Технологии Бизнесса
Большой банк следит за тобой
Не только кредитные карты, но и смартфоны являются важными источниками информации для банков, с которыми вы работаете
Эта статья была опубликована на сайте liga.net и в целом несет полезную для пользователей смартфонов информацию.
Предисловие Бизнес-ресурса
Однако следует помнить, что любая информация с вашего смартфона и для него передается по открытым каналам связи через операторов мобильной и другой связи. Иными словами, любые наши секреты - и не только банковские - доступны не только операторам связи, но всевозможным прослушивающим устройствам не зависимо от того санкционированное это прослушивание или нет.
Чем больше информации принимает и передает ваш телефон, тем больше информации о вас и о вашей деятельности может знать посторонний наблюдатель или недоброжелатель.
В цивилизованном мире для банковских транзакций и передачи другой конфиденциальной информации применяются дополнительные устройства, подключаемые к смартфону. Так называемые транспондеры или шифраторы. Транспондеры специальным образом кодируют ваши банковские транзакции, делая их понятными только вам и вашему банку.
В этом случае ни операторы связи, ни прослушивающие устройства не могут знать ваших секретов, включая логины, пароли, реквизиты респондентов, геолокацию и прочее. А до тех пор, пока подобные стандарты связи с банком не будут внедрены, лучше банковские приложения вообще не использовать.
А теперь перейдем к цитируемой статье.
Приложение просит доступ
Если вы когда-нибудь устанавливали Приват24 на Android-смартфон, то наверняка столкнулись с интересным моментом.
Приложение запрашивает три доступа: геолокация, память и возможность совершать звонки. Запретить даже один из них нельзя - приложение не завершит установку. Если же перекрыть права уже потом, через общее меню настроек, Приват24 не пустит вас внутрь.
Что это - забота о безопасности клиента или принудительная слежка? И требуют ли подобное другие банковские приложения? Liga.Tech выяснила нюансы у представителей банков и экспертов.
Приват: у нас - жестко
Первым делом журналист обратился в сам ПриватБанк. Там ответили коротко: все доступы - это настройки системы безопасности и антифрода. То есть противодействие мошенникам, которые хотят утащить деньги с вашей карты.
“Доступ к звонкам - это одна из функций подтверждения авторизации клиента с помощью звонка из банка”, - объясняет пресс-секретарь банка Олег Серга. Чтобы робот смог позвонить клиенту, если вдруг обнаружит подозрительные действия с картой.
Деталями в ПриватБанке не делятся. Мол, небезопасно потенциальным мошенникам раскрывать детали работы системы. На замечание, что в других приложениях все доступы можно отключить по своему усмотрению (о чем ниже), Серга отвечает: “В других банках нет автоматизированного антифрода”.
Интересно, что жесткое требование доступа в Приват24 работает только для Android-смартфонов. Владельцы iPhone их могут отключить. “Такие требования у Apple, - рассказывает Назар Грынык, директор агентства мобильного маркетинга LEAD9. - Один из их основных принципов - не собирать никакие персональные данные без разрешения пользователя Они даже ФБР отказали в разблокировке iPhone”.
Другие банки: у нас - выбор
Liga.Tech опросила пользователей и работников Monobank, Альфа-Банка, Ощадбанка и ПУМБ.
“Все разрешения в нашем приложении запрашиваются только с целью улучшить сервис для клиента. Они не затрагивают работу основной функциональности приложения. Суперобязательных среди них нет”, - говорит Антон Тютюн, заместитель председателя правления Ощадбанка.
По его словам, геолокация устройства приложению нужна, чтобы предоставлять информацию о ближайших отделениях и банкоматах. Еще Ощад 24 просит доступ к СМС, чтобы автоматически из них вытаскивать одноразовые пароли для быстрого подтверждения операций. Доступ к камере - для удобного сканирования номера карты и возможности отправки сотруднику банка сообщений со вложенными файлами.
В Monobank все запрашиваемые права также опциональны и не влияют на разрешение пользоваться приложением, говорит сооснователь продукта Олег Гороховский. От доступа к совершению звонков здесь отказались из-за пугающей формулировки. Гороховский расписывает юзкейсы для остальных разрешений:
к хранилищу - для загрузки документов при регистрации или загрузки дополнительных документов в банк;
к контактам - для идентификации, кто из контактов клиента - клиенты банка, чтобы отобразить их в списке для переводов;
к геолокации - изначально для отображения ближайших терминалов, отделений и т.д. Сейчас она нужна центру безопасности для защиты платежей. Отключить ее можно, но тогда не будет работать антифрод.
“Но если вы включите настройку безопасности “отклонять платежи, если страна не совпадает”, нам нужна геолокация для этой функции. И мы явно запрашиваем ее через API операционной системы”, - резюмирует сооснователь Monobank.
Приложение от Альфа-Банка просит доступ к контактам, чтобы не вбивать руками номер человека, которому вы хотите пополнить счет или перевести деньги. В будущем это хотят задействовать для перечислений клиентам других банков. К памяти телефона - для хранения графических элементов интерфейса и корректной работы некоторых функций приложения.
С геолокацией Alfa-Mobile Ukraine (название исправлено) работает аналогично Monobank: показать ближайшие отделения и банкоматы, обеспечить безопасность. “Например, если локация клиента критически меняется за короткое время, это сигнал для запуска процессов с целью защиты денежных средств наших клиентов”, - объясняет Илья Боровов, вице-президент, глава управления электронного бизнеса Альфа-Банка Украина. Детали по антифроду здесь тоже не раскрывают.
И да, если отключить доступы, основной функционал приложения все равно будет работать.
Лаконичнее всего получилось с ПУМБ. Судя по скриншоту, приложению для работы вообще не нужны специфические доступы. И ничего, все работает. Правда, откомментировать, влияет ли это на защищенность платежей, в банке до публикации не успели.
Эксперты: безопасность - это важно, но принуждать к ней нельзя
Хорошо, пусть геоданные помогают банкам бороться с фродом. Но как именно?
“Первое - с их помощью система строит ваш обычный "маршрут покупок". Например, вы можете несколько раз в неделю после работы покупать продукты в одном и том же магазине, и так много месяцев или даже лет подряд. Это все учитывает антифрод-система”, - рассказывает Алексей Швачка, эксперт по кибербезопасности, технический директор Октава Киберзахист.
По его словам, интернет пестрит продажей так называемого "картона", то бишь данными в формате "номер карты, срок действия, CVV". Этих данных вполне достаточно для покупки в интернете. Но если система будет знать, что клиент в Киеве, то затормозит операцию по его карте из Ужгороде или Бангкока и переведет ее в ручной режим.
“Конечно, можно спорить о приватности данных. Но согласитесь, менее приятно быть обманутым мошенником, нежели передать информацию банку о своих перемещениях”, - аргументирует Алексей Швачка.
Ирина Артишук, эксперт по защите персональных данных компании Автор, считает использование точного местоположения излишней мерой.
“Более важный параметр защиты от фрода - IP-адрес, с которого клиент произвел вход в систему или транзакцию. Он же может быть использован для определения приблизительного местоположения клиента - а этого будет достаточно для антифрода”, - считает эксперт. Также можно анализировать историю входов с данного IP-адреса - является ли он доверенным, как, например, адрес домашнего компьютера.
А многочисленные доступы, которые требуют банковские приложения, по мнению Ирины Артишук, могут быть использованы для несанкционированного сбора персональных данных. И банки обязаны давать клиенту выбор.
“Запрашивая доступ, банк должен объяснить клиенту для каких целей или функционала требуется такой доступ. Если банк жестко требует доступ к геолокации, звонкам, СМС, камере, то тем самым он нарушает требования Закона Украины "О защите персональных данных" и GDPR, если банк обслуживает жителей Евросоюза”, - объясняет эксперт.
Алексей Швачка дополняет: современные антифрод-системы даже считывают метаданные ввода текста в онлайн-платежах. Например, скорость набора символов.
“Чаще всего мы сами помогаем мошенникам. У всех есть аккаунты в соцсетях, там есть и место работы, и наши фотографии. По этим данным совершенно спокойно можно узнать местонахождение вашего рабочего места и ваш график. При грамотном использовании этих данных мошенник может "имитировать" вас. И ни один антифрод в этом случае не поможет”, - объясняет эксперт Октава Киберзахист.