Мобильный банкинг: деньги по воздуху

На развитых рынках Европы и США предоставление финансовых услуг через сети мобильной связи в целом оправдывает надежды. В нашей стране ситуация пока неопределенная — слишком много нерешенных проблем. Однако все больше пользователей готовы к покупке мобильного телефона с функциями карманного банковского терминала. Вполне возможно, что в 2005—2006 гг. финансовые услуги посредством мобильной связи станут обычным делом и для нашей страны.

Мы наш, мы новый мир построим…

Мобильный банкинг — вещь теоретически весьма удобная. Такой сервис позволяет клиентам в любое время и отовсюду совершать большинство банковских операций: проводить безналичные внутри- и межбанковские платежи, открывать счета, оплачивать коммунальные услуги, покупать и продавать валюту, размещать свободные средства на срочном вкладе, получать выписки по счетам. Так, клиенты Ситибанка могут через Интернет знакомиться с индивидуальным графиком платежей по кредиту, Внешторгбанка — конвертировать валюту и пополнять платежные карты, а Банка Москвы — заказывать дорожные чеки. Возрастающей популярностью пользуются такие онлайновые сервисы, как оформление вкладов и кредитов, покупка паев инвестиционных фондов, внесение абонентской платы за цифровое телевидение, Интернет или мобильную связь. Помимо Интернета дистанционное обслуживание подразумевает также использование других каналов: телефон, WAP, SMS, банкоматы cash-in (зачисление денежных средств на карту через банкомат, где реализована функция приема наличных денег).

По сравнению с развитыми странами в России мало потребителей услуг интернет-банкинга. В США, например, по данным исследовательской компании Datamonitor, онлайновый банкинг в повседневной жизни используют 25 млн. человек, в Европе — около 60 млн. У нас этот показатель едва дотягивает до двухсот тысяч — и это на всю страну.

Банкиры хотят, чтобы через пять лет 80% клиентов использовали Интернет и мобильный телефон для управления своим счетом. Но только 10% из них (клиентов) психологически и технологически (средний банковский клиент пугается всего автоматического, когда нельзя получить разъяснения от человека немедленно) готовы к операциям с помощью своего мобильного телефона.

С частными лицами бывают сложности по вине самих финансово-кредитных учреждений: в некоторых банках после внедрения систем дистанционного обслуживания физических лиц даже не печатают буклеты, информирующие клиентов о новых способах обслуживания. Одна из основных причин таких провалов заключается в том, что развитие, формирование, продвижение этого бизнеса, а также клиентская поддержка всецело поручаются ИТ-специалистам, что неправильно. Безусловно, техническая сторона задачи должна быть обеспечена исключительно высокопрофессиональными ИТ-специалистами, но клиентскую поддержку следует поручать специально обученным сотрудникам. Важны не технологии сами по себе, а то, как эти технологии предлагаются клиентам, какие люди стоят за ними. Здесь главным становятся уже не компьютеры, а человеческий фактор.

Необходимым условием для развития мобильных банковских услуг и принятия их населением является упрощение пользовательских приложений, иначе банкам придется дожидаться, пока подрастут и придут к ним “продвинутые” пользователи компьютерных игр. Принимая во внимание недостаточную осведомленность людей в возможностях банка и мобильных дополнительных услуг, пока мы можем говорить лишь о том, чтобы информировать банковских клиентов об изменениях на их банковском счету (списание и приход денег, напоминание о платеже по кредиту и т. д.) путем SMS-рассылок. Одновременно абоненты могут сами отправить запрос на интересующую их информацию.

Сторонники проведения расчетов с помощью мобильных телефонов считают, что мобильники в конечном счете заменят традиционные чеки, карточки и наличные деньги при покупках через POS-терминалы. Надо сказать, их оптимизм имеет под собой веские основания. По данным компании Forrester Research, в 2004 г. 10% товаров на европейских рынках продавалось посредством их оплаты с мобильных телефонов, на 2005 год установлена «планка” в 12-14%. А по мнению исследовательской фирмы Strategy Analytics и прогнозам Ассоциации GSM, в будущем мобильный банкинг обеспечит примерно 20% мирового объема услуг сетей подвижной связи.

SMS-банкинг: Text Only

Сегодня многие услуги, именуемые мобильным банкингом, не ушли дальше системы SMS-оповещения. Большинство банков предлагают только предоставление мини-выписок по карте, информируют о величине остатка, последних проведенных с картой операциях и еще что-то в этом же роде — т. е. основной услугой является именно информационное обеспечение. Такой способ взаимодействия позволяет клиенту не только знать состояние своего банковского счета, но и более информировано управлять денежными переводами.

К технологиям SMS-банкинга банкиров привела жизнь — не секрет, что пластиковые магнитные карточки плохо защищены от мошенников. Одна из самых опасных мошеннических операций — это клонирование магнитной карты, изготовление так называемого «белого пластика”. Беда в том, что процессинговый центр не может отличить клонированную карточку от истинной. Обнаружить клон может только сам владелец карты, если ему сообщать обо всех транзакциях, совершаемых с ее помощью. Только владелец может определить, какие транзакции его, а какие — нет. С этой целью процессинговые центры стали рассылать всем клиентам SMS-сообщения на сотовый телефон о совершенных платежах и их суммах, об отмене платежей и возвращенных суммах. SMS приходит через 10—15 с после транзакции. Это позволяет организовать эффективную защиту от “карточных” мошенников. Где бы клиент ни находился, он всегда будет в курсе происходящего с его кредитной картой. Это особенно удобно в ресторанах и других организациях сферы услуг, в которых устройства приема карточек находятся вне поля зрения клиента. Получив сообщение, пользователь может удостовериться, что с него не взяли лишние деньги. При желании у банка запрашивается мини-выписка с указанием последних операций по карточному счету. При поступлениях на банковский счет клиента он также сразу получает соответствующие уведомления, а с помощью специального SMS можно заблокировать проведение операций по кредитной карте.

В 2004 г. обмен SMS-сообщениями приобрел по-настоящему массовый характер, что стимулировало развитие SMS-банкинга — услуг по дистанционному управлению банковским счетом через короткие текстовые сообщения. Этот сервис превратился из услуги для избранных в массовый продукт.

Безопасность проводок

Надо отметить, что основные угрозы для мобильного банкинга абсолютно те же, что и для других способов электронных расчетов: злоумышленник может завладеть телефоном (кредитной картой) и узнать пароли (пин-коды для совершения операции). Нечистый на руку продавец может просто не предоставить покупателю товар, особенно в случаях с фиктивными интернет-магазинами, подставными сайтами, маскирующимися под сайты известных торговых организаций. Пользователю стоит опасаться и того, что телефон может быть украден, и если данные для доступа будут обозначены в телефонной записной книжке, то это негативно скажется на состоянии вполне реального банковского счета.

Есть и другие сложности: небольшая скорость внедрения систем мобильного банкинга через WAP связана с отсутствием реально работающих реализаций механизма ЭЦП в этом протоколе передачи данных. Существует также проблема несовместимости — WAP-шлюзы столичных сотовых операторов связи некорректно работают с WAP-сайтами финансово-кредитных учреждений по протоколу SSL. Поэтому подтверждать банковские транзакции сегодня приходится при помощи таблиц переменных кодов: надо доставать пластиковую карту, стирать защитный слой у нужного кода и вводить его с помощью небольшой клавиатуры. Надо отметить, что подобный способ достаточно надежен — каждая карта имеет свой персональный номер, а угадать шесть цифр каждого кода, который используется только один раз, почти невозможно.

Альтернатива последнего времени — возможность безналичной оплаты товаров и услуг именно через сотовый телефон. То есть мобильник в этом случае используется не как центр управления платежами, а как средство, прямой заменитель давно известной бумажной купюры или пластиковой карты. В качестве примера можно отметить систему мобильных платежей SimMP — для ее работы на SIM-карте размещается дополнительное платежное приложение, доступ к которому по сотовой сети имеет только банк. Чтобы провести платеж, необходимо сообщить продавцу номер своего мобильного телефона, получить SMS-запрос на транзакцию и подтвердить операцию при помощи личного “банковского” PIN-кода. Все оказывается гораздо проще — чуть сложнее, конечно, чем с пластиковой картой, но все равно управление идет напрямую с сотового телефона.

Однако такая модель предполагает отношения только между одним банком и одним оператором мобильной связи и не предусматривает проведение непосредственно платежей. Подобные ограниченные модели мобильного банкинга вряд ли будут иметь успех в будущем — отсутствие свободы выбора здесь является главным препятствием. В идеале клиент должен сам выбирать любую комбинацию банка и оператора мобильной связи.

В любом случае независимо от технологии мобильного банкинга будущего, если сервис будет массовым, то полностью избежать потерь клиентов от неправомерных воздействий, конечно, не получится. Однако через самые банальные механизмы авторизации (PIN-код, секретное слово, биометрические показатели), адекватное информирование пользователей о возможностях системы и различные электронные сертификаты, заменяющие обычную подпись на бумаге, можно создать работающий сервис с большим оборотом. В стандарте GSM есть хорошо защищенные протоколы передачи данных, адекватные механизмы их шифрования и хранения. Это ведь не кредитные карточки с магнитной полосой — здесь в качестве “мозгов” будут выступать электронные чипы с гораздо большей степенью криптозащищенности. Да и процессы движения электронных денег поддаются наблюдению — по заявке потерпевшего всегда можно отследить путь каждого конкретного денежного перевода. Поэтому с точки зрения безопасности электронные деньги гораздо надежнее обычных металлических или бумажных.

Конечно, с помощью специальных защитных систем возможно предотвратить большинство мошенничеств. Однако временами самые защищенные данные бывают похищены по вине… служащих компаний, которые должны их охранять. Самый показательный пример такого рода случился совсем недавно — летом 2005 года, когда компания MasterCard, управляющая одноименной платежной системой, сообщила о событии, которое можно назвать самым крупным преступлением в сфере информационных технологий в нынешнем недолгом пока веке. Компания распространила заявление, в котором указала, что один из ее партнеров — карточный оператор CardSystems Solutions из Атланты — стал объектом хакерского взлома, в результате которого высокотехнологичные злоумышленники получили доступ к 40 миллионам единиц данных о платежных реквизитах различных держателей банковских карт. Как оказалось, данные хранились на компьютерах CardSystems Solutions в открытом виде, без шифрования, что позволило злоумышленникам получать их в «чистом” виде благодаря нескольким «программным модулям”, внедренным в компьютерную сеть этой компании. Проще говоря, это “троян” — “шпион”, внедренный в некий компьютер и дающий возможность делать с ним что угодно руками хакера, сидящего где-то в таинственном месте и отдающего “трояну” команды.

Окончание следует

Берегитесь обмана в торговых точках

Пример №1: Один из способов, на который часто “налетают” путешественники — обман в торговых точках. Допустим платите вы дебетной (не кредитной) карточкой на заправке. Проводите через ридер, набираете PIN, “машинка” пищит и ничего не происходит.

Продавец улыбается и вежливо говорит, что видимо что-то не сработало, надо процедуру повторить. Отлично, процедуру повторяем и, о чудо, платеж проходит, бензин заливают и вы уезжаете с заправки. Через несколько дней при попытке заплатить этой карточкой в каком-то магазине обнаруживается, что денег на ней больше нет.

Сразу же обращаетесь в полицию и банк, и довольно быстро раскручивается, что на той самой заправке между первым и вторым проведением карточки продавец переключил тумблер под прилавком. Таким образом в первый раз информация с карточки и PIN считывались в ПК под прилавком, а во второй раз уже куда надо — в платежную систему.

Дальше совсем просто: имея информацию нет проблем изготовить копию карточки и сообщить PIN хоть на край света. А будь владелец подключен к системе SMS-уведомлений, неприятности бы не случилось.

Пример №2: Часто в небольших ресторанчиках в туристических центрах на теплых морях действуют целые группировки, которые “срисовывают” данные карточки со своих копий слипа, и отправляют (то ли почтой, то ли по телефону) своим подельникам в соседнюю страну, а лучше — в тот же город.

И они, предварительно изготовив похожую копию, проходятся с этой карточкой по “дружественным” магазинам, где нет онлайновой авторизации в банковской системе и делают фиктивные покупки на несколько тысяч евро.

Однако если слишком сильно разойдутся, то автоматизированная система банка быстро вычислит такие транзакции, а еще быстрее это произойдет если одновременно одной карточкой будут расплачиваться на разных континентах и почти одновременно. Для владельца это оборачивается неприятными формальностями по возврату денег, на которые уходит 2-3 недели.