Bigbank: для борьбы с мошенничеством процедуру создания Smart-ID необходимо изменить

Кристофер Эверт, руководитель отдела по борьбе с мошенничеством в Bigbank, считает, что есть реальный способ быстро и эффективно ограничить возможности цифрового мошенничества в отношении граждан и предприятий Эстонии – для этого необходимо немедленно положить конец тому, что Smart-ID, ставший доминирующим методом аутентификации на рынке, может быть создан для любого человека без его ведома. Сегодня сложилась любопытная ситуация, когда для создания для человека уникального Smart-ID не требуется распознавание его лица и сравнение его лица с изображением на действующем удостоверяющим личность документе, что облегчает жизнь преступникам и способствует широкому распространению мошенничества.

В качестве примера, поясняющего сложившуюся ситуацию, Кристофер Эверт приводит недавнюю историю, опубликованную в оперативных сводках Департамента полиции и погранохраны 5 декабря, – в результате мошенничества с использованием чужих платёжных средств, человеку был причинён ущерб в размере 73 000 евро. «С личного банковского счета потерпевшего и банковского счета принадлежащего ему предприятия на различные банковские счета были совершены несколько денежных переводов, которые потерпевший не инициировал и не подтверждал. Кроме того, для потерпевшего без его ведома была создана новая учётная запись Smart-ID, открытие которой он не инициировал и не поручал», — беспристрастно сообщалось в полицейской хронике о фактах инцидента.

Дьявол кроется в деталях, и в данном случае, по словам Эверта, загвоздка в том, что даже если человека один раз обманом заставили сообщить по телефону или электронной почте PIN-коды его ID-карты или Mobiil-ID, преступники не смогут потом многократно их использовать для совершения транзакций, поскольку каждый раз на телефон человека отправляется соответствующее уведомление и запрос подтверждения. «Однако, если преступники используют эти однажды полученные обманным путём PIN-коды для создания Smart-ID жертвы мошенничества без её ведома, то этот метод аутентификации будет связан только с устройством связи, находящимся в руках преступника. В этом случае мошенники смогут совершать любые транзакции, а потерпевший не будет получать никаких уведомлений», — отметил Эверт. Если Smart-ID создан преступником, и связанное с ним коммуникационное устройство находится у него в руках, он может использовать его для многократного входа в интернет-банки, увеличения лимитов платежей или снятия наличных, получения кредитов, осуществления платежей со счёта жертвы и т. д. Аналогичным образом можно входить в национальные базы данных и собирать конфиденциальную информацию о человеке, или от имени и за счёт жертвы делать всё, что позволяет современный цифровой мир, — от покупок в интернет-магазинах до заказа различных услуг или подписания социальных петиций и т. д.

Кристофер Эверт указывает на то, что Smart ID отличается от других признанных методов аутентификации тем, что при выдаче как физической удостоверяющей личность ID-карты, так и мобильных идентификационных кодов Mobiil-ID Департамент полиции и погранохраны или телекоммуникационная компания идентифицируют человека и проверяют, действительно ли получатель ценной информации является тем, за кого себя выдаёт, а также что его документы в порядке и действительны. А в случае Smart ID, личная идентификация или проверка не производится — достаточно, чтобы лицо, инициирующее его создание, знало личный код и номер телефона человека, после чего один раз смогло добиться того, чтобы обманываемый человек либо дал свои PIN-коды мошеннику, либо, например, во время телефонного разговора жертву подготавливают к моменту, когда она сама вводит коды в ответ на входящее сообщение.

«Проблема Smart-ID отражает противоречие современного цифрового мира: услуги и продукты должны быть оптимизированы для эффективного функционирования, ведь простота использования и широкое распространение часто достигаются за счёт чего-то важного, в данном случае, за счёт безопасности. Как цифровое государство и его граждане, мы хотим, чтобы для конечного пользователя всё было удобно и очень быстро работало, но это может сопровождаться рисками и уязвимостью. Сейчас, пока не стало поздно, пришло время начать исправлять допущенные ошибки», — считает Эверт. По его словам, Smart-ID крайне необходим, и от него нельзя отказаться, раз нет лучшей замены: «Однако, безусловно, можно добавить к этой услуге некоторые дополнительные требования безопасности, например, Smart-ID plus сейчас находится на стадии тестирования, что уже является шагом к решению, но ещё не решает фундаментальную проблему». 

В контексте Эстонии, важное значение также имеет, например, организация выборов и электронного голосования, где, по словам Эверта, может быть множество рисков, связанных со Smart-ID. «Анализируя текущую практику, можно сказать, что преступники или враждебные страны могут относительно небольшими усилиями и инвестициями сгенерировать большое количество голосов в пользу того или иного кандидата. У людей, имеющих право голоса, обманным путём перенимается их цифровой идентитет, создаются Smart-ID, и либо они тайно голосуют за того, кто не собирался участвовать в выборах, либо, например, в последний день электронного голосования украденный голос меняется в пользу политика, которому отдают предпочтение мошенники», — пояснил Эверт, в чём заключается гипотетический риск для безопасности.