Упрощение платёжных операций для клиентов: где грань между удобством и безопасностью?

За время пандемии коронавируса многие процессы были изменены, в том числе произошло и упрощение платежных операций для клиентов. Теперь у нас есть возможность платить через QR-коды, мессенджеры и другие способы. Но перед нами как никогда встаёт вопрос: где эта грань между удобством и безопасностью?

На него попытались ответить директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов и технический директор RBK.money Антон Куранда на пресс-конференции  Positive Technologies и RBK.money «Плюсы и минусы современных технологий кредитно-финансового сектора», проходившей в рамках киберполигона The Standoff.

«Как безопасника меня, прежде всего, беспокоит проблема идентификации плательщика и идентификация получателя. В классической схеме человек приходит в банк, предъявляет паспорт, операционист проверяет паспорт, что да, действительно, человек, который принёс паспорт, и человек, чья фотография в паспорте, это одно и то же лицо, и проводит операцию. Эта схема давно работающая, у неё есть свои слабости, она не мешает мошенникам. То есть операционное мошенничество сохраняется. Но добавляется новый механизм мошенничества, потому что фактически сим-карта в нашем телефоне становится нашим удостоверением личности», — сказал Дмитрий Кузнецов.

Он также напомнил, что до сих пор нередки случаи, когда мошенники переоформляют чужие сим-карты на себя, а дальше с их помощью авторизуются в различных сервисах и выполняют какие-либо финансовые операции.

«И чем проще будет для клиента выполнение финансовых операций, тем больше возможностей для мошенничества будет у злоумышленника. И опять нам придётся выбирать какой-то баланс между удобством и защищённостью клиентов. Где этот оптимальный баланс — предстоит ещё найти, пока готового ответа нет», — отметил Дмитрий Кузнецов.

На это Антон Куранда ответил, что если вложиться, то можно сделать и удобно, и безопасно. Вместе с тем он также добавил, что фроды с перевыпуском сим-карт в принципе ловятся, потому что и операторы, и банки могут проверять изменение уникального номера сим-карты. Он назвал это «вечной борьбой щита и меча».

Возвращаясь же к вопросу упрощения платежных операций, Антон Куранда предположил, что нас часто будут закрывать на карантины по разным причинам (хотя он очень надеется, что его предположение будет неверным), а значит, дистанционные технологии будут всё больше и больше развиваться. И это крайне выгодно для бизнеса.

«Опять же никто фродов не отменял. Найдут способы обойти все способы биометрии и аутентификации и получить за вас кредит. Только теперь им не надо будет липовую доверенность рисовать и так далее. Нужно будет получить доступ к вашему телефону, нажать на кнопочку и вывести деньги на свои аккаунты. И с этим регулятору тоже придётся что-то делать, потому что такие операции должны быть как минимум отзывными, то есть они не должны на обычных людей ложиться. В весёлое время мы живём», — отметил Антон Куранда.

Вместе с тем Дмитрий Кузнецов не согласился про борьбу щита и меча. «Действительно, всегда будут появляться новые способы мошенничества и будут появляться способы борьбы с ними. Беда в чём? Беда в том, что на самом деле бороться можно только с конкретными способами», — отметил он.

К примеру, сперва мошенники продемонстрировали, что можно перевыпускать сим-карту на другого человека, потом появились какие-то быстрые решения против этого у банка. Но между этими событиями проходит какое-то время, деньги у клиентов уходят, нарастает недовольство и так далее. Хорошо, когда есть быстрое решение. А если его нет? Сюда же он привёл пример фальшивых колл-центров, когда идёт подмена номеров и злоумышленники общаются с клиентами так, как общалась бы служба безопасности банка. По словам Дмитрия Кузнецова, предпосылки для такого мошенничества технические.

Есть недостатки в инфраструктуре сотовой связи принципиально не устранимые на сегодняшний день — это возможность подмены номера, возможность перехвата телефонного звонка, возможность перехвата смс-сообщений и так далее. И, по его словам, для того, чтобы научиться бороться с этими механиками, нужно много всего сделать — нужно модернизировать сотовую связь (это не так просто, это потребует изменения таких корневых протоколов, которые без изменений с 70-х годов прошлого века используются), нужно банкам научиться работать с мошенничествами, которые используют эти технические особенности, нужно следственным органам научиться расследовать такие инциденты (это тоже не очень просто), а для этого нужно дообучить сотрудников следственных органов, потому что подобной экспертизы у них может не быть.

«То есть новые технологии дают новые возможности для мошенничества, а каждый новый способ мошенничества тянет за собой целую цепочку, что нужно изменить в обществе, в государстве, во взаимоотношении бизнеса и клиента и так далее. Это не так просто. И это требует времени, ресурсов и даже не всегда имеет какое-то решение, которое можно взять и предложить», — заключил Дмитрий Кузнецов.

 

BIS Journal — стратегический медиапартнёр The Standoff.

18 ноября, 2020