12 февраля 2020 года Центральный банк России выслал банкам и некредитным финансовым организациям информационное письмо, в котором содержались рекомендации по способам проверки принадлежности клиенту адреса электронной почты.
«Подобные проверки позволят противодействовать схемам, в которых мошенники используют перехваченные или некорректные адреса электронной почты реальных клиентов, например, для подделки платежных поручений или кражи важной информации. Также это предотвратит случайное получение посторонними людьми конфиденциальной информации клиентов банков. Исполнение данных рекомендаций позволит кредитным организациям повысить безопасность персональных данных клиентов и сохранность их денежных средств», — поясняют в ЦБ.
ЦБ предлагает проверять электронную почту клиентов по такому алгоритму:
- перед первой отправкой сообщений по электронной почте банк должен проверять, действительно ли хранящийся в его базе данных адрес электронной почты принадлежит клиенту, которому нужно отправить письмо, а также убедиться, что он не дублируется с адресами других клиентов. В случае выявления совпадения адресов электронной почты должна фиксироваться информация, что сообщенный данным клиентом адрес электронной почты не подтверждается и клиент уведомляется об этом событии по телефону или лично;
- также необходимо проверить номер мобильного телефона клиента и убедиться, что он не дублируется с номерами мобильных телефонов других клиентов;
- затем банк должен отправить клиенту на электронную почту уникальную ссылку для ее верификации (причем ссылка для верификации адреса электронной почты должна иметь уникальную последовательность символов для защиты от перебора и угадывания) и графический код, а на номер мобильного телефона клиента — СМС-сообщение с паролем, после ввода которого им будет возможно далее перейти по ссылке в письме, полученном по электронной почте;
- электронная почта клиента является подтвержденной только в случае успешного перехода клиента по ссылке для верификации и ввода на сайте банка правильного кода из СМС, направленного на мобильный телефон клиента, а также ввода корректного графического ключа, направленного на указанную электронную почту клиента;
- банк должен удалять из своей базы неподтвержденные адреса электронной почты клиентов по истечении срока действия ссылки для верификации или превышения попыток ввода кода из СМС и графического ключа.
Ранее ЦБ фиксировал факты, в том числе по обращениям граждан, когда информация, содержащая банковскую тайну, например, состояние счета, информация о платежах и кредитной задолженности, направлялась банками на электронные адреса злоумышленников, а не реальных клиентов. Согласно информационному письму, ЦБ не устанавливает периодичности контрольных мероприятий по верификации мобильных номеров и электронной почты клиентов. Однако в регуляторе надеятся, что введение новых механизмов проверки позволит обезопасить данные клиентов.
«Эти рекомендации ЦБ связаны не только с конкретным видом мошенничества, а призваны осветить и систематизировать все виды потенциальных угроз для клиентов и банков», — рассказал в интервью изданию «Ведомости» директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов.
furtaev
Интересно, а разве ещё cуществуют банки, которые не следуют этому алгоритму?
crazyv
Существуют такие банки и их достаточно много.
Если обратить внимание, то ЦБ только сейчас и только в форме «рекомендаций» высылает банкам данную информацию.
Дело в том, что коммерческие банки в России работают по принципу норм и требований законодательства, а не введения инноваций в области защиты информации. Особенно это касается организаций, которые нацелены в основном на целевое кредитование, иначе называемые кредиты «на чайники». Там решение и оформление кредита должно занимать 5 минут, и то что верифицируют хотя бы телефон — уже победа. Многие ликальные партнёры банков вбивают несуществующие адреса для ускорения процесса оформления, а клиенты в такой же спешке всё это подписывают.
Ну а то что e-mail не верифицируются и используются как средства связи и разглашения информации — эта ответственность лежит на стороне клиента с точки зрения договора.Так же в случае предоставления некорректного почтового адреса или смены номера мобильного телефона без информирования банка об этом.
На верификацию будет уходить гораздо больше времени, что повлечёт дополнительные операционные затраты, ну и естественно затраты на разработку самой системы.
tvr
Партнёры? Мне в отделении Альфы при перевыпуске карт вбили какой-то левый адрес вида «noname@mail.ru», при вопросе WTF?!!! — «Ой, у нас программа без этого дальше не пускает :((», после призыва специалиста следующего уровня — всё нормально сработало и без мыла. И про замену SIM — банк на неё отреагировал месяца через три.
crazyv
Согласен, есть и такие случаи. Ради продаж многое могут делать недобросовестные сотрудники, но пока законодательной ответственности не будет — это есть норма.
Ко всему прочему, понимание людей о персональных данных у нас в стране пока что очень скудное. Те же e-mail если и есть у людей, то используются в основной массе для регистрации на различных сервисах. Многие забивают на чтение и чистку, и, соответственно не относятся к нему как к коммуникационному инструменту.
andrey_novikov
Тинькофф, например.
vikarti
А проблемы у них из-за этого — были?
Судя по опыту общения — у них по сути две ступени авторизации при использовании каналов поддержки — первый это просто проверяется совпадение e-mail/телефона (или даже не проверяются), могут отвечать на вопросы (в том числе вида — что за бред не работает — но попросят им показать например скриншот), принять заявку и так далее а второе — если нужно через те же каналы техподдержки что-то сделать что однозначно требует не только доступа к данным аккаунта но и сообщить их клиенту или что-то поменять в аккаунте — уйдет СМС на мобильный телефон и попросят сказать код, либо позвонят на этот же телефон. При этом отличать ситуацию когда по телефону с ними говорит НЕ клиент (даже если говорящий знает все данные) — они умеют.
maxzhurkin
Постоянно приходят письма для клиентов различных банков, являющихся моими однофамильцами и, что характерно, не было ни одного письма от систем подтверждения, с другими сервисами (главным образом, игровые сервисы) ситуация прямо противоположная
tmin10
Графический ключ и смс при подтверждении почты вроде бы ни разу не видел. Везде уникальная ссылка идёт.
OnYourLips
Да, существуют и нормальные банки.
Использование СМС как второго фактора запрещено с осени 2019 года в Европе из-за небезопасности этого метода (можно провести аналогию с HTTP без TLS).
The_Kf
А какой тогда второй фактор используется? И в какой Европе: EU, EEA, Eurozone?
OnYourLips
Приложение на мобильнике или железка.
EU.
The_Kf
www.hellenicbank.com/portalserver/hb-en-portal/en/personal-banking/ways-to-bank/i-need-a/web-banking
> On 31/12/2019 digiPIN devices will be discontinued and you will need to enable SMS OTP via web banking in order to be able to make transactions.
Как раз после осени 19-го.
alexandershalin
Их огромное количество. Регулярно получаю на один из своих ящиков (фамилия@mail.ru, которому больше 20 лет) выписки из банков для левых людей.