Эксперты - о том, как решить проблему удаления приложений мобильных банков

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.043
Репутация
11.695
Реакции
61.865
RUB
50
В СМИ всё чаще появляются сообщения о мошеннических схемах, когда ведомые социальными инженерами клиенты кредитных организаций под видом обновления мобильного банка скачивали себе фишинговые утилиты или вирусы-трояны.


Результат — злоумышленники получали доступ к счетам и вкладам людей, а затем выводили деньги.
Отчасти виноваты в росте количества подобных хищений те кредитные организации, которые не готовы к переменам и к переводу клиентов на новые, более безопасные решения.

Mobile-Banking.jpg


Многие банки после введения блокирующих санкций пошли по пути публикации приложений в том же App Store с неочевидными названиями. Наиболее яркий пример: в начале 2023 года появился справочник по ресторанам Москвы «Все просто», оказавшийся мобильным банком ВТБ. Сбер, в свою очередь, выпускал утилиту «Учет онлайн».

Подобный способ обновления явно не оптимален: жили эти решения в магазинах приложений недолго, буквально сутки, но породили рост атак с использованием фишинговых приложений, мимикрирующих под мобильные банки попавших под санкции кредитных организаций. Если клиент скачает такое приложение, приняв за реальное банковское, то результатом может стать взлом и вывод денег.

Еще один вариант обновления нативных приложений — по ссылке в SMS или путем подключения «через проводочек» к компьютеру кредитной организации. Пользователи к этому привыкли, что породило новые атаки. Например, в конце марта СМИ сообщали о мошеннической схеме: на вокзалах и в аэропортах злоумышленники, представившись сотрудниками банка, предлагали выгодные кредитки, для их получения нужно было лишь обновить мобильное приложение — по ссылке или «через проводочек». В итоге закачивалась фишинговая утилита, через нее злоумышленники получали доступ к личному кабинету и выводили деньги.

Разумного адекватного способа обновления мобильного банка в ситуации, когда приложение невозможно разместить в Apple Store и Google Play от имени кредитной организации, на мой взгляд, не существует.

Но в приложениях выявляются уязвимости, их необходимо закрывать. Кроме того, отсутствие обновлений — это еще и тормоз для развития банковского бизнеса: клиентам со старыми приложениями нельзя предложить новый продукт или функцию. При этом разрабатывать новое приложение каждый раз — трудоемко и дорого. Как минимум потому, что необходима оплата работы двух команд разработчиков — под операционные системы iOS и Android.

Еще два года назад на форуме инновационных финансовых технологий ЦБ Finopolis главный управляющий директор Альфа-банка Владимир Верхошинский предсказывал, что в новой реальности все кредитные организации рано или поздно перейдут на адаптивный web. Это такие приложения, которые максимально похожи на обычные (нативные), но, по сути, это интернет-страницы, адаптированные к мобильным устройствам.

На наш взгляд, это действительно наиболее правильное решение.

Web-приложения в разработке существенно дешевле нативных, закачать их можно через любой браузер.

Сторонники натива часто указывают на ограниченную функциональность адаптивного web и, соответственно, на ухудшение клиентского опыта. Например, такие приложения сами по себе не имеют доступа к книге контактов (то есть при переводе денег через ту же СБП номер телефона необходимо вводить вручную). Кроме того, затруднен доступ к камере, что не дает возможности платить по QR-коду.

Среди других недостатков адаптива — сложности с отправкой пуш-сообщений (что означает рост расходов на SMS-информирование). А также — невозможность обеспечить безопасное подтверждение операций в соответствии с требованиями регулятора, отсутствие Face ID и Touch ID.

В то же время если для загрузки web-приложения банка используется специальный браузер, в котором есть доступ к камере, контактам, возможность отправки пуш-сообщений, встроенная подпись, то адаптивный web будет мало чем отличаться от привычного натива. И тогда не нужны будут специальные ссылочки, «проводочки» или загрузка в сторы всё новых приложений со странными названиями.

Легитимный защищенный браузер, который можно найти в магазинах приложений, загружает и исполняет код с сервера (то есть работает как обычный браузер). Решения, объединяющие функциональность web-браузера и «защищенного контейнера», позволяющего добавить функции, необходимые для безопасного и удобного использования адаптивного web, уже есть на рынке.

Потому обеспечить клиентам безопасный, удобный и функциональный мобильный банк под силу фактически любой кредитной организации.

Но для этого банки, которые попали под санкции и лишились возможности публиковать свои приложения в сторах под своими учетными записями, должны активнее разрабатывать и внедрять адаптивный web, постепенно отказываясь от ставшего небезопасным натива, и приучать к новому формату своих клиентов.


 
  • Теги
    мобильные приложения банков
  • Сверху Снизу