Что такое дбо?

10 апреля 2019 3162 прочтений ДБО

Дистанционное банковское обслуживание (ДБО) – это комплекс услуг удаленного доступа к различным банковским операциям, которые банки предоставляют своим клиентам (как юридическим, так и физическим лицам).

Пользуясь услугами ДБО, клиенты могут, например, осуществлять удаленный доступ к своим счетам в банке или совершать платежи и переводы при помощи различных технических средств, каналов связи и с использованием специализированных программных продуктов. Такая форма взаимодействия с банком позволяет клиентам получать актуальную информацию из банка или передавать банку свои распоряжения в удобное время без визита в банк.

Термин ДБО является общим для различных технологий предоставления банковских услуг на основании распоряжений клиентов, которые передаются клиентами без их визита в банк (удаленным образом).

В общем случае под услугами дистанционного банковского обслуживания подразумеваются разноплановые электронные услуги, позволяющие обслуживать клиентов с использованием всех каналов доступа: Интернет (on-line и off-line доступ), телефон (обычный или мобильный), карманный компьютер, платежные терминалы и прочие.

Дистанционное банковское обслуживание называют также электронным банкингом, для описания технологий ДБО используются различные, иногда пересекающиеся по значению термины, например, интернет-банкинг, домашний банкинг, телебанкинг, WAP-банкинг, PC-банкинг, мобильный банкинг, SMS-банкинг и другие.

Средства криптографической защиты информации (СКЗИ) — специальные устройства, службы или программы, обеспечивающие шифрование (кодирование) и расшифрование (раскодирование) информации с целью ее защиты от несанкционированной обработки, доступа и хранения при обмене ею по каналам связи, а также отвечающие за генерацию электронной подписи (ЭП).

При шифровании каждый символ документа, передаваемого по каналу связи, подлежит кодированию, а сама информация, которую необходимо защитить, подразделяется на отдельные блоки, каждый из которых заменяется кодом: буквенным, цифровым или комбинированным. Также широко используются такие методы шифрования, как перестановка, замена, аналитическое преобразование и гаммирование.

Суть работы СКЗИ состоит в том, что созданный пользователем информационный документ соединяется с файлом электронной подписи, для чего применяется собственный закрытый ключ цифровой подписи. Получатель расшифровывает полученный файл с помощью СКЗИ и собственного ключа цифровой подписи. Далее получатель убеждается в том, что в полученный файл не вносились правки и что электронная подпись цела.

Существует два вида СКЗИ. Одни встраиваются в носитель, другие устанавливаются отдельно.

Средства криптографической защиты информации, которые встраиваются в носитель, представляют собой средства кодирования, «вшитые» в систему и запрограммированные на самостоятельную работу. Примерами устройств со встроенными средствами защиты являются JaCarta SE и «Рутокен ЭЦП». При их использовании не требуются лицензия и установка сопутствующих программ.

Средства криптографической защиты информации, которые устанавливаются отдельно, — это приложения для операционной системы компьютера. При этом на одно рабочее место можно установить лишь один экземпляр ПО. Привязанность ПО к одному компьютерному устройству является существенным недостатком, поскольку для каждого нового устройства необходимо докупить лицензию. К таким СКЗИ относятся «КриптоПро CSP» (Cryptographic Service Provider), «КриптоПро JCP» (Java Cryptography Architecture), LISSI-CSP (Лисси-CSP), VipNet CSP.

Система дистанционного банковского обслуживания (СДБО) – это многофункциональный программно-технический комплекс, позволяющий клиентам формировать и направлять в банк расчетные и иные документы, контролировать состояние своих счетов, а также получать широкий спектр актуальной финансовой информации без личного обращения в банк.

Вам больше не нужно приносить в банк документы на бумаге – электронные документы и электронные сообщения имеют аналогичную законную силу, а вместо обычной рукописной подписи на них используется электронная цифровая подпись (ЭЦП).

Преимущества использования системы дистанционного банковского обслуживания:

  • Оперативность и экономичность. Использование СДБО позволяет осуществлять управление финансовыми потоками предприятия прямо из офиса и существенно сокращает затраты рабочего времени персонала, связанные с посещением банка.
  • Простота и удобство. Автоматизация процесса подготовки расчетных и иных документов, а также наличие программного контроля по заполнению обязательных реквизитов в документах значительно упрощает процесс формирования документов и позволяет минимизировать операционные ошибки.
  • Безопасность и эффективность. СДБО позволяет увеличить безопасность и конфиденциальность документооборота с банком; в любой момент получить выписку, содержащую информацию обо всех входящих и исходящих документах и иную информацию о состоянии счета без посещения банка.

Для обеспечения максимальной безопасности операций клиентов и конфиденциальности передаваемой по каналам связи информации банк использует самые современные технические и программные средства:

  • защита с помощью пароля, ограничивающего доступ к СДБО;
  • шифрование электронных документов для обеспечения их защиты при возможном перехвате в каналах связи;
  • применение ЭЦП документов.

СДБО банка полностью соответствует законодательству и отвечает положениям Гражданского кодекса и нормативных правовых актов Национального банка Республики Беларусь. Сертификат соответствия №BY/112 02.01.04700060 и №BY/112 02.01.04700059.

При поступлении документов, переданных с использованием СДБО, банк осуществляет проверку ЭЦП на каждом полученном документе. Таким образом, при надлежащем хранении личных ключей криптографической защиты информации документы надежно защищены от подделок и нежелательного просмотра.

Исходя из потребностей клиентов категории «Корпоративный бизнес», банк предлагает обслуживание с использованием СДБО подсистем «Интернет-Клиент» или «Банк-Клиент».

Перечень электронных документов для работы корпоративных клиентов в СДБО

Как мошенники использовали голосовое меню

ЦБ расследовал инцидент, после того как один из банков сообщил о резком росте числа звонков своим клиентам от мошенников, которым было известно об остатках денежных средств на счетах, следует из письма. В результате было установлено следующее:

  • Мошенники совершали телефонные звонки в систему IVR (интерактивное голосовое меню), подменяя телефонные номера клиентов. При звонке с номера клиента они запрашивали у системы сведения по остаткам денежных средств на картах клиентов, вводя для этого последние четыре цифры номеров этих банковских карт.
  • После этого мошенники, используя методы социальной инженерии (психологические методы, направленные на обман клиентов), звонили своим жертвам, представляясь сотрудниками банка. Как говорится в письме, «для преодоления барьера недоверия и успешного применения иных методов социальной инженерии» они использовали информацию об остатках денежных средств.
  • Номера телефонов клиентов и номера принадлежащих им банковских карт были скомпрометированы и распространялись в интернете. Источник получения этих данных однозначно не установлен, однако, как считают в ЦБ, мошенники могли их получить в том числе из клиентской базы маркетплейса Joom, которая ранее оказалась в открытом доступе, следует из письма.

Как утекли данные клиентов Joom

В конце августа ЦБ и платежная система Visa предупредили банки о том, что в Сети распространяется база 55 тыс. клиентов маркетплейса Joom, которая в том числе содержит данные о банковских картах, номерах телефона и Ф.И.О. покупателей. Среди данных оказались сведения о клиентах Сбербанка, Россельхозбанка, «Открытия», Райффайзенбанка, МКБ, Тинькофф Банка, Росбанка, Почта Банка, Киви Банка, Абсолют Банка, «Ак Барса», Промсвязьбанка, Ситибанка, ЮниКредит банка, банков «Санкт-Петербург», «Уралсиб», «Зенит», «Ренессанс Кредит», РНКБ, МТС-банка, УБРиРа и других российских, а также зарубежных банков. Часть банков решили перевыпустить карты пострадавшим клиентам или усилить контроль за операциями по ним. Вскоре в интернет из скомпрометированной базы Joom попали данные 31 тыс. клиентов ВТБ.

На то, что мошенникам была известна информация об остатке на счете, жаловались клиенты Райффайзенбанка, писали «Известия». При этом в Сети появилась база данных 27 тыс. его клиентов, которая также была частью базы Joom. Райффайзенбанк подтверждает компрометацию только 2 тыс. карт, сказал РБК его представитель. 4 сентября Райффайзенбанк предупредил об участившихся звонках клиентам от мошенников, но исключал утечку данных из самого банка.

Что рекомендовал ЦБ

После обнаружения мошенничества ФинЦЕРТ ЦБ еще раз указал на необходимость следовать рекомендуемым мерам, пояснил представитель регулятора: «Банки при обслуживании клиентов в системе телефонного банкинга в автоматическом режиме должны использовать дополнительный параметр аутентификации, например секретный код, который устанавливается клиентом при заключении договора. Кроме того, последние четыре цифры номера карты не могут являться дополнительным параметром аутентификации. Соблюдение таких рекомендаций позволит банкам предотвратить подобные инциденты».

В самом письме отмечается, что безопасным идентификатором не может считаться и телефонный номер клиента из-за проблемы с подменой номеров и утечек клиентских данных. Банкам также следует обеспечить синхронизацию обращений в системы интерактивного голосового меню с системами антифрода (борьбы с мошенничеством) и выявлять аномальную активность клиентов после использования интерактивного голосового меню.

РБК направил запрос в крупнейшие банки. Представитель Райффайзенбанка рассказал, что получение данных о балансе через систему IVR — достаточно распространенный на банковском рынке функционал. «К сожалению, мы видим, что мошенники стали все чаще использовать подложные номера телефонов клиентов для получения доступа к некоторым данным», — пояснил он, добавив, что сейчас данные по остатку счета направляются на контактный номер клиента через СМС или пуш-сообщение. Такой способ, по словам представителя банка, полностью закрывает сценарий раскрытия информации посредством подмены номера мошенниками при звонке через IVR.

ВТБ, который использует функцию интерактивного голосового меню, настроил систему безопасности таким образом, чтобы максимально защищать клиентов при использовании данной услуги, сказал представитель банка. «Яндекс.Деньги» не фиксировали роста числа звонков мошенников клиентам, а для запроса баланса по карте необходимы логин и пароль, в отдельных случаях также может быть запрос СМС или одноразового пароля, отметил представитель компании. МКБ не отметил жалоб клиентов на подобные звонки.

Банк «Открытие» для своих клиентов, которые были в базе Joom, установил запрет на получение финансовой информации через голосовой помощник с самого начала.

РНКБ для предоставления баланса с помощью IVR использует доверенный номер телефона и последние четыре цифры номера карты, но при этом не фиксирует резкого роста мошеннических звонков своим клиентам. Также банк рассматривает возможность применения для этих целей биометрии.

Интерактивное голосовое меню дает возможность узнать баланс счета, сменить PIN-код и т.д., отмечает руководитель направления «Информационная безопасность» ИТ-компании КРОК Андрей Заикин. «Между тем для расширения функционала требуется интеграция со все большим количеством систем внутри банка, что влечет за собой дополнительные риски с точки зрения информационной безопасности (ИБ). Ведь один метод защиты, примененный в одном приложении, может полностью закрыть угрозу ИБ, а в другом приложении сработать не так эффективно», — предупреждает он.

Лучше давать голосовому помощнику дополнительный функционал только при использовании заранее заданного специального кода, а не только номера телефона и последних цифр карты, говорит Заикин, и многие банки уже это делают. Банки могут установить в голосовом меню для проверки клиента СМС или push-уведомления, отмечает ведущий эксперт «Лаборатории Касперского» Сергей Голованов.

Записи созданы 8837

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Похожие записи

Начните вводить, то что вы ищите выше и нажмите кнопку Enter для поиска. Нажмите кнопку ESC для отмены.

Вернуться наверх