В последние несколько лет в развитии дистанционных каналов банковского обслуживания произошел настоящий прорыв, связанный с использованием мобильных устройств. Использование банковских приложений для мобильных устройств является самым перспективным каналом развития дистанционного обслуживания. По оценкам различных экспертов количество пользователей мобильного банкинга в России составляло порядка 17 миллионов человек в 2014 году (рис. 1). [1]
Рис. 1. Количество пользователей банковских приложений для мобильных устройств в России
На сегодняшний день более 54 % российских банков предлагают услуги мобильного банкинга. Наибольшая доля клиентов, использующих мобильные банковские приложения у ПАО «Сбербанк» 48 %, это объясняется огромной клиентской базой и значительными финансовыми вливаниями в передовые информационные продукты, на втором месте ПАО «Связной банк», занимающий 37 % всей клиентской базы, на долю остальных банков в совокупности приходится около 15 % (рис. 2). [1] У большинства российских финансовых учреждений доля клиентов, использующих мобильные банковские приложения колеблется в диапазоне от 10 % до 20 %.
Рис. 2. Распределение клиентов по использованию банковских приложений для мобильных устройств по банковским учреждениям
Спектр операций для клиентов, использующих мобильные банковские приложения, достаточно широк, но на первом месте стоят операции по просмотру счетов (рис. 3). [1], [2]
Рис. 3. Распределение операций, с использованием мобильного банкинга, в процентах
Для реализации мобильного банкинга в российских банковских учреждениях лидирующее положение занимает приложение Android и iPhone, занимающие по 25 % всего рынка (рис. 4). [2]
Рис. 4. Предпочтение программных приложений для реализации мобильного банкинга
При разработке банковских приложений для мобильных устройств можно определить следующие основные направления: на первом месте удобство использования приложения, на втором — быстродействие, и только лишь на третьем месте — безопасность используемого приложения.
В последнее время вопросам безопасности начинает уделяться больше внимания и по оценкам специалистов она может выйти на первое место по значимости. Ни одно из используемых приложений не дает 100 % защиты данных от киберпреступников. В зависимости от используемого, программного приложения диапазон уязвимости составляет от 14 % до 25 %. [2], [3], [4]
На сегодняшний день различают три вида атак через мобильный банкинг: [5], [6], [7], [8]
Физический доступ к устройству клиента.
При физическом доступе преступник может получить доступ к файловой системе. Если приложение хранит идентификационные данные или другие критичные данные в открытом виде, либо данные "утекают" в открытом виде, то для злоумышленника несложно получить эти данные и украсть деньги.
Атака «Maninthemiddle», «MitM» или «человек посередине».
Данная атака является атакой непосредственно на канал связи: в ходе классической атаки перехватываются данные между устройством клиента и сервером. Для этого необходимо находиться в одной сети с жертвой, к примеру, в публичной сети Wi-Fi, или использовать поддельные беспроводные точки доступа. Для осуществления необходима уязвимость в мобильном приложении, а именно некорректная работа с шифрованием передаваемых данных или полное отсутствие шифрования данных. В результате киберпреступник может получать и подменять передаваемые данные, что в итоге приводит к краже денежных средств со счета клиента.
Загрузка на устройство клиента вредоносной программы различными способами.
После установки вредоносного приложения на устройство злоумышленник может поднять свои привилегии в системе и получить удаленный доступ к устройству с полными правами доступа, что приводит к полной компрометации устройства: преступник сможет украсть критичные данные пользователя мобильного банкинга или подменять данные платежных операций.
Для каждого типа атак существуют свои способы защиты. Так, для защиты от непосредственно физического доступа к устройству необходимо использовать криптографические возможности устройства, шифровать данные и при необходимости удаленно очищать данные, а также осуществлять постоянный контроль защищенности приложения, который поможет выявить возможные уязвимости.
При атаке «MitM» необходима правильная реализация работы с криптографическим протоколом SSL, который обеспечивает безопасную передачу данных. Также рекомендуется в мобильном приложении при подключении к серверу доверять только SSL-сертификату банка.
Для защиты от вредоносных приложений необходимо постоянно обновлять программное обеспечение на устройстве, использовать программные средства защиты и, что важно, повышать осведомленность пользователей в вопросах информационной безопасности.
Таким образом, безопасность мобильного банковского приложения — это целый комплекс мер, начиная с архитектуры приложения, затем разработки с учетом всех возможных уязвимостей, а также непрерывный контроль за его работой и регулярное обновление и доработка.
Несмотря на постоянное усовершенствование как аппаратной, так и программной составляющей мобильного банкинга, объемы хищений через мобильные банковские приложения только увеличиваются.
За 2014 год владельцы мобильного банкинга 942 тысячи раз подверглись нападению киберпреступников (рис. 5), если учесть, что в среднем за один раз через мобильное приложение похищается около 15 тысяч рублей, то ущерб составил более 14 миллиардов рублей в год (рис. 6). [1], [4], [9], [10]
Рис. 5. Динамика роста количества хищений через мобильный банкинг, тыс. шт.
Рис. 6. Динамика объемов хищений через мобильные банковские приложения, млрд. рублей
В заключении можно сделать следующие выводы:
развитие мобильного банкинга в России происходит быстрыми темпами, в среднем прирост составляет около 66 % в год;
при проектировании банковских приложений для мобильных устройств на первом месте, уделялось удобству приложения, на втором — быстродействию работы мобильного банкинга, и лишь на третьем безопасности информации;
в настоящий момент происходит пересмотр приоритетов в проектировании, связанный с более тщательным подходом к вопросам безопасности, обусловленный увеличением объемов похищенных средств через банковские мобильные приложения, которые в 2014 году превысили 14 миллиардов рублей.
Литература:
- П. Кантышев «Мобильность в ущерб безопасности». [Электронный ресурс]. http://www.vedomosti.ru/newspaper/articles/2015/02/24/mobilnost-v-uscherb-bezopasnosti (Дата обращения: 09.10.2015).
- Д. Евдокимов «Безопасность мобильного банкинга: возможность реализации атаки «MitM». [Электронный ресурс]. http://www.dsec.ru/ipm-research-center/research/a_security_analysis_of_mobile_banking_applications_for_2013/ (Дата обращения: 09.10.2015).
- А. Миноженко «Безопасность мобильных банковских приложений». [Электронный ресурс]. http://www.itsec.ru/articles2/25kadr/bezopasnost-mobilnyh-bankovskih-prilozheniy (Дата обращения: 09.10.2015).
- А. В. Батаев Оценка экономической эффективности внедрения банковских смарт-карт, Молодой ученый. 2015. № 4 (84). С. 334-341
- С. В. Широкова Управление проектами. Управление проектами внедрения информационных систем для предприятия, учебное пособие / С. В. Широкова; М-во образования и науки Российской Федерации, Санкт-Петербургский гос. политехнический ун-т. Санкт-Петербург, 2012.
- Мобильный банк: удобный и опасный. [Электронный ресурс]. http://www.21nn.ru/publ/interesnoe/mobilnyj_bank_udobnyj_i_opasnyj/18-1-0-413 (Дата обращения: 09.10.2015)
- Ильин И.В., Широкова С.В., Эссер М. Управление проектами. Основы теории, методы, управление проектами в области информационных технологий, учебное пособие, Санкт-Петербург, СПбПУ, 2015, 311 с.
- В. Подунова Мобильный банкинг в России [Электронный ресурс] http://www.connect.ru/article.asp?id=9386 (Дата обращения: 09.10.2015)
- А. В. Батаев Анализ тенденций в банковском секторе России и мире. В сборнике: Финансовые решения XXI века: теория и практика Сборник научных трудов 16-й Международной научно-практической конференции. Санкт-Петербургский государственный политехнический университет Петра Великого; Ответственные за выпуск Д.Г. Родионов, Т.Ю. Кудрявцева, Ю.Ю. Купоров. Санкт-Петербург, 2015. С. 327-336.
- А. В. Батаев Основные направления развития банковского рынка в России и мире, Молодой ученый. 2015. № 9 (89). С. 520-526
