Система аутентификации и верификации транзакций от Net1
 

Система аутентификации и верификации транзакций от Net1

Кибербезопасность — основная задача, которую должны обеспечить банки для своих пользователей. В этой статье Андрей Золотов, СТО компании Net1, рассказывает, как c помощью цифровой подписи на смартфоне можно реализовать безопасное ДБО, а также удобные и надежные механизмы авторизации пользователей и подтверждения финансовых операций и распоряжений.
Нет1 Юниверсал Текнолоджиз Восток
ООО «Нет1 Юниверсал Текнолоджиз Восток» предлагает технологии для реализации инновационных платежных продуктов, используя архитектуру высоконагруженных систем. Компания уже более 20 лет присутствует на рынке разработки банковского программного обеспечения и является продолжателем BGS Smartcard Systems, от которой унаследовала опыт и компетенции. Среди значимых проектов компании являются платежная система Сберкарт (c 2008 года — ОРПС), UzKart и многие другие (www.net1east.ru).
Платформа от Net1. Ключевые особенности

Как известно, дистанционное банковское обслуживание (ДБО) — это общий термин для технологий предоставления банковских услуг на основании распоряжений, передаваемых клиентом дистанционно (то есть без его визита в банк), чаще всего с использованием компьютерных и телефонных сетей. В данной статье мы обсудим кибербезопасность самых распространенных каналов ДБО — мобильного и интернет-­банка.

Наша компания предлагает решение, которое обеспечивает целостность, аутентичность и конфиденциальность процесса проведения аутентификационных и финансовых транзакций с соблюдением концепции WYSIWYS (What You See Is What You Sign) — "подписываю то, что вижу".

Платформа, которую мы разработали, позволяет формировать электронную подпись на смартфоне и предоставляет возможность клиентам безопасно и удобно аутентифицироваться в приложении и подтверждать свои операции — причем последние могут быть инициированы не только в мобильном банке, но и в любом цифровом канале ДБО (например, интернет-банк, e-comm операции c картами и счетами, операции в call-центре и др.).

Основное назначение нашего продукта — аутентифицировать клиента и подтверждать операции без введения проверочного кода из SMS или push-уведомления. Многие банки до сих пор продолжают использовать SMS-сообщения для рассылки кодов подтверждения операций. Вопреки подтвержденному факту, что SMS-уведомления не отвечают требованиям безопасности при передаче конфиденциальных данных и подвержены угрозам перехвата и подмены со стороны злоумышленников, к тому же SMS-рассылка обычно не бесплатна.

С технической точки зрения наша платформа представляет собой программно-­аппаратный комплекс, который состоит из программной реализации EMV-приложения банковской карты для мобильных устройств (Mobile Authentication Application) и серверного ПО для персонализации МАА и проверки токенов, сгенерированных МАА.

В нашем продукте реализована концепция PLA (PIN less Authentication). Клиент для подтверждения своих действий вводит Passcode, который служит ключом для формирования CAP-токена (Chip Authentication Program). CAP-токен представляет собой цифровую подпись данных транзакции. Транзакция считается подтвержденной только после успешной расшифровки CAP токена на сервере банка.

При первичной регистрации клиент придумывает свой персональный код (пароль). Этот код не известен никому, кроме самого клиента. Код используется в качестве ключа для формирования подписи на документе. Если ключ будет неверный, то подпись будет некорректна. При использовании платформы клиент видит подписываемый документ или распоряжение на экране своего телефона и подтверждает операцию своим персональным кодом. Код служит личным ключом для формирования цифрового токена подтверждаемой операции. Подписывающий токен формируется автономно на мобильном устройстве клиента, и необходимость в подтверждающих кодах попросту отпадает.

Наше решение подходит не только физическим лицам, оно так же будет востребовано корпоративными клиентами для безопасного онлайн-­обслуживания вне офисов банка для подписания платежных и других значимых документов с помощью приложения на мобильном телефоне руководителя или бухгалтера.

Мы предлагаем банкам коробочный продукт, который состоит из серверного ПО (СУБД Oracle/PostgreSQL, сервера приложений Tomcat EE, криптомодуля HSM SafeNet/Thales, интеграционного слоя — API для подключения систем заказчика) и библиотек для Android|iOS (МАА — Mobile Authentication Application) для интеграции непосредственно в мобильные приложения заказчика.
В чем преимущества системы по сравнению с другими решениями?

Главное преимущество нашего решения по сравнению с обычными способами подтверждения платежей (одноразовый код со скретч-­карты или SMS/push-уведомление) состоит в том, что код подтверждения операции (он же токен) формируется автономно непосредственно на мобильном устройстве клиента после ввода клиентом своего персонального пароля. Пароль известен только клиенту и является ключом для формирования подписи. Токен вычисляется по реквизитам транзакции с использованием персонального пароля клиента. Если реквизиты транзакции были подменены мошенниками или был предъявлен неправильный пароль, при проверке токена на сервере будет обнаружен факт мошенничества, и операция будет отклонена.

Еще одной ключевой особенностью нашей платформы является абсолютная безопасность по отношению к мошенническим действиям с применением методов социальной инженерии, например, звонков от «сотрудников правоохранительных органов» или «СБ банков» о переводе средств на якобы безопасный счет или о неправомерном кредитовании. По данным ЦБ, в 2020 году мошенники похитили у банковских клиентов путем несанкционированных переводов 9,7 млрд руб., проведя 773 тыс. транзакций. За год эти показатели выросли на 52,2% и 34% соответственно.

Даже если клиент сообщит злоумышленнику свой персональный пароль для подписи и подтверждения транзакций, при использовании нашей платформы этого будет недостаточно для того, чтобы злоумышленник смог ­что-то подписать от имени клиента, так как подпись возможна только со смартфона самого клиента. Это исключает возможность подтвердить документ или перевод средств без желания и контроля со стороны клиента, обеспечивает юридическую значимость, контроль целостности и авторства операции.

Можно ли назвать «электронной подписью» токен, сформированный нашей библиотекой при подтверждении клиентом транзакции?

В соответствии с № 63-ФЗ «Об электронной подписи» (Федеральный закон от 06.04.2011) простая электронная подпись (ПЭП) формируется без криптографических преобразований над самим подписываемым документом. ПЭП как раз и являются те самые одноразовые коды, которые передаются через SMS или Push.

Закон также определяет понятие усиленная неквалифицированная электронная подпись (УНЭП). Это подпись, которая генерируется путем криптографического преобразования подписываемого документа, т. е. параметры операции (например, сумма или номер счета) и персональный секрет клиента используются при формировании подписи. Поэтому любые изменения, которые внесут злоумышленники в уже подписанный документ, а также попытки переподписать документ будут обнаружены при проверке подписи.

Цифровая подпись (токен), формируемая нашей платформой, полностью соответствует УНЭП и позволяет обеспечить ту же юридическую значимость и тот же уровень безопасности, при этом обеспечивает контроль целостности авторства подписанного документа, так как формируется в результате криптографических преобразований свой­ств документа и персонального секрета клиента.

С юридической точки зрения наш продукт позволяет гарантировать авторство и неизменность подписанных документов и финансовых транзакций и является аналогом неквалифицированной электронной подписи в соответствии с Федеральным законом № 63 об электронной подписи от 06.04.2011, в соответствии со следующими критериями:
  • подпись получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
  • подпись позволяет определить лицо, подписавшее электронный документ;
  • подпись позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
  • подпись создается с использованием средств электронной подписи (ч. 3 ст. 5 ФЗ № 63)
Наша платформа абсолютно защищена от использования методов социальной инженерии
С технической точки зрения Система аутентификации от Net1 реализует методы аутентификации и цифровой подписи, определенные в PLA2010 и CTGS2010: mode1, mode2TDS, mode3TDS. Данные криптографические преобразования являются отраслевым стандартом EMV и гарантируют достоверность подписи и стойкость к различным атакам, а также позволяют быстро интегрироваться с существующей инфраструктурой заказчика по обслуживанию пластиковых карт.
Вместо пароля клиент может подтверждать операции с помощью средств биоаутентификации мобильного
Дополнительные возможности. Аутентификация по QR-коду

В настоящее время использование QR-кодов приобретает все большую популярность за счет активного развития мобильных технологий, а также из-за эпидемиологических ограничений. Одним из наиболее востребованных сценариев использования QR-кодов является авторизация пользователя в веб-приложениях (например, интернет-банк или личный кабинет) путем сканирования QR-кода в мобильном приложении. Данные сценарии были предложены в десктопных версиях WeChat и WhatsApp и сейчас активно продвигаются российскими банками. На экране интернет-­банка отображается QR-код, который сканируется мобильным банковским приложением на смартфоне пользователя. Клиент вводит свой пароль для подтверждения входа в личный кабинет, на основании которого с помощью нашей библиотеки формируется токен, подтверждающий легитимность действий клиента. Сервер, проверив достоверность токена, авторизует вход клиента в браузере.

Аналогичный сценарий можно реализовать, например, для снятия наличных на банкомате по QR-коду. Токен, сформированный на основании QR-кода банкомата и подписанный клиентом, может служить подтверждением волеизъявления клиента для снятия денежных средств. При этом все так же безопасно, как и с картой, юридически значимо и находится в строгом соответствии с законодательством.
Безопасные чаты в мессенджерах

В последнее время чат-боты в мессенджерах становятся все более полезными и создают дополнительные и удобные каналы продаж и поддержки клиентов. Российские банки очень активно продвигают боты в мессенджерах, как в наиболее привычном для большинства клиентов канале общения, при этом банку не требуется создание отдельных мобильных приложений. По данным компании Chatbots. Studio, на сегодняшний день в России у 100 самых надежных банков по версии Forbes имеется 137 чат-ботов. Чаще всего их создают в Telegram, WhatsApp, Facebook/VK Messenger и Viber. В основном боты используются для информирования клиентов о доступных сервисах и услугах банка, но для финансовых операций среда чат-ботов в мессенджерах небезопасна, так как ни клиент, ни банк не может полностью гарантировать достоверность другой стороны. Наша платформа решает данную проблему и позволяет банкам использовать чат-боты в мессенджерах для проведения платежей и переводов.

Данный функционал работает следующим образом:
  • Клиент авторизуется в мессенджере с помощью нашей платформы, которая может быть интегрирована, например, с Active Directory или с другим сервисом банка.
    С помощью бота клиент формирует платежную операцию и вводит все необходимые реквизиты (сумму, получателя и прочее). Бот передает подготовленную операцию в банк, которая затем ретранслируется на нашу Платформу аутентификации.
  • Клиент получает уведомление в мобильном приложении банка о необходимости подтвердить операцию, подготовленную в мессенджере. Детали операции отображаются в мобильном приложении банка для подтверждения.
    Клиент проверяет реквизиты и подтверждает операцию своим паролем, на основании которого с помощью нашей библиотеки МАА формируется токен, подтверждающий легитимность действий клиента. Сервер, проверив достоверность токена, авторизует проведение платежа в мессенджере.

При этом, как и в случае аутентификации по QR-коду, все безопасно, юридически значимо и соответствует законодательству.
Расширение возможностей NFC-телефонов

Сегодня бесконтактные банковские карты стали обычным инструментом оплаты для большинства клиентов. Большинство смартфонов оснащены NFC-модулем, который может взаимодействовать с бесконтактными картами, что позволяет клиентам проводить некоторые операции со своими картами удаленно на своем телефоне без визита в банк (например, активацию или смену пароля). Технически это может быть реализовано с помощью специальных команд Issuer Scripts, которые готовятся эмитентом карты и передаются для удаленного исполнения на карту. Наша платформа позволяет в полном соответствии с требованиями EMV реализовать абсолютно безопасный канал (EMV Secured Channel) для передачи эмитентом команд на карту клиента через NFC мобильного телефона.

Также с помощью нашей платформы бесконтактную карту можно использовать для формирования токена при подписи операций на мобильном устройстве. При этом NFC телефона используется как персональный кардридер с доступом в интернет, а карта — как генератор токена. Для подтверждения операции клиенту потребуется приложить свою карту к телефону и ввести ПИН-код. Генерация токена будет проведена с помощью карты, что полностью исключает ­какие-либо мошеннические действия, так как операция была подтверждена с помощью физической карты с предъявлением ПИН-кода.
Push-уведомления

Неотъемлемой частью нашей Системы авторизации и верификации транзакций являются push-уведомления. Если клиент осуществляет подготовку операции в канале ДБО, на телефон клиента приходит push-уведомление, содержащее специальную ссылку (deep link). При нажатии на уведомление открывается приложение мобильного банка для подтверждения подготовленной операции. Далее подтверждение осуществляется по вышеизложенному сценарию с предъявлением персонального пароля клиента (или Touch ID или Face ID) и генерацией токена. Наша компания также предлагает push-платформу (Систему гарантированной доставки уведомлений), которая позволяет осуществлять отправку push-уведомлений с последующим контролем их доставки и, при необходимости, повторяет отправку через SMS-агрегаторы.
О цифровой гигиене

Многие банки интересуются, как обеспечить при этом безопасность денежных средств клиента в случае потери или кражи его мобильного устройства. Процесс повторяет действия, аналогичные тем, которые клиент совершает при утрате банковской карты.

Клиент обращается в службу поддержки и просит заблокировать возможность подтверждения операций на мобильном устройстве. В результате профиль конкретного мобильного устройства блокируется в нашей системе, и все приходящие от него токены считаются скомпрометированными. В любом случае даже до блокировки профиля злоумышленник должен успеть разблокировать телефон, авторизоваться в мобильном приложении банка и ввести пароль для подтверждения своих действий, чтобы иметь возможность подтвердить ­какую-либо операцию от лица клиента. Очевидно, что если пользователь соблюдает «цифровую гигиену» и использует сложные, не совпадающие пароли для разных ресурсов, то утрата смартфона не приведет к неприятным последствиям.

Основные отличительные особенности Системы аутентификации от Net1
1. Подпись вырабатывается автономно на устройстве клиента. Для формирования подписи нет необходимости в генерации кода подтверждения на стороне сервера и его отправке клиенту посредством SMS или PUSH.

2. Реализация решения удовлетворяет всем современным практикам в области безопасности: по хранению ключей, по защите данных, по противодействию различным техническим и нетехническим атакам. Мы используем EMV-приложение банковской карты, которое перенесено на мобильное устройство. С технической точки зрения наша Система аутентификации реализует методы аутентификации, определенные в PLA2010 и CTGS2010: mode1, mode2TDS, mode3TDS. Данные криптографические преобразования являются отраслевым стандартом EMV и гарантируют достоверность подписи и криптостойкость к различным атакам, а также обеспечивают контроль целостности и авторства транзакции с помощью математических алгоритмов.

3. С юридической точки зрения Система аутентификации позволяет гарантировать авторство и неизменность подписанных документов и финансовых транзакций и является аналогом неквалифицированной электронной подписи в соответствии с Федеральным законом № 63 об электронной подписи от 06.04.2011.
Внедрение и интеграция

В наше время все меняется очень быстро, и для большинства заказчиков ключевым является вопрос скорости внедрения нашей платформы в существующую ИТ-инфраструктуру.

В составе решения присутствует интеграционный слой, который представляет собой набор REST API для подключения внешних систем. Для интеграции с мобильными приложениями заказчика мы предоставляем библиотеки (SDK) для iOS и Android, которые позволяют оперативно подключить необходимый функционал в существующие приложения банка. Для зрелой команды разработчиков на стороне заказчика внедрение может быть завершено за 2−3 месяца.

Для быстрого старта мы предоставляем описание API и SDK (с примером кода и тестовым приложением), полный комплект документации на систему, проектную команду для проработки оптимального варианта интеграции и плотной работы с командой заказчика.

Одним из успешно реализованных проектов стало внедрение нашего решения в банке ВТБ (ПАО). Приложением ВТБ Онлайн пользуются более 10 млн человек, и всем им мы можем гарантировать удобство проведения платежей без ущерба их безопасности.


Задать вопрос компании
ИМЯ*
E-mail*
Телефон*
Вопрос*

* - обязательные поля