12 февраля 2020 года Центральный банк России выслал банкам и некредитным финансовым организациям информационное письмо, в котором содержались рекомендации по способам проверки принадлежности клиенту адреса электронной почты.
«Подобные проверки позволят противодействовать схемам, в которых мошенники используют перехваченные или некорректные адреса электронной почты реальных клиентов, например, для подделки платежных поручений или кражи важной информации. Также это предотвратит случайное получение посторонними людьми конфиденциальной информации клиентов банков. Исполнение данных рекомендаций позволит кредитным организациям повысить безопасность персональных данных клиентов и сохранность их денежных средств», — поясняют в ЦБ.
ЦБ предлагает проверять электронную почту клиентов по такому алгоритму:
- перед первой отправкой сообщений по электронной почте банк должен проверять, действительно ли хранящийся в его базе данных адрес электронной почты принадлежит клиенту, которому нужно отправить письмо, а также убедиться, что он не дублируется с адресами других клиентов. В случае выявления совпадения адресов электронной почты должна фиксироваться информация, что сообщенный данным клиентом адрес электронной почты не подтверждается и клиент уведомляется об этом событии по телефону или лично;
- также необходимо проверить номер мобильного телефона клиента и убедиться, что он не дублируется с адресами других клиентов;
- затем банк должен отправить клиенту на электронную почту уникальную ссылку для ее верификации (причем ссылка для верификации адреса электронной почты должна иметь уникальную последовательность символов для защиты от перебора и угадывания) и графический код, а на номер мобильного телефона клиента — СМС-сообщение с паролем, после ввода которого им будет возможно далее перейти по ссылке в письме, полученном по электронной почте;
- электронная почта клиента является подтвержденной, в случае успешного перехода клиента по ссылке для верификации и ввода на сайте банка правильного кода из СМС, направленного на мобильный телефон клиента, а также корректного графического ключа, направленного на указанную электронную почту клиента;
- банк должен удалять из своей базы неподтвержденные адреса электронной почты клиентов по истечении срока действия ссылки для верификации или превышения попыток ввода кода из СМС и графического ключа.
Ранее ЦБ фиксировал факты, в том числе по обращениям граждан, когда информация, содержащая банковскую тайну, например, состояние счета, информация о платежах и кредитной задолженности, направлялась банками на электронные адреса злоумышленников, а не реальных клиентов. Согласно информационному письму, ЦБ не устанавливает периодичности контрольных мероприятий по верификации мобильных номеров и электронной почты клиентов. Однако в регуляторе наедятся, что введение новых механизмов проверки позволит обезопасить данные клиентов.
«Эти рекомендации ЦБ связаны не только с конкретным видом мошенничества, а призваны осветить и систематизировать все виды потенциальных угроз для клиентов и банков», — рассказал в интервью изданию «Ведомости» директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов.
Комментариев нет:
Отправить комментарий