ЦБ выпустил рекомендации для банков по верификации электронной почты клиентов, чтобы не допускать утечки их данных



    12 февраля 2020 года Центральный банк России выслал банкам и некредитным финансовым организациям информационное письмо, в котором содержались рекомендации по способам проверки принадлежности клиенту адреса электронной почты.

    «Подобные проверки позволят противодействовать схемам, в которых мошенники используют перехваченные или некорректные адреса электронной почты реальных клиентов, например, для подделки платежных поручений или кражи важной информации. Также это предотвратит случайное получение посторонними людьми конфиденциальной информации клиентов банков. Исполнение данных рекомендаций позволит кредитным организациям повысить безопасность персональных данных клиентов и сохранность их денежных средств», — поясняют в ЦБ.

    ЦБ предлагает проверять электронную почту клиентов по такому алгоритму:

    • перед первой отправкой сообщений по электронной почте банк должен проверять, действительно ли хранящийся в его базе данных адрес электронной почты принадлежит клиенту, которому нужно отправить письмо, а также убедиться, что он не дублируется с адресами других клиентов. В случае выявления совпадения адресов электронной почты должна фиксироваться информация, что сообщенный данным клиентом адрес электронной почты не подтверждается и клиент уведомляется об этом событии по телефону или лично;
    • также необходимо проверить номер мобильного телефона клиента и убедиться, что он не дублируется с номерами мобильных телефонов других клиентов;
    • затем банк должен отправить клиенту на электронную почту уникальную ссылку для ее верификации (причем ссылка для верификации адреса электронной почты должна иметь уникальную последовательность символов для защиты от перебора и угадывания) и графический код, а на номер мобильного телефона клиента — СМС-сообщение с паролем, после ввода которого им будет возможно далее перейти по ссылке в письме, полученном по электронной почте;
    • электронная почта клиента является подтвержденной только в случае успешного перехода клиента по ссылке для верификации и ввода на сайте банка правильного кода из СМС, направленного на мобильный телефон клиента, а также ввода корректного графического ключа, направленного на указанную электронную почту клиента;
    • банк должен удалять из своей базы неподтвержденные адреса электронной почты клиентов по истечении срока действия ссылки для верификации или превышения попыток ввода кода из СМС и графического ключа.

    Ранее ЦБ фиксировал факты, в том числе по обращениям граждан, когда информация, содержащая банковскую тайну, например, состояние счета, информация о платежах и кредитной задолженности, направлялась банками на электронные адреса злоумышленников, а не реальных клиентов. Согласно информационному письму, ЦБ не устанавливает периодичности контрольных мероприятий по верификации мобильных номеров и электронной почты клиентов. Однако в регуляторе надеятся, что введение новых механизмов проверки позволит обезопасить данные клиентов.

    «Эти рекомендации ЦБ связаны не только с конкретным видом мошенничества, а призваны осветить и систематизировать все виды потенциальных угроз для клиентов и банков», — рассказал в интервью изданию «Ведомости» директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 39

      0
      Интересно, а разве ещё cуществуют банки, которые не следуют этому алгоритму?
        +2
        Существуют такие банки и их достаточно много.
        Если обратить внимание, то ЦБ только сейчас и только в форме «рекомендаций» высылает банкам данную информацию.
        Дело в том, что коммерческие банки в России работают по принципу норм и требований законодательства, а не введения инноваций в области защиты информации. Особенно это касается организаций, которые нацелены в основном на целевое кредитование, иначе называемые кредиты «на чайники». Там решение и оформление кредита должно занимать 5 минут, и то что верифицируют хотя бы телефон — уже победа. Многие ликальные партнёры банков вбивают несуществующие адреса для ускорения процесса оформления, а клиенты в такой же спешке всё это подписывают.
        Ну а то что e-mail не верифицируются и используются как средства связи и разглашения информации — эта ответственность лежит на стороне клиента с точки зрения договора.Так же в случае предоставления некорректного почтового адреса или смены номера мобильного телефона без информирования банка об этом.
        На верификацию будет уходить гораздо больше времени, что повлечёт дополнительные операционные затраты, ну и естественно затраты на разработку самой системы.
          0
          Многие ликальные партнёры банков вбивают несуществующие адреса для ускорения процесса оформления, а клиенты в такой же спешке всё это подписывают.

          Партнёры? Мне в отделении Альфы при перевыпуске карт вбили какой-то левый адрес вида «noname@mail.ru», при вопросе WTF?!!! — «Ой, у нас программа без этого дальше не пускает :((», после призыва специалиста следующего уровня — всё нормально сработало и без мыла. И про замену SIM — банк на неё отреагировал месяца через три.
            0

            Согласен, есть и такие случаи. Ради продаж многое могут делать недобросовестные сотрудники, но пока законодательной ответственности не будет — это есть норма.
            Ко всему прочему, понимание людей о персональных данных у нас в стране пока что очень скудное. Те же e-mail если и есть у людей, то используются в основной массе для регистрации на различных сервисах. Многие забивают на чтение и чистку, и, соответственно не относятся к нему как к коммуникационному инструменту.

          0
          Тинькофф, например.
            0
            А проблемы у них из-за этого — были?
            Судя по опыту общения — у них по сути две ступени авторизации при использовании каналов поддержки — первый это просто проверяется совпадение e-mail/телефона (или даже не проверяются), могут отвечать на вопросы (в том числе вида — что за бред не работает — но попросят им показать например скриншот), принять заявку и так далее а второе — если нужно через те же каналы техподдержки что-то сделать что однозначно требует не только доступа к данным аккаунта но и сообщить их клиенту или что-то поменять в аккаунте — уйдет СМС на мобильный телефон и попросят сказать код, либо позвонят на этот же телефон. При этом отличать ситуацию когда по телефону с ними говорит НЕ клиент (даже если говорящий знает все данные) — они умеют.
            +1
            Постоянно приходят письма для клиентов различных банков, являющихся моими однофамильцами и, что характерно, не было ни одного письма от систем подтверждения, с другими сервисами (главным образом, игровые сервисы) ситуация прямо противоположная
              0

              Графический ключ и смс при подтверждении почты вроде бы ни разу не видел. Везде уникальная ссылка идёт.

                0
                Интересно, а разве ещё cуществуют банки, которые не следуют этому алгоритму?

                Да, существуют и нормальные банки.
                Использование СМС как второго фактора запрещено с осени 2019 года в Европе из-за небезопасности этого метода (можно провести аналогию с HTTP без TLS).

                0
                Их огромное количество. Регулярно получаю на один из своих ящиков (фамилия@mail.ru, которому больше 20 лет) выписки из банков для левых людей.
                0
                Смежная тема: периодически на разных форумах в рунете появляются вопросы о возможности переадресации СМС, и только недавно до меня дошло наконец, что это можно использовать для банковских краж и угона (или временного перехвата для угона самого канала) аккаунтов в Телеграм (у владельцев раскрученных т-каналов) без привлечения других известных но недешевых средств.
                Однако ответы на эти вопросы бывали с подробными обзорами, как и у кого из Б4 переадресация СМС возможна.
                В таком случае почему переадресация СМС не запрещена громко и публично, как давно предупреждают о суточной блокировке СМС после любой замены СИМ?
                  0
                  Тоже интересно, как это работает. И так же интересно, как возможна подмена номера телефона, у сетей, получается, нет никаких проверок?
                    0

                    Занятно, но после смены сим карты, т.е. изменения IMSI, сбер заблочил мне все смски, пока я не обратился в техпод. Совпадение? Не думаю. Но почти наверняка есть разные ситуации и, если, например, перевыпуск сим банк "палит", то вот переадресацию может и не запалить.

                      0

                      Уже лет десять, если не больше, при перевыпуске симки сотовый оператор извещает банк.

                        0

                        Если у банка есть договор с этим сотовым оператором. Последний раз, когда я поменял симку, пчелайн просто сообщил мне, что в течение суток я не буду получать вообще никаких смс от банков.

                          +1
                          Никто никого не извещает. Узнать номер IMSI и прочие данные может вообще любой, достаточно знать номер телефона. Сделать это можно например здесь и заблокировать эту возможность нельзя, она заложена в сам GSM протокол.

                          Работает это так:
                          SMS-центр делает вид, что собирается послать вам SMS. По номеру вашего телефона можно смаршрутизировать запрос в вашу сеть: «Куда сейчас направлять SMS для этого адресата?» В ответе вашей сети, содержащем сведения о вашей SIM-карте, сообщаются все вышеназванные сведения. SMS-центр сохраняет эти данные, а саму посылку SMS не производит.
                            +1
                            проверил на своем телефоне -выдает неверный имси
                            похоже оператор подставляет какой-то свой служебный для приема смс
                              0

                              В договоре с банком явно прописан пункт о передаче моих данным операторам, чтобы те их извещали о смене сим

                            0
                            Совпадение. Два месяца назад менял симки ни один банк (не только Сбер) не почесался.
                          +1

                          К слову расскажу: пару лет назад жена заменила симку (нужна была меньшего формата для нового телефона), при этом ей вернули старую, которую мы зачем-то оставили в старом телефоне. С удивлением обнаружили, что симка продублировалась, то есть на старый телефон приходили копии СМС, в том числе и банковские.

                            0
                            C банковскими СМС это так просто не работает. Даже когда клиент именно этого и хочет, и насколько помню в описании соответствущих услуг Б4 — об этом прямо говорится (правда не говорится по какому критерию СМС — банковская).
                            +1
                            перед первой отправкой сообщений по электронной почте банк должен проверять, действительно ли хранящийся в его базе данных адрес электронной почты принадлежит клиенту…
                            … клиент уведомляется об этом событии по телефону или лично

                            Эээ ну т.е. их не смущает, что этим они рассказывают непойми кому, что «у нас в банке есть клиент с таким-то email-адресом»?
                              0
                              Там же сначала приходит смс, затем ссылка (не обязательно с именем), и пройдя по ссылке надо будет ввести смс с телефона. Таким образом делается связка Клиент-Email-Телефон.
                                0
                                Читаем внимательнее.
                                  0
                                  Нет, это только на третьем шаге. А уведомление отправляется уже на первом.
                                +2
                                Ситуация: оформляешься в банке, а тебе говорят, что твой номер телефона уже в базе, но не принадлежит тебе. Значит тебе надо подтверждение, что номер теперь твой. Идёшь к оператору, а оператор не имеет формы для выдачи по месту требования. Значит нужно найти свой договор (некоторые его уже выкинули), пойти к нотариусу, заверить документ и принести в банк, чтоб твой номер отвязали от другого клиента.

                                Выводы: зачем нужен банк? Храните ваши денежки наличкой под матрасом. Целее будут.
                                  +1
                                  что твой номер телефона уже в базе
                                  Просто говоришь «он всё-таки мой», вводишь код из СМС, и всё. Система подтвердилась, что номером действительно владеешь. Не вижу проблем и противоречий.
                                    0
                                    Если «номер теперь твой», то не вижу проблемы предоставить свою копию договора об оказании услуг связи, который выдается при подключении. Не выдали или купил симку в переходе? Это уже не проблемы банка.
                                      0

                                      С момента подключения могло пройти лет 10. Я сейчас даже не припомню, где мой договор на телефон хранится дома...

                                        0

                                        Достать копию договора от оператора

                                          0

                                          Договору 19 лет, чернила подвыцвели, но вполне читаемо. Лежит с кучей других бумаг в известном месте.

                                            0
                                            У меня тоже лежало несколько договоров от которых симок (и номеров соответственно) нет уже более 10 лет. Я бы не поверил что ваш договор всё ещё действителен.
                                          0
                                          Я номер заводил лет 15-20 назад. Уже даже и не помню когда.
                                          Ви таки думаете, что у меня сохранился договор? Тем более, что он был с оператором Ermak, который в дальнейшем влился в РТ, а затем мобильное подразделение РТ стало называться Теле2.
                                          И будь у меня копия договора с Ermak — как банк проверит его подлинность?
                                          В приведенном варианте как раз легче и украсть номер, предъявив договор с уже несуществующим оператором, как якобы реальным.
                                        0

                                        А почему нельзя подписывать почту с помощью сертификатов, полученных на аккредитованных Минкомсвязью Удостоверящих Центрах (УЦ)?

                                          0
                                          Думают о том, как клиент будет это проверять?
                                          Если для «обычной» подписи электронной почты есть S/MIME, и какая-никакая поддержка на уровне клиентского ПО(и extensions для всяких gmail'ов) то ГОСТовские подписи проверить проверить не так уж просто.
                                          0

                                          Было бы желание. На самом деле все есть.

                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                          Самое читаемое