ЦБ ввел в обиход «нехорошие» IP-адреса

Центробанк готов нанести удар по интернет-банкингу

Российские пользователи интернет-банкинга совсем распустились. Заходят, понимаешь, в аккаунт из разных мест, с разных компьютеров и через разные точки доступа — не уследишь! Пора этот бардак прикрыть, решил Центробанк и подготовил проект указания к положению об идентификации банковских клиентов, уникального даже для наших чиновников.

Если указание утвердят (а сомневаться в этом сложно), то каждое физическое лицо и каждая организация должны будут заранее — при заполнении анкеты на открытие счета в банке — указать, с какого IP-адреса они собираются заходить в интернет-банк. Кроме того, требуется сообщить и MAC-адрес каждого устройства, с которого будет происходить работа со счетом.

Если вы немного разбираетесь в сетевых технологиях, то наверняка решили, что я сошел с ума или напутал. Вовсе нет, все ровно так: необходимо сообщить банку «9. Сведения об IP- и МАС-адресе (IP- и МАС-адресах), посредством которых физическим лицом осуществляется доступ к банковскому счету, открытому в кредитной организации, с целью совершения операций по нему в рамках заключенного кредитной организацией с данным физическим лицом договора, предусматривающего его обслуживание с использованием технологии дистанционного доступа к банковскому счету, включая интернет-банкинг». Для организаций — то же самое.

Специалисты, пропустите пару абзацев и придите в себя, а я пока расскажу, в чем тут дело, нормальным людям, не обремененным лишними знаниями о сетях (тем более что объяснять я буду «на пальцах», не совсем правильно, но зато доступно).

Каждый компьютер в момент подключения к Интернету получает свой уникальный «адрес». Это IP-адрес, с помощью которого компьютер технически «общается» с сайтами и прочими интернет-сервисами. IP-адреса назначает интернет-провайдер, к которому вы подключены. Они бывают постоянными (всегда один и тот же адрес у одного компьютера или у одной домашней/корпоративной сети) либо динамическими, то есть регулярно меняющимися. Сегодня у вашего компьютера один адрес, через неделю — другой, потом — третий. А ваш «вчерашний» адрес сегодня может быть чьим-то еще. Собственно, ни для вас, ни для вашего компьютера никаких проблем это не создает, все это — сугубо технические заморочки, необходимые для работы в Интернете.

Очевидно, что если вы пользуетесь не стационарным компьютером, а ноутбуком, планшетом или смартфоном, то ваш IP-адрес зависит от того, где вы сейчас находитесь: дома он один, в кафе — другой, на работе — третий, в метро — четвертый и т. д.

MAC-адрес — это «автограф» сетевой карты в вашем компьютере, то есть той микросхемы, с помощью которой компьютер (ноутбук, смартфон, планшет, холодильник, часы, что угодно) общается с другими устройствами, не обязательно через Интернет. Этот адрес «зашивается» в устройство при изготовлении, но при большом желании его можно сменить.

Оба адреса — информация не секретная, при соответствующих полномочиях и навыках их можно узнать. При этом в каждый конкретный момент сочетание двух этих адресов однозначно идентифицирует устройство, подключенное к Интернету: IP-адрес рассказывает, где примерно географически находится компьютер, а MAC-адрес — какой именно компьютер в этом месте подключен.

Именно ради однозначной идентификации компьютера пользователя Центробанк и хочет заставить всех клиентов интернет-банков заранее оставить свои электронные «отпечатки пальцев», то есть IP- и MAC-адреса, в банке. Мол, когда клиент приходит в банк лично, он предъявляет паспорт, в котором однозначно указано, кто это. Все действия человека в этом случае можно проконтролировать — например, если он перевел деньги террористам или Навальному. А если клиент заходит удаленно, через Интернет, то однозначно сказать, что он — это на самом деле он, нельзя. Логины-пароли — понятно, но это слишком слабая защита. «Финансирующий террористов» пользователь всегда может сказать, что злые хакеры украли его данные, а он — ни сном, ни духом. Зато если банковский сайт «видит», что к интернет-банку подключается конкретный компьютер с таким-то MAC-адресом, находящийся в заранее известном месте (квартире или офисе), с таким-то IP-адресом, то клиент в случае чего уже не отвертится.

Остается, конечно, вопрос, насколько обязательным станет использование именно заявленных адресов для доступа к интернет-банку. Теоретически можно предположить, что банк возьмет эти данные и забудет о них. Но в реальности это маловероятно: банк должен иметь возможность в любой момент отчитаться перед ЦБ в том, что он предоставляет доступ в интернет-аккаунт только идентифицированным клиентам. Иначе вся эта история полностью теряет смысл. Поэтому, скорее всего, банковский сервер будет пропускать запросы к интернет-банку только от пар адресов IP/MAC, входящих в белый список, то есть однозначно принадлежащих клиентам.

Вроде бы все логично. Более того, с точки зрения полицейского государства все правильно: каждый постоянно должен быть «под колпаком». Но с точки зрения обычного пользователя такой подход резко снижает ценность интернет-банкинга, ведь на клиента ложится несколько дополнительных ограничений.

Во-первых, придется купить статический IP-адрес. Это отдельная услуга у провайдеров, которая предоставляется по требованию и стоит неких денег — порядка сотен или пары тысяч рублей в год. Причем для мобильного интернет-устройства (ноутбука или смартфона) понадобится отдельный адрес в сетях 3G или 4G.

Во-вторых, при покупке очередного домашнего роутера, компьютера, смартфона, планшета или ноутбука (если вы собираетесь через него заходить в интернет-банк) необходимо лично обращаться в банк, чтобы дополнить свою анкету новым MAC-адресом.

В-третьих, стоит забыть о пользовании интернет-банком через публичные Wi-Fi-точки в кафе, аэропортах, метро, торговых центрах, ведь каждая из них имеет собственный IP-адрес.

В-четвертых, при поездке за границу никакого доступа к интернет-банку не будет. Совсем. Впрочем, если очень надо, можно настойчиво поинтересоваться в гостинице или у бизнес-партнера, есть ли у них статический IP-адрес, и, если есть, заранее внести его в свою банковскую анкету. Могу представить реакцию менеджера гостиницы на такое обращение.

В-пятых, воспользоваться компьютером друга, чтобы посмотреть состояние своего счета или провести операцию через веб-интерфейс, не выйдет. MAC-адрес не пройдет проверку.

В общем, идеальный частный пользователь интернет-банка с точки зрения ЦБ заходит на свой аккаунт строго из дома и строго с одного компьютера. В крайнем случае, из ограниченного числа заранее известных мест и с заранее известных компьютеров. Шаг в сторону от этого правила означает, что пользователь задумал плохое — финансирование терроризма или отмывание преступно нажитых доходов.

Вполне возможно, что для кого-то это не проблема. Многие люди вообще имеют только один компьютер, установленный дома. Им по большому счету новый порядок безразличен, разве что придется заплатить за IP-адрес и лишний раз сходить в банк, чтобы сдать свои «электронные отпечатки пальцев».

Для других новые ограничения создадут серьезные неудобства. Я, скажем, постоянно находясь в паре тысяч километров от своего банка, замучаюсь летать в Москву, чтобы менять данные для своих устройств. И все равно сохранится опасность внезапно оказаться без доступа к рабочим и личным счетам — мало ли какой сбой возникнет у банка, провайдера или в моем компьютере. А привык работать со счетом, подключаясь к Интернету в ресторане или кофейне (при принятии определенных мер это достаточно безопасно).

Наконец, такая привязка интернет-банка к конкретному месту и конкретным вещам ради идентификации пользователя в наше динамичное время просто унизительна. Это прямое и очевидное ограничение свободы, в том числе финансовой, и оскорбление чувств современного человека. Хотя кого теперь этим удивишь?

Мнение автора может не совпадать с мнением редакции

Банки привяжут интернет-счета клиентов к их смартфонам и компьютерам

Как выяснили «Известия», с 16 марта 2015 года вступили в силу новые требования ЦБ к банкам по борьбе с мошенничеством при дистанционном обслуживании граждан. Теперь банки должны регистрировать все устройства, с которых их клиенты собираются заходить в интернет-банк и мобильный банк, — предполагается, что операции нельзя будет провести с незарегистрированных телефона, планшета или компьютера. Кроме того, банки теперь обязаны блокировать рассылку служебных SMS (одноразовые пароли и пр.) при смене клиентом номера или SIM-карты.

Новые требования изложены в Указании ЦБ № 3361-У, которое изменяет Положение регулятора 382-П.

— Банк на основании заявления клиента определяет параметры операций, которые могут осуществляться через интернет- и мобильный банкинг. В том числе банк устанавливает перечень устройств, с использованием которых может осуществляться доступ к системам дистанционного банковского обслуживания (ДБО) с целью переводов денег на основе идентификаторов данных устройств, — говорится в документе. — Также банк устанавливает максимальную сумму перевода клиента через ДБО за одну операцию и (или) за определенный период времени (один день/один месяц).

Правда, в Указании ЦБ не указано, что такое «идентификатор» устройства.

— Логично предположить, что речь идет о МАС-адресе, — предполагают в компании Digital Security (один из лидеров в направлении анализа защищенности банковских систем). — Это уникальный идентификатор модема конкретного устройства, с которого осуществляется доступ в Сеть. Но для целей идентификации банки могут использовать и IP-адреса клиентов (сетевой адрес узла в компьютерной сети, но у ряда устройств может быть один и тот же IP — например, в корпоративной сети). Или еще можно взять сведения о конфигурации устройства и преобразовать это всё в некое число, уникальное для каждой железки. Вариантов может быть много.

Руководитель аналитического центра Zecurion Владимир Ульянов подчеркнул, что IP-адрес для идентификации клиента категорически не подходит.

— Менее 50% пользователей имеют статические (постоянные) IP-адреса, — поясняет Ульянов. — У остальных пользователей IP регулярно меняется, и никакого смысла привязываться к нему нет. Что касается использования MAС-адресов и конфигураций оборудования — эта идея кажется более разумной, однако и здесь есть свои изъяны. Конфигурация оборудования и даже MAC-адреса, которые на практике можно менять, могут оказаться одинаковыми у нескольких пользователей. Злоумышленники смогут этим воспользоваться.

Павел Крылов, руководитель направления по развитию продукта Group-IB, говорит, что IP-адрес вполне может использоваться банками, если речь идет о клиентах-юрлицах.

— Для юрлиц может быть использован его выделенный публичный IP-адрес, в этом случае любой компьютер организации может быть использован для доступа в интернет-банкинг, — поясняет Крылов. — Надежнее использовать MAC-адрес конкретного компьютера, но далеко не все системы интернет-банкинга имеют возможность автоматически получать его с компьютера клиента. Для физлиц получение и использование таких и иных идентификаторов не практикуется в силу мобильности клиентов и использования технологий «тонкого клиента». Исключение составляют только мобильные приложения, которые позволяют получить уникальные идентификационные данные устройства.

Руководитель направления по борьбе с мошенничеством центра информационной безопасности компании «Инфосистемы Джет» Алексей Сизов отметил, что те же номера IMEI, которые должны быть уникальными у каждого мобильного устройства, иногда совпадают.

— Известны случаи, когда производители телефонов при разработке обновлений добивались получения идентичного IMEI на всех устройствах, установивших обновления. Еще для сотовых телефонов существует идентификатор IMSI, жестко привязанный к SIM-карте и защищенный специальными протоколами регистрации SIM-карты с конкретным IMSI в Сети. Однако и это нельзя считать гарантией — прецеденты использования IMSI-catcher (поддельной базовой станции) уже упоминались во многих СМИ.

В ЦБ затруднились ответить на запрос «Известий» по существу. Пока есть некая неопределенность, банки исполняют новые требования по своему разумению. Начальник управления безопасности информационных технологий СМП-банка Павел Головлев рассказал «Известиям», что в качестве идентификатора устройства банк использует IP-адрес устройства.

— Чтобы зарегистрировать устройство, через которое клиент планирует заходить в интернет-банк, ему необходимо прийти в офис банка и написать соответствующее заявление, — говорит Головлев. — Если клиент меняет устройство, то ему необходимо обратиться в банк и обновить информацию об идентификаторе устройства. Если теряет — то алгоритм действий в данном случае должен быть таким же, как и при потере банковской карты: сообщить в банк об утрате устройства и о блокировке операций, которые будут совершаться с данного IP-адреса. Банк, конечно, будет учитывать идентификаторы, так как без этого невозможно реализовать блокировку по этому признаку.

Александр Новиков, директор департамента дистанционного банковского обслуживания Бинбанка, говорит, что в банке сейчас вопрос безопасности и регистрации мобильных устройств решается в том числе с помощью push-уведомлений — это разовые пароли для подтверждения операций, которые приходят на мобильные устройства.

— Эти уведомления присылаются банком клиенту напрямую в отличие от SMS, что повышает безопасность, — указывает Новиков. — Все мобильные устройства (телефоны, планшеты), к которым подключены push-уведомления, отображаются в браузерной версии интернет-банка. При утере мобильного устройства клиент может оперативно зайти в интернет-банк через любой компьютер и удалить его из списка. Соответственно, мошенники не смогут им воспользоваться для получения пароля.

Начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева сообщила, что банк решил собирать у клиентов пакеты данных об их устройствах:

— Оптимальным способом идентификации устройства клиента при работе через интернет является определение отпечатка системы — набора параметров, являющихся уникальными для конкретного устройства (device fingerprint). При несовпадении device fingerprint банк может запросить дополнительное подтверждение по операции, связавшись, например, с клиентом по телефону, или отказать в ее проведении, если дополнительная идентификация не прошла успешно. Таким же образом может обновляться и база устройств, если клиент устройство сменил. Таким образом, выполняется требование ЦБ в части идентификации устройства клиента и значительно повышается уровень безопасности при работе через дистанционные каналы обслуживания. Именно по такому пути решил идти ВТБ24.

По словам Ульянова из Zecurion, если у клиента меняется адрес, паспорт, контактные данные, он обязан сообщить об этом в банк, и логично что, когда меняется компьютер, об этом тоже следует уведомлять — техника тоже «реквизит». А пользователи, которые привыкнут к частым обращениям службы поддержки банков по поводу подтверждения новых устройств, станут менее бдительными, считает Ульянов.

— В целом эффект от сокращения мошенничества с использованием интернет-банка в краткосрочной перспективе я оцениваю в 5–10% (от числа инцидентов), но в среднесрочной перспективе он будет нивелирован появлением новых схем, и число инцидентов может только возрасти, — сетует собеседник.

Новые правила сулят всем как бумажные (если вписывать идентификаторы в договор, придется вносить правки в договор), так и технические проблемы вкупе с ростом расходов на ДБО, которые и сейчас составляют миллионы рублей в год.

— У банков появляется техническая проблема с регистрацией устройств и отслеживанием их использования, — поясняют в Digital Security. — У клиентов появятся проблемы с удобством использования интернет-банка из-за ограничения доступности в некоторых случаях. Надо понимать, что атаки на клиентов банков — это набор действий, многоходовки. Одна атака может идти через уязвимости в ПО, другая — с использованием социальной инженерии и выуживания логинов-паролей, фишинга. Например, троян, который уведет пароль, сможет также снять копию системных параметров, как банкоматный скиммер с карты. При введении новых требований у злоумышленников может меняться последовательность действий и некоторых методов, но их текущие средства до сих пор представляют опасность.

Что касается второго нововведения, то ЦБ предписывает приостанавливать отправку клиенту служебных сообщений, если банку «стало известно. о замене SIM-карты клиента, прекращении обслуживания или смене номера телефона, указанного в договоре с клиентом». Представители МТС, «МегаФона» и «ВымпелКома» («Билайн»), однако, заявили «Известиям», что по своей инициативе не отправляют банкам данные о смене SIM-карт абонентами — подобный коммерческий продукт для банков есть разве что у «МегаФона». Закона, обязывающего операторов сотрудничать с банками, нет, а собственно сведения о клиентах составляют тайну, поэтому в этом требовании ЦБ пока вопросов тоже больше, чем ответов.

— Доступность банковских сервисов и услуг значительно снизится, а банкам значительно прибавится работы при взаимодействии с клиентами, — поясняет Сизов из компании «Инфосистемы Джет». — Например, вы выехали за границу и купили местную SIM-карту — в этом случае банк будет ограничивать ваши возможности по использованию сервисов ДБО, что очевидно вами, как клиентом, будет воспринято негативно.

ЦБ впервые за восемь лет изменит основания для блокировки счетов

Банк России намерен существенно скорректировать практику банков в сфере «антиотмывочного» законодательства. ЦБ опубликовал поправки в положение 375-П, которые касаются признаков сомнительных операций. Перечень таких признаков сейчас содержит больше 100 позиций: если действия клиента подпадают под некоторые пункты, у банка есть основания приостановить или отказать в проведении транзакций, а в крайнем случае расторгнуть договор с таким клиентом.

Перечень критериев необычных операций «не обновлялся на протяжении последних восьми лет», то есть с момента появления положения в 2012 году, обращает внимание представитель ЦБ. Регулятор совместно с Росфинмониторингом год разрабатывал эти признаки, чтобы «исключить устаревшие и добавить новые схемы совершения необычных операций с учетом современного развития финансового рынка и общей цифровизации технологий предоставления банковских услуг», сказал он РБК.

Пока документ проходит процедуру оценки регулирующего воздействия. О том, что некоторые признаки сомнительных операций, на которые приходится обращать внимание банкам, уже устарели, глава ЦБ Эльвира Набиуллина говорила еще год назад. Она отмечала, что при новом подходе число оснований для отказа в проведении операций должно существенно сократиться.

Новый перечень «не является исчерпывающим», сказал РБК представитель ЦБ: «Кредитные организации вправе дополнить его своими критериями, характерными именно для них, с учетом масштаба, специфики и характера деятельности кредитной организации, характера совершаемых клиентами операций и связанного с ними уровня риска легализации (отмывания) преступных доходов».

Сколько денег обналичивают в России

На прошлой неделе ЦБ отчитался, что объем обналичивания денежных средств в банковском секторе России в 2019 году сократился в 1,9 раза — со 176 млрд руб. до 95 млрд руб. Как сообщил зампред Банка России Дмитрий Скобелкин, объем вывода денежных средств за рубеж клиентами кредитных организаций сократился незначительно, на 2%, но тем не менее остается на исторически низком уровне — около 64 млрд руб.

Что хочет изменить ЦБ

  • Банк России готов обновить даже общие подходы к определению сомнительности банковских операций. Например, ЦБ предлагает не считать подозрительными ситуации, когда клиент проводит операцию, несмотря на высокие комиссии или заградительные тарифы (признак 1108). Регулятор также убрал пункт о «нестандартных и сложных» расчетах: даже если операции отличаются от обычной практики клиента, их нельзя сразу относить к сомнительным, следует из документа. Тем не менее, если транзакции «не соответствуют общепринятой рыночной практике», это повод для повышенного контроля.

  • Правила взаимодействия банков с клиентами, которые привыкли сворачивать свою деятельность при возникновении подозрений у кредитной организации, также могут уточнить. Если клиент отказывается от разовой операции или просит закрыть счет и выдать деньги после вопросов со стороны банка, это должно считаться признаками сомнительности, следует из документа.
  • При этом ЦБ считает, что банкам не стоит ориентироваться на формальные обстоятельства, при которых клиент проводит операции, следует из документа. В частности, на связь транзакций с деятельностью компании, исходя из содержания ее учредительных документов (в указании 2012 года такое уточнение есть, в новом проекте регулятор его убрал).
  • Банк России внес в отдельный пункт случаи, когда клиент требует от банка проведений операции по исполнительному документу. Он намерен дать кредитным организациям право отказа, если есть подозрения, что транзакция направлена на отмывание денег или обналичивание. Ранее Росфинмониторинг указывал на всплеск обналичивания с помощью нотариальных подписей, которые имеют статус исполнительных документов. Банки в свою очередь жаловались на рост сомнительных операций с документами КТС.

  • ЦБ предлагает добавить в перечень сомнительных регулярные операции по снятию наличных физлицами, если деньги на счет поступают от юрлица или индивидуального предпринимателя. Исключение — экономически обоснованные операции вроде перечисления зарплаты, дивидендов, алиментов, пенсий и страховых возмещений.
  • Сомнительными считаются дистанционные операции, которые совершаются с одного устройства (телефон, ноутбук и т.п.) или с одной группы IP-адресов по счетам разных компаний, зарегистрированных в разных странах или принадлежащих разным собственникам, а также по счетам разных физических лиц, которые не являются родственниками. ЦБ еще в апреле 2018 года обязал банки учитывать при оценке риска клиента анализ устройств, с помощью которых клиенты переводят деньги: у каждого устройства есть идентификационный номер, и если номера совпадают у разных клиентов, то банк относит их к клиентам с повышенным уровнем риска.
  • В список признаков сомнительных операций впервые вошли операции, связанные с приобретением или продажей виртуальных активов, хотя основной закон о цифровых финансовых активах, который должен регулировать эту отрасль, до сих пор не принят. При этом предметом законопроекта являются не виртуальные активы, а цифровые финансовые активы, под которыми в последней версии проекта понимаются цифровые аналоги долговых расписок, облигаций и прав участия в капитале.
  • Регулятор убрал некоторые признаки сомнительности, которые касались зачисления средств на счета юрлиц и переводов. Но ЦБ по-прежнему намерен считать подозрительными частое поступление крупных сумм на счета или существенное увеличение внесения наличных. Вопросы у банков должны вызывать и ситуации, если поступления на счет компании существенно ниже ее трат. В новой версии документа также появились пункты о компаниях, которые занимаются покупкой металлолома, совершают почтовые денежные переводы физлицам, переводы платежным агентам или рассчитываются наличными за транспортные, туристические или медицинские услуги. Среди других важных дополнений — снятие наличных с корпоративных карт, сделки с неликвидными ценными бумагами, сделки с товарно-сырьевыми биржами ЕАЭС, отмечает партнер юридической фирмы «Арбитраж.ру» Владимир Ефремов.

К чему приведут изменения

Новый список более актуален и детален по сравнению с перечнем, утвержденным в 2012 году, отмечает заместитель гендиректора по правовым вопросам НЮС «Амулекс» Юлия Галуева. Обновленный список «чем-то упростит работу банков», но не клиентов, полагает она: им придется «более ответственно подходить к документообороту и выбору контрагентов».

В проекте поправок много дополнений, говорит Ефремов: «Многие признаки уже использовались банками в рамках локальных правил внутреннего контроля, поэтому существенных изменений в практике их применения произойти не должно. Но, с другой стороны, теперь бизнесу будет проще понять, какие операции относятся к категории повышенного риска».

Однако «большие опасения» вызывает появление признака, который позволит относить к сомнительным операциям действия по списанию со счетов на основании исполнительных документов, считает эксперт. «Во-первых, не ясно, каким образом службы банка будут определять такие исполнительные документы. Во-вторых, это идет вразрез с действующим регулированием порядка исполнения судебных решений».

Понравилась статья? Поделиться с друзьями:
Про РКО