация, вход, финансовые операции, смена личных данных, смена пароля... Иногда в мобильном банке доступны далеко не все операции, а только шаблоны, заданные из интернет-банка, смена пароля не предполагается. И конечно же, чем меньше разрешено, тем спокойнее можно себя чувствовать. Но если учесть, что мобильные приложения по своей функциональности стремятся догнать интернет-банкинг, то о повышающем безопасность «запрете» говорить не приходится.

В-третьих, стоит оценить, можно ли отключить подтверждение с помощью СМС совсем: иногда встречаются абсурдные случаи, когда для того, чтобы отключить использование одноразовых паролей, нужно всего лишь нажать одну-единственную кнопку. И при этом совсем не требуется вводить дополнительный пароль из СМС.

Четвертый пункт: сколько попыток дается на неверный ввод пароля и что происходит далее. Есть ли ограничение на число раз некорректного ввода пароля, какова его длина, в конце концов. Так, пароль, содержащий менее пяти символов, в современных реалиях слишком ненадежен. А если вам, скажем, трижды предоставили по три попытки ввода пароля (а встречаются пороги даже в десять попыток) из-за некорректности и не заблокировали — это более чем повод задуматься о безопасности приложения.

Еще один нюанс, который нельзя упускать из виду, — насколько информативно содержимое подтверждающих СМС: можно ли понять, что именно ты оплачиваешь или какую операцию совершаешь. Злоумышленники, кстати, могут подделывать запросы на операции прямо «на лету», и пользователь, будучи уверен, что совершает одну операцию, на самом деле совершит другую.

Ну и, наконец, нельзя забывать об аппаратной привязке к сим-карте. Самый простой способ ее проверить — сходить в салон связи и поменять сим-карту на тот же номер, а затем заново совершить операцию. Если пароли будут приходить как ни в чем не бывало, это явно нехороший признак. Если же придется подтверждать смену сим-карты через звонок в банк или поход в отделение, значит ваш банк имеет защиту от мошенничества, основанного на перевыпуске сим-карт

Помимо этого, необходимо выяснить, насколько легко осуществить перехват трафика с помощью установленного сертификата?

Никогда не лишне выяснить, существуют ли вредоносные программы, разработанные специально под ваше мобильное приложение, — различные информационные ресурсы (вроде SecurityLab или Threatpost) регулярно публикуют данные о появившихся (или активизировавшихся) вредоносах.

Вспомните, что происходит при блокировании карты: чтобы разблокировать ее, приходится идти в офис, или она автоматически разблокируется, спустя, скажем, сутки? Первое явно безопаснее, а второе — удобнее, тут не поспоришь. И это самый показательный пример компромисса между удобством и безопасностью. Например, есть банки, которые блокируют подозрительные операции, совершенные из другого (не характерного для клиента) географического региона. Хотя, уезжая, скажем, в отпуск или командировку, клиент может заблаговременно сообщить банку даты поездки и маршрут. Это позволит избежать блокировки платежных операций во время поездки. В целом чем легче последовательность действий для разблокировки счетов, тем легче это будет сделать не только их владельцу, но и злоумышленникам.

Статистика наших исследований показывает, что в зависимости от того, о какой платформе идет речь (Android или iOS), ситуация также может меняться.

шанс быть атакованным у пользователей приложений на iOS гораздо меньше. Владельцам же Android настоятельно рекомендуется использовать антивирусное ПО, которое может уменьшить вероятность эксплуатации известных уязвимостей.

Понятно, что сама возможность оценить уровень безопасности приложения доступна не всегда и далеко не каждому рядовому их пользователю. Однако постараться сделать это нужно, а главное, возможно (до некоторой степени). При этом не стоит излишне доверять громким заявлениям банков о безопасности и надежности их сервисов. Как банально ни звучит, лозунг «доверяй, но проверяй» стоит взять на вооружение во всех смыслах. И всегда использовать возможности для проверки приложений, их сравнения, в том числе пользуясь открытыми источниками.

И конечно же, необходимо соблюдать ряд мер, повышающих безопасность самого мобильного телефона. Например, не подключаться к общедоступным Wi-Fi-сетям, не устанавливать приложения из недостоверных источников, не открывать подозрительные письма и ссылки, не сообщать по телефону свои пользовательские данные (логины, пароли, одноразовые пароли из СМС, коды CVV и номера карт) и т. д. Причем эти правила не являются чем-то выходящим за пределы здравого смысла и логики. Кстати, многие из этих рекомендаций относятся не только к мобильному банкингу, но и к обычному интернет-банку.