Источники из банковской среды сообщили сегодня, что вышли новые указания ЦБ РФ и Роскомнадзора с рекомендациями, инструкцией и секретным приложением к нему. Исходя из смысла документа, его можно понимать так, что в скором времени ЦБ РФ обяжет все банки, которые предоставляют своим клиентам услуги ДБО (интернет-банкинг), осуществлять распознание лиц. Данный формат дополнительной авторизации планируется сделать обязательным для банков с 2020 года, а уже с сентября 2017 года рекомендовано, в качестве переходного этапа, внедрить системы видеофиксации всех пользователей ДБО.
Не совсем понятно, не вызовет ли это протестов среди клиентов банков, так как почти все операции современные финансовые учреждения ведут с использованием интернет-банкинга. Многим людям, особенно учитывая, что экономика России на 80% находится "в тени", будет очень неприятно фиксировать себя при входе в ДБО. Тем не менее подобными средствами будет нанесен существенный удар по киберпреступникам, так как украсть денежные средства и не попасться станет фактически не возможным. Этот вопрос особенно актуален, учитывая рост количества атак на смартфоны с целью захвата управления над ними, когда злоумышленники видят абсолютно все, что происходит на телефоне, могут контролировать СМС и всё, что вводит пользователь телефона. Такие виды атак участились в последнее время. Статистика подтверждает, что после успешно проведенной подобной атаки - ничего не убережет пользователя от хищения денежных средств, так как СМС с подтверждениями приходят на этот же "захваченный" телефон.
Приводим отрывок из рекомендаций и комментариев к скрытой части инструкций ЦБ РФ для департаментов информационной безопасности финансовых учреждений РФ:
"В связи с участившимися случаями несанкционированного списания денежных средств у клиентов банков и иных финансовых учреждений, уведомляем Вас о распространении и росте в геометрической прогрессии активности вредоносного программного обеспечения для смартфонов на базе операционной системы Android. Данное вредоносное ПО позволяет злоумышленникам получить доступ ко всей информации, вводимой на смартфоне, а также осуществлять перехват СМС-сообщений.
Настоятельно рекомендуем всем финансовым учреждениям внедрить систему видеофиксации авторизаций для всех мобильных приложений под смартфоны на базе операционной системы Android. До момента внедрения подобных систем, просим все финансовые учреждения предупредить своих клиентов о возможной опасности в специализированных пресс-релизах!
На данный момент лучшим и достаточно недорогим средством видеофиксации авторизаций является система SMMA (Shoot Me My Account) производства Российской компании "СИИ" и FindFace от компании "NTech Labs", а также FaceNet корпорации Google."
Пресс-релизы ЦБ РФ:
http://cbr.ru/credit/Gubzi_docs/fincert_survey.pdf
https://www.cbr.ru/credit/Gubzi_docs/st-13-16.pdf