Центробанк обновил требования по проверке адресов электронной почты клиентов. Рекомендации разослали в электронном письме банкам и некредитным финорганизациям.

Зачем это нужно

Новые правила призваны обезопасить клиентов от мошенничества. Нередко злоумышленники указывают некорректные или перехваченные email реальных клиентов, чтобы украсть важную информацию или подделать платежное поручение. Более жесткая и тщательная проверка не даст им шансов.

Новые требования также предупредят случайное получение банковской информации посторонними. Таким образом, повысится уровень безопасности, средства и персональные данные будут лучше защищены. 

Центробанк получил немало обращений граждан о том, что их данные, которые составляют банковскую тайну, передавали третьим лицам. Получая контроль над реальным email или подделывая адрес, мошенники узнавали о состоянии счета, кредитной задолженности, платежах и т.д. Эту информацию можно использовать в схемах телефонного мошенничества (когда клиенту якобы звонит сотрудник банка) и для прицельного взлома банковских аккаунтов. 

Суть нового алгоритма проверки

В информационном письме говорится, что прежде чем отправлять на email клиента первое сообщение, банк должен проверить, действительно ли адрес принадлежит нужному человеку. Механизм проверки рекомендуется реализовывать следующим образом:

• Первый шаг – проверка дубликатов адресов в базе. Если выявлено совпадение среди адресов электронной почты других клиентов, банк должен логировать, что email не подтвержден, а затем сообщить об этом клиенту лично или по телефону. Необходима и проверка номера мобильного на наличие дубликатов в базе банка. 

• Если email не дублируется в базе и принадлежит нужному клиенту, банк должен отправить на этот адрес ссылку для проверки, а также передать на мобильный телефон клиента SMS с паролем, который необходимо ввести при переходе по этой ссылке. Кроме ввода кода из SMS на сайте, Центробанк предлагает также использовать графический ключ, чтобы защитить информацию от автоматизированных систем подбора паролей. Таким образом, проверка email включает ввод трех компонентов: ссылки, кода из SMS и графического ключа. Если хотя бы один из элементов отсутствует или введен неверно, email считается неподтвержденным.

• Когда истекает срок действия ссылки либо когда превышено количество попыток ввода графического ключа или кода, банк должен удалять из своей базы неподтвержденные адреса. 

При реализации механизма подтверждения email, банкам рекомендуется использовать ссылки верификации, содержащие уникальный набор символов, чтобы их нельзя было подобрать или угадать. А также использовать для ссылок срок действия, разработанный в рамках системы управления рисками.

Безопасность в наших руках

В информационном письме содержатся лишь рекомендации, а не конкретизированные требования. Например, неясно, как часто нужно проводить повторную проверку email и телефонных номеров, как долго должна быть действительной ссылка на подтверждение адреса и сколько попыток ввода кода из SMS или графического ключа допускается.

Все это отдается на откуп разработчикам. Авторы документа надеются, что банки примут их к сведению и реализуют в текущих системах, чтобы обезопасить средства и данные клиентов.