Авторские права
Информация, содержащаяся на данном интернет-сайте, предназначена только для Вашего личного использования. Запрещается сохранять, воспроизводить, передавать или изменять любую часть данного интернет-сайта без предварительного письменного разрешения АО «Экспобанк». Разрешается распечатка информации с данного интернет-сайта только для Вашего личного использования такой информации.
Доступ к сайту
АО «Экспобанк» имеет право по своему усмотрению в одностороннем порядке ограничить доступ к информации, содержащейся на данном интернет-сайте, в том числе (но, не ограничиваясь) если есть основания полагать, что такой доступ осуществляется с нарушением настоящих условий.
Обращаем Ваше внимание, что данный интернет-сайт разработан таким образом, и его структура подразумевает, что доступ к интернет-сайту и получение соответствующей информации должны начинаться со стартовой страницы интернет-сайта. В этой связи, доступ к любой странице этого интернет-сайта посредством прямой ссылки на такую страницу, минуя стартовую страницу данного интернет-сайта может означать, что Вы не увидите важную информацию о данном интернет-сайте, а также условия использования этого интернет-сайта.
Ограничение ответственности
АО «Экспобанк» ни при каких обстоятельствах не несет ответственности или обязательств ни за какой ущерб, включая (без ограничений) ущерб или потери любого вида вследствие невнимательности, включая (без ограничений) прямые, косвенные, случайные, специальные или сопутствующие убытки, ущерб или расходы, возникшие в связи с данным интернет-сайтом, его использованием, доступом к нему, или невозможностью использования или связанные с любой ошибкой, несрабатыванием, неисправностью, компьютерным вирусом или сбоем оборудования, или потеря дохода или деловой репутации, даже в тех случаях, когда в явно выраженной форме Вам было сообщено о возможности таких потерь или ущерба, возникших в связи доступом, использованием, работой, просмотром данного интернет-сайта, или размещенных на данном интернет-сайте ссылок на интернет-сайты третьих лиц.
АО «Экспобанк» оставляет за собой право изменять, приостанавливать или прекращать временно или на постоянной основе работу данного интернет-сайта или любой его части с предварительным уведомлением или без предварительного уведомления в любое время по своему усмотрению.
Отсутствие гарантий
Принимая во внимание, что АО «Экспобанк» предпринимает и будет предпринимать все разумные меры для обеспечения аккуратности и достоверности информации размещенной на данном интернет-сайте, следует учитывать, что АО «Экспобанк» не гарантирует и не принимает никаких обязательств (прямых и косвенных) по отношению к точности, своевременности и полноте размещенной на данном интернет-сайте информации.
Оценки, заключения и любая другая информация, размещенные на данном интернет-сайте следует применять только в информационных целях и только для Вашего персонального использования (принимая во внимание порядок изменения настоящих условий, изложенный в начале).
Никакая информация, размещенная на данном интернет-сайте, не может и не должна рассматриваться в качестве инвестиционного, юридического, налогового или любого другого совета или консультации, и не предназначена и не должна использоваться при принятии каких-либо решений (в том числе инвестиционных).
Отсутствие оферты
Никакая информация, содержащаяся на данном интернет-сайте, не может и не должна рассматриваться в качестве предложения или рекомендации о приобретении или размещении любых инвестиций или о заключении любой другой сделки или предоставлении инвестиционных советов или оказании услуг.
Продукты и услуги третьих лиц
В случае если на данном интернет-сайте находятся ссылки на интернет-сайты третьих лиц, такие ссылки не являются поддержкой, продвижением, либо рекламой со стороны АО «Экспобанк» продуктов или услуг предлагаемых на таких интернет-сайтах третьих лиц. Вы самостоятельно несете всю ответственность, связанную с использованием Вами указанных ссылок для доступа к интернет-сайтам третьих лиц.
АО «Экспобанк» не несет ответственности или обязанности за содержание, использование или доступность таких интернет-сайтов третьих лиц или за любые потери или ущерб, возникающие в результате использования таких интернет-сайтов третьих лиц. АО «Экспобанк» не проверяет, не гарантирует и не несет ответственности за точность и корректность информации, содержащейся на таких интернет-сайтах третьих лиц.
Данный интернет-сайт может содержать материалы и информацию, предоставленные третьими лицами. АО «Экспобанк» не несет ответственности или обязанности за точность и корректность таких материалов и информации.
Третьим лицам запрещается размещать ссылки на данный интернет-сайт в других интернет-сайтах или размещать ссылки в данном интернет-сайте на другие интернет-сайты без предварительного получения письменного согласия АО «Экспобанк».
Регулирующее законодательство
Настоящие условия регулируются законодательством Российской Федерации. Вы подтверждаете и соглашаетесь, что все вопросы и споры, возникающие в связи с данным интернет-сайтом и условиями его использования подлежат рассмотрению в юрисдикции Российской Федерации.
Данный интернет-сайт разработан для использования в Российской Федерации и не предназначен для использования любым физическим или юридическим лицом, находящимся в юрисдикции или стране, где публикация информации, размещенной на данном интернет-сайте или возможность доступа к данному интернет-сайту или распространение информации с помощью данного интернет-сайта или иное использование данного интернет-сайта нарушают законодательство такой юрисдикции или страны.
В случае если Вы решили воспользоваться доступом к информации, размещенной на данном интернет-сайте, обращаем Ваше внимание, что Вы самостоятельно несете ответственность за соблюдение применимых местных, государственных или международных законов, и Вы самостоятельно несете ответственность за любое использование информации размещенной на данном интернет-сайте вне юрисдикции Российской Федерации.
Роспись смартфоном
Фото:
Hyperdo.com
СМП Банк начинает пилотный проект по внедрению новой системы подтверждения платежей в интернет-банкинге. Портал Банки.ру задался вопросом, зачем понадобилась такая система и какие преимущества банку и его клиентам она обеспечивает.
Наиболее серьезной проблемой интернет-банкинга является надежная аутентификация клиента. Как определить, что на той стороне канала связи находится авторизованное лицо, а не злоумышленник? И при каждом запоздало обнаруженном мошенничестве банк встает перед дилеммой: компенсировать клиенту потерю денег или взять убытки на себя.
Начальник управления безопасности информационных технологий СМП Банка Павел Головлев заявил вчера о запуске пилотного проекта с системой PayControl, которая позволит снизить расходы на обеспечение клиентов средствами двухфакторной аутентификации, особенно в свете предполагаемых изменений в положение ЦБ о защите информации и нововведений во всем известную 9-ю статью закона 161-ФЗ, поскольку дает возможность гарантированно уведомить клиента о выполняемой трансакции. Принципиально важно, что при этом не снижается уровень удобства для клиента.
Каждый банк по-своему решает задачу аутентификации клиента. Наиболее распространенный метод, помимо стандартной аутентификации по логину и паролю, — одноразовые пароли, которые могут присылаться в СМС-сообщениях, выдаваться клиенту на скретч-картах или же генерироваться специальным устройством, находящимся у клиента. Казалось бы, одноразовый пароль обеспечивает надежную защиту, ведь злоумышленник не может его узнать, не заполучив, соответственно, телефон клиента, скретч-карту или генератор пароля.
Однако в аутентификации по одноразовому паролю есть существенный изъян: он никак не привязывается к подтверждаемой им операции, а значит, уязвим для фишинга. Это дает возможность злоумышленнику, взяв под контроль устройство клиента, с помощью которого он работает с системой ДБО (компьютер, планшет, смартфон), подменить клиентскую операцию своей. Клиент считает, что подтверждает одноразовым паролем свою операцию, а банку приходит совсем другая операция, подтвержденная самым настоящим одноразовым паролем, который клиент собственноручно вбил на странице, так похожей на страницу системы ДБО его банка…
Существуют и другие средства аутентификации, лишенные этого недостатка. Для аутентификации с привязкой к операции можно использовать криптокалькулятор, который генерирует одноразовый пароль, зависящий от введенных в него платежных реквизитов, или оптический токен, считывающий реквизиты с экрана. Такое устройство стоит денег (причем в случае оптических токенов — немалых), и клиент вынужден носить его с собой, а то и несколько устройств — по одному на каждый банк.
Изящным, хоть и небесспорным с точки зрения безопасности решением является использование в качестве такого устройства обычного смартфона. Именно эта возможность заинтересовала СМП Банк и еще несколько крупных банков, начавших пилотные проекты по внедрению системы PayControl, созданной отечественной компанией SafeTech.
Система PayControl состоит из двух модулей, один находится на стороне банка, другой — в мобильном устройстве клиента. При создании клиентом платежного документа в системе интернет-банка PayControl генерирует QR-код (двухмерная разновидность штрихкода), содержащий практически весь текст документа, подписанный цифровой подписью банка.
Модуль на стороне клиента — мобильное приложение для iOS или Android — считывает этот QR-код с помощью камеры мобильного устройства и создает ответный код, подписанный ключом клиента. Этот ключ может целиком храниться на устройстве, а может быть частично записан в виде QR-кода на отдельном носителе (например, на выданной в банке пластиковой карте) и считываться камерой при подтверждении каждой операции. В последнем случае приложение сначала собирает ключ из двух частей (одна — хранящаяся в устройстве, другая — считана камерой). В завершение процесса клиент вводит полученный код в соответствующее поле в интернет-банке.
Ключевая стадия подтверждения оплаты системой PayControl — сравнение текста документа в интернет-банке и на экране мобильного устройства. Считав QR-код, PayControl показывает декодированные данные клиенту. В случае их соответствия данным, введенным в интернет-банк, клиент может быть уверен, что реквизиты операции не были подменены злоумышленником.
Разработчики PayControl акцентируют внимание на нескольких преимуществах этой технологии. Во-первых, у клиента нет нужды в подключении мобильного устройства к Интернету, входные данные приходят через камеру, выходные передает в интернет-банк сам клиент. Во-вторых, клиент гарантированно уведомляется о совершении операции. Если он ввел код, значит, об операции осведомлен. Кроме того, так можно удостоверять любые платежи, а не только несколько стандартных форм. Это вполне надежный способ подписывать и неплатежные документы — главное, уложиться в ограничение емкости QR-кода: 1 600 символов. И наконец, одно приложение и один смартфон позволяют работать с любым количеством банков — для каждого банка приложение хранит отдельный ключ.
SafeTech настаивает на высокой безопасности их метода подтверждения платежа. В самом деле, при использовании PayControl единственным способом совершения подлога без участия работников банка или самого клиента является одновременная компрометация двух клиентских устройств: компьютера, с которого клиент пользуется интернет-банком, и смартфона или планшета, на котором он создает код подтверждения. В случае компрометации лишь одного из устройств происходит следующее: либо текст раскодированного QR-кода будет отличаться от документа на экране компьютера, либо код подтверждения не будет соответствовать созданному в интернет-банке документу.
Казалось бы, одновременная компрометация и компьютера, и смартфона — маловероятный сценарий. Однако на данный момент уже существует вредоносное ПО для Windows, рассчитанное на заражение подключенных к компьютеру мобильных устройств. Нет никаких технических препятствий создать программу, обнаруживающую и компрометирующую приложение PayControl на вашем смартфоне, который вы подключили к компьютеру, чтобы подзарядить аккумулятор или синхронизировать контакты. Получается, появление целевых атак на PayControl — вопрос лишь времени и целесообразности для злоумышленников. Иными словами, PayControl может считаться надежным способом подтверждения интернет-платежей лишь до тех пор, пока не получит широкого распространения в системах ДБО.
Но не стоит заранее ставить крест на технологии. Теоретическая возможность двойной компрометации не умаляет всех преимуществ PayControl. Кроме того, разработка пары вредоносных программ для Windows и Android/iOS обойдется злоумышленникам недешево, и улов от неаккуратных «физиков», подцепивших такую заразу, может просто не оправдать затрат — точнее, преступникам будет проще сосредоточиться на более простых и прибыльных способах фрода.
Михаил ДЬЯКОВ, my-sertif.ru
Условия использования данного интернет-сайта
Указанные ниже условия определяют порядок использования данного интернет-сайта. Пользуясь доступом к этому интернет-сайту (в том числе к любой из его страниц) Вы, тем самым, соглашаетесь соблюдать изложенные ниже условия в полной мере.
Обращаем Ваше внимание, что если Вы уже являетесь клиентом АО «Экспобанк», то настоящие условия следует применять совместно с положениями и требованиями, определенными в соответствующем договоре между Вами и АО «Экспобанк». Просим принять во внимание, что все продукты и услуги АО «Экспобанк» предоставляются Вам на основании соответствующих договоров.
АО «Экспобанк» оставляет за собой право изменить настоящие условия в любое время без предварительного уведомления пользователей данного интернет-сайта путем внесения необходимых изменений в настоящие условия. Продолжая использовать доступ к данному интернет-сайту (в том числе к любой из его страниц) Вы, тем самым, подтверждаете Ваше согласие соблюдать все изменения в настоящих условиях.
