iTAN, mTAN, chipTAN? Обзор всех процедур TAN

Сначала ввести имя пользователя, затем PIN-код — и в конце TAN? Для многих пользователей интернет-банкинга строгие меры безопасности — это необходимое зло, без которого они хотели бы обойтись. С момента своего появления в 1976 году номер транзакции, в частности, эффективно помогает защитить финансы людей — конечно, при условии, что владелец счета правильно выполняет соответствующие процедуры TAN и не попадает в сети кибермошенников. Узнайте из этого руководства, какие процедуры существуют, насколько они безопасны и что вы можете сделать, чтобы защитить свои деньги от киберпреступников.

Что такое TAN?

TAN — это одноразовый пароль, обычно состоящий из шести десятичных цифр. В основном он используется для банковских переводов и изменения настроек в интернет-банкинге. TAN являются одним из наиболее часто используемых инструментов двухфакторной аутентификации и создают дополнительный уровень доступа в дополнение к имени пользователя и PIN-коду: они должны предотвратить несанкционированный контроль преступников над иностранными банковскими счетами. Даже если они уже получили ваш PIN-код с помощью фишинга или троянов, переводы не могут быть осуществлены без TAN. Это гарантируется тем, что каждый TAN напрямую связан с такими конфиденциальными данными, как IBAN и сумма перевода — кроме того, TAN действителен только для одной транзакции и действует только в течение ограниченного периода времени (всего несколько минут).

Что такое процедуры TAN и как они работают?

Процедура TAN — это метод, с помощью которого действительный TAN передается законному пользователю и используется для аутентификации. Существует несколько различных методов — но основной принцип для всех них очень похож:

  1. Сначала войдите на интернет-портал вашего банка через приложение онлайн-банкинга или банковское программное обеспечение, начните перевод, а затем завершите и подтвердите его.
  2. Теперь на экране снова появятся введенные вами данные о переводе. Внимательно проверьте их, чтобы убедиться, что это действительно ваш заказ и что они не подверглись каким-либо манипуляциям со стороны третьих лиц. Затем подтвердите перевод.
  3. Теперь ваш банк запросит действительный TAN. Он генерируется в соответствии с процедурой, которую вы определили заранее. Введя действительный номер транзакции, вы подтвердите свой перевод, и он будет выполнен.

Какие существуют процедуры TAN?

Возможно, вы помните, что в прошлом персональные TAN были доступны только в виде пронумерованного списка на бумаге, который присылал вам ваш банк. Чтобы узаконить транзакции, достаточно было ввести TAN из списка во время онлайн-банкинга. Когда все номера были израсходованы, заказывался новый. Слабые стороны такой процедуры очевидны: если список будет утерян, все номера действительных транзакций окажутся в руках нашедшего. По этой причине на смену классическому списку TAN с 2005 года пришли более новые и безопасные процедуры. Большинство из них используют цифровые технологии. 

Отдельные процессы различаются по требованиям, удобству для пользователя и уровню безопасности. Поэтому, прежде чем выбрать расчетный счет, стоит критически оценить имеющиеся на рынке процедуры TAN.

Вышедшая из употребления модель: процесс iTAN

Индексированный список TAN» является прямым преемником классического списка TAN и уже давно является стандартной процедурой в онлайн-банкинге для частных клиентов. Самое важное новшество по сравнению с предшественником? Клиент больше не может проверять свои поручения на перевод с помощью любого TAN, выбранного из списка. Вместо этого соответствующий банк/финансовое учреждение указывает очень специфический номер позиции (называемый индексом), который совпадает с номером транзакции на потерянном и который невозможно предугадать заранее.

Хотя эта небольшая модификация теоретически обеспечивает более высокий уровень безопасности, она также имеет свои недостатки. Поскольку вы никогда не знаете заранее, какой TAN потребует банк, вам всегда нужно иметь под рукой весь список TAN для проведения платежных операций. Если в классическом варианте вы могли выписывать отдельные TAN, которые не были непосредственно распознаваемы как TAN (ведь теоретически они могли быть и телефонными номерами), то список iTAN практически всегда распознается как таковой.

Случаи, когда преступники завладевали этими списками и использовали их для мошеннических действий, также участились при этой процедуре. Поэтому iTAN не сразу стали считать стопроцентно безопасным. Расширение iTANplus и введение номера подтверждения (BEN) лишь незначительно повысили безопасность.

Однако некоторые банки все еще продолжают предлагать списки iTAN, но только в качестве «минимальной защиты». Большинство поставщиков услуг не советуют полагаться только на iTAN и рекомендуют обратиться к более современным процедурам. Прежде всего, обычно этим методом пользуются только существующие клиенты, потому что переход на другие процессы кажется им трудоемким или сложным. Если вы все еще работаете с аналоговым списком, вам определенно стоит выбрать другие процедуры TAN.

Мобильный банкинг: Процедура mTAN

Концепция процедуры mTAN (также называемой smsTAN или mobileTAN) основана на использовании второго устройства, которое обычно используется в дополнение к ноутбуку или компьютеру, с которого вы входите в систему для онлайн-банкинга. Если вы хотите проверить перевод, банк отправляет вам свежесгенерированный TAN по SMS (может взиматься плата за мобильную связь) на мобильный телефон или смартфон клиента. Затем клиент вводит TAN в свое приложение онлайн-банкинга. Хотя mTAN не является широко используемой процедурой в США, это обычная практика в ряде стран, включая: Австрия, Чехия, Венгрия, Болгария, Германия, Нидерланды, Россия, ЮАР, Швейцария, Австралия, Новая Зеландия, Испания и Украина.

Из-за широкого распространения мобильных телефонов процедура mTAN считается самой популярной во многих европейских странах, где многие банки предлагают ее в качестве стандартной. Поскольку нет необходимости хранить бумажный список, mTAN по своей основной концепции гораздо более безопасен, чем процесс iTAN. Кроме того, клиент может проверить данные своего перевода (особенно номер целевого счета и сумму перевода) еще раз на отдельном устройстве, чтобы выявить атаки типа «человек посередине» (см. пункт 5, «Какие аспекты безопасности необходимо соблюдать при работе с процедурами TAN?»).

Хотя имеет смысл запускать онлайн-банкинг и прием TAN через одно устройство, большинство банков препятствуют этому с помощью технических препятствий. Если бы оба устройства работали через одно, это значительно снизило бы безопасность поручений на перевод. Поэтому такое разделение также в интересах клиента: Если пользователь потеряет свой смартфон, то без такого разделения оба фактора аутентификации могут попасть в руки незнакомцев. По этой причине для онлайн-банкинга всегда следует использовать отдельное устройство.

Когда онлайн-банкинг и TAN-устройства разделены, процедура mTAN обеспечивает среднюю или высокую степень безопасности. Однако в последнее время его репутация несколько пострадала: поскольку мобильные телефоны со временем превратились в многофункциональные устройства с постоянным подключением к Интернету, киберпреступникам стало проще получать доступ к хранящимся там данным с помощью фишинга и троянов.

Особая гибкость: процесс pushTAN

Хотя в процедуре pushTAN обычно используется только одно мобильное устройство (например, смартфон или планшет), она все же позволяет осуществить двухфакторную аутентификацию. В этой процедуре мобильное устройство использует два логически разделенных канала: по одному каналу клиент заходит на веб-портал своего банка или в банковское приложение, а по второму каналу устанавливается защищенное паролем приложение pushTAN (бесплатно доступное в Apple Store или Google Play), которое отображает данные перевода для проверки и генерирует действительный TAN по запросу. Затем эти данные можно ввести в онлайн-банкинг или, если банкинг и приложение pushTAN совместимы, передать непосредственно в бланк перевода. Преимущество очевидно — с pushTAN вам нужно только одно устройство, и вы можете вести банковские дела на ходу.

Безопаснее, чем мобильный телефон: процедура chipTAN

Для проведения процедуры chipTAN или smartTAN вам потребуется дополнительное оборудование в виде генератора chipTAN или считывателя карт. Небольшое беспроводное устройство можно приобрести как в фирменном исполнении вашего банка, так и в специализированных магазинах — недорогие устройства обычно стоят $12-17, а некоторые банки высылают своим клиентам устройства бесплатно. Вы можете использовать их для нескольких счетов и пользователей без каких-либо проблем. Для активации генератора chipTAN вам необходима чиповая карта (обычно это банковская карта EC/Visa/Maestro), выданная вашим банком. Чтобы сгенерировать TAN, вы вставляете чиповую карту в кард-ридер. Теперь вы можете осуществить банковский перевод через портал онлайн-банкинга с помощью графического кода, сгенерированного считывающим устройством. Устройство сканирует чип вашей карты и в результате выдает TAN. Если сканирование по какой-то причине не работает, вы также можете ввести данные о переводе вручную.

Поскольку генератор chipTAN никогда не подключается к Интернету, процедура считается очень безопасной — ведь у злоумышленников нет возможности получить доступ к генератору. Уже одно это делает процедуру стоящей, несмотря на возможные затраты на покупку устройства и дополнительные усилия по обработке. Однако потенциальным риском является потеря чиповой карты. Если она попадет в руки преступника, то теоретически он сможет создать бесконечное число транзакций с помощью любого генератора чипа TAN. Поэтому, если вы потеряете свою карту, убедитесь, что она немедленно заблокирована, чтобы предотвратить злоупотребления. В любом случае это рекомендуется сделать, поскольку преступники могут использовать вашу банковскую карту для оплаты товаров в Интернете, не зная ваших банковских реквизитов.

Отдельные устройства различаются по дизайну и функциональности. Некоторые из них похожи на коммерческий калькулятор с многострочным дисплеем, а некоторые имеют размер USB-флешки без каких-либо дисплеев. Полезны также максимально долгое время работы от батареи и возможность использования Bluetooth (для передачи данных банковского перевода и TAN).

Процедура фотоТАН — взлом маловероятен

Относительно новая процедура photoTAN в принципе похожа на описанную выше процедуру chipTAN, но в ней используется специальное оборудование — считыватель photoTAN (цена: $17-35). В качестве альтернативы можно воспользоваться бесплатным приложением photoTAN, используя внутреннюю камеру смартфона. Однако вместо чипа процесс photoTAN сканирует цветную мозаичную графику.

Эта процедура имеет те же преимущества, что и pushTAN и chipTAN, но и те же риски: прежде всего, потеря чиповой карты или смартфона, на котором установлено приложение photoTAN. Поскольку эта процедура все еще не получила широкого распространения, эксперты считают, что высокий уровень мошенничества при использовании photoTAN очень маловероятен, даже если взлом технически возможен при использовании смартфона вместо считывающего устройства. Несмотря на это, считыватель карт по-прежнему является рекомендуемым методом проверки.

Максимальная безопасность: Процесс HBCI/FinTS

Строго говоря, стандартный интерфейс HBCI (Home Banking Computer Interface), разработанный еще в 1998 году, вовсе не является процедурой TAN. Напротив, это механизм безопасности для банковских операций в Интернете. В первую очередь он был разработан для компаний и пользователей, имеющих несколько счетов в различных финансовых учреждениях. Хотя после дальнейшего развития в 2002 году этот процесс был фактически переименован в FinTS (Financial Transaction Services), он по-прежнему известен как HBCI.

Подобно chipTAN и photoTAN, эта процедура требует наличия картридера (цена около $70), который должен использоваться с вашей чиповой картой. Кроме того, пользователям также необходим PIN-код и специальное финансовое программное обеспечение. Последнее можно приобрести в специализированных магазинах или непосредственно в вашем банке по цене примерно $23-$117 (в зависимости от версии и набора функций) или использовать за ежемесячную плату.

Сложная регистрация процесса обеспечивает высокий уровень безопасности для HBCI:

  1. Сначала запустите финансовое программное обеспечение и войдите в систему, указав свои данные доступа. При первом использовании программа автоматически генерирует два цифровых ключа — «ключ подписи» для чип-карты и «ключ шифрования» для банковского сервера — в качестве электронной подписи для всех транзакций.
  2. После выполнения перевода подключите устройство для чтения карт HBCI к компьютеру, подтвердите свой PIN-код и вставьте чип-карту HBCI в устройство.
  3. Теперь ключ подписи на чип-карте авторизует перевод, который кодируется ключом шифрования и отправляется на сервер банка по многократно защищенной линии. Как только там проверят ключ шифрования, перевод будет выполнен.

Из-за высокой стоимости приобретения и сложного процесса HBCI непривлекательна для большинства частных пользователей. Однако это, несомненно, самая безопасная процедура TAN, представленная в настоящее время на рынке. Поскольку киберпреступники, как правило, фокусируются на распространенных операционных системах и веб-браузерах, а не разрабатывают методы атак на редко используемые программы домашнего банкинга с целью достижения максимальной эффективности, о случаях мошенничества пока не известно.

Процедуры TAN: преимущества и недостатки

Все процедуры TAN имеют свои преимущества и недостатки. Чтобы найти подходящую для вас, необходимо тщательно взвесить затраты, удобство использования и уровень безопасности. Убедитесь, что вы не идете на ненужный риск из соображений удобства.

Процедура TAN

Требования/расходы

Уровень безопасности

Самый высокий риск безопасности (в сочетании с распространенными методами фишинга и/или банковскими троянами)

iTAN

Одноразовая регистрация, устройство для онлайн-банкинга (например, ноутбук), список iTAN (с возможностью повторного заказа)

низкий

Возможна потеря списка

mTAN

Одноразовая регистрация (может взиматься плата), устройство, необходимое для интернет-банкинга (например, ноутбук), стационарный телефон с поддержкой SMS, мобильный телефон или смартфон

средний

Возможна потеря устройства для отправки SMS

pushTAN

Одноразовая регистрация, мобильное устройство, приложение для онлайн-банкинга, приложение pushTAN

высокий

Потеря мобильного устройства, установка приложения онлайн-банкинга и pushTAN на одном устройстве, использование одного и того же пароля для обоих приложений

chipTAN

Одноразовая регистрация, устройство для онлайн-банкинга (например, ноутбук), генератор чипов ($12-17), чиповая банковская карта

высокая

Потеря чиповой карты

photoTAN

Одноразовая регистрация, устройство для онлайн-банкинга (например, ноутбук), считыватель фотоТАН ($17-35) или бесплатное приложение фотоТАН, банковская карта с чипом

высокий

Потеря чиповой карты или мобильного устройства, на котором установлено приложение photoTAN

HBCI

Одноразовая регистрация, устройство для онлайн-банкинга (например, ноутбук), специальное финансовое программное обеспечение ($23-117), картридер (около $70), чиповая карта HBCI, персональный PIN-код

Очень высокий

Неизвестный риск безопасности

Какие аспекты безопасности необходимо соблюдать при работе с процедурой TAN?

Процедуры TAN гарантируют максимально возможную безопасность, но никогда не могут гарантировать 100% безопасности, когда речь идет об онлайн-банкинге — даже если некоторые финансовые учреждения утверждают, что это правда. Отрезвляющая правда такова: за исключением HBCI, которая сама по себе не является процедурой TAN, каждая процедура в какой-то момент была успешно взломана. Хотя процедурные уязвимости играли важную роль в каждом случае мошенничества, решающим фактором обычно становилась совершенно другая слабость: клиент. Изолированные от внутренней инфраструктуры безопасности банка, часто незнакомые с вопросами ИТ и порой импульсивные, они являются самым слабым звеном в цепи для многих преступников.

Это также является причиной того, что кибератаки на банковские счета всегда направлены в первую очередь на их владельца. По этой причине именно клиент должен заниматься вопросами безопасности счета и развивать осведомленность о безопасном обращении с онлайн-банкингом и процедурами TAN. В этом контексте может быть полезно знать и понимать типичный ход атаки. В настоящее время существует огромное разнообразие возможных сценариев атак, и каждый день преступники придумывают новые способы получения денег, которые им не принадлежат. Это означает, что мы не можем перечислить все возможные уловки киберпреступников, но мы расскажем о наиболее типичных мошенничествах, которые они осуществляют. Следующие объяснения относятся к процедуре TAN.

Для того чтобы использовать человеческий фактор для проникновения в систему IT-безопасности, опытные злоумышленники используют не только набор цифровых и технических инструментов, но, прежде всего, методологию: Социальная инженерия. Они пытаются заставить свою жертву вести себя неправильно в критически важной для безопасности ситуации. Например, хакер может выдать себя за сотрудника внешней компании ИТ-поддержки, которого попросили решить проблемы с бухгалтерским и банковским ПО. В этом контексте они затем пытаются запросить у собеседника доступ или банковские данные.

Первым шагом кибератаки часто является проникновение троянца. Это происходит, например, путем соблазнения жертвы перейти по зараженной ссылке в электронном письме. Чем серьезнее выглядит электронное письмо и адрес электронной почты, тем больше вероятность того, что такой вид фишинга сработает. Тематические строки типа «Напоминание», «Счет заблокирован» или «Проверка безопасности» призваны заставить потенциальную жертву открыть письмо.

  1. Независимо от того, каким образом банковский троянец проникает к жертве, обнаружив ваше устройство онлайн-банкинга, он может шпионить и обнаружить соответствующие данные доступа. Хакер преодолел первое препятствие.
  2. Теперь злоумышленнику необходимо сорвать процедуру TAN, и для этого существует несколько вариантов, включая следующие три:
  • Кража мобильного устройства — вероятно, самый распространенный метод, но и самый вероятный, что жертва сразу же заметит его.
  • Другая стратегия заключается в использовании перехваченных данных доступа для переноса мобильного номера устройства на вторую SIM-карту. Затем злоумышленник настраивает ее таким образом, чтобы все SMS (и, соответственно, номера транзакций) отправлялись на его SIM-карту, а все остальные функции (например, телефонная связь) оставались на устройстве жертвы. Обычно жертве требуется больше времени, чтобы заметить это.
  • Однако атака «человек посередине» особенно хитра, поскольку она более или менее незаметна: троянец встраивается в браузер жертвы и имитирует платформу онлайн-банкинга. Они изменяют или добавляют определенные элементы в платформу. Ничего не подозревающие жертвы вводят свои регистрационные данные, включая соответствующий TAN. Однако в фоновом режиме злоумышленник уже получил доступ к данным и осуществляет прямые банковские переводы на свой собственный счет. В зависимости от того, насколько они умны, на обнаружение ущерба могут уйти недели или даже месяцы.

То, как преступник получает данные вашего TAN, не имеет значения для вас как потребителя. Вместо этого вам следует сосредоточиться на защите от первых шагов кибератаки (социальная инженерия, использование банковских троянцев). Например, нужно обращать внимание на типичные признаки фишинга и не передавать конфиденциальные данные третьим лицам, даже если они ведут себя как надежный поставщик услуг (IT-поддержка, поставщик бухгалтерских услуг и т.д.).

Оцените статью
cdelat.ru
Добавить комментарий