PayControl

Продукт
Разработчики: СэйфТек (SafeTech)
Дата последнего релиза: 2019/10/09
Отрасли: Финансовые услуги, инвестиции и аудит
Технологии: ИБ - Аутентификация

PayControl – это приложение для мобильного телефона, позволяющее пользователю подписывать свои транзакции в системе Интернет-банкинга без использования дополнительных устройств.

2019: Интеграция с Group-IB Secure Bank для защиты от финансового мошенничества

9 октября 2019 года компании Group-IB и SafeTech предложили подход к защите финансовых операций в системах дистанционного банковского обслуживания, основанный на оценке риска пользовательской сессии в режиме реального времени. Объединение продуктов компаний SafeTech PayControl и Group-IB Secure Bank обеспечивает адаптивную аутентификацию пользователя, подтверждение транзакций электронной подписью, а также скоринг устройств клиента в целях обнаружения признаков финансового мошенничества и немедленного реагирования на подозрительное событие.

Схема работы совместного решения Group-IB и SafeTech

Со слов разработчиков, интегрированное решение обеспечивает всестороннюю и непрерывную защиту физических и юридических лиц, использующих системы дистанционного банковского обслуживания, снижает нагрузку на колл-центр и антифрод-системы банка, а также делает проведение платежных операций удобным для пользователей.

Group-IB Secure Bank проводит скоринг смартфона, планшета или любого другого устройства, с которого пользователь заходит в мобильное банковское приложение или в личный кабинет на сайте банка. В режиме реального времени устройство «сканируется» для выявления на нем признаков социотехнических атак, кросс-канального платежного мошенничества, подозрительного поведения пользователя, попыток кражи, нелегального использования учетных данных, заражения банковскими троянами или наличия веб-инъекций.

В процессе подписания конкретной финансовой транзакции PayControl получает от системы ДБО данные операции, а от Group-IB Secure Bank – результат скоринга, то есть оценку уровня риска сессий создания и подписания операции. На основании этих данных PayControl «принимает решение», какое количество факторов доступа к ключу подписи запросить у пользователя, и только после их ввода подписывает операцию криптографически стойкой электронной подписью, позволяющей гарантировать авторство и неизменность платежного документа.

«
«В процессе создания PayControl мы ставили перед собой задачу обеспечить максимально возможный уровень безопасности при совершении любых операций в цифровых каналах, не снижая при этом мобильности и удобства работы пользователей. Интеграция с Group-IB Secure Bank позволила достигнуть бескомпромиссного сочетания этих показателей. Клиентам банков потребуется либо ввести пароль, либо предъявлять TOUCH/FACE-ID, либо электронная подпись под доверенной операцией сформируется вообще без каких-либо действий со стороны пользователя. Такая адаптивная аутентификация способна свести к минимуму широкий спектр рисков, связанных с безопасностью всех типов платежей, при этом сделав жизнь клиентов банков проще»,
»

Если финансовая операция вызывает подозрения на уровне сессионного анализа (Secure Bank) или транзакционного анализа (антифрод-система), PayControl обязательно запросит дополнительный фактор для электронной подписи, например, биометрического подтверждения или ввод PIN-кода. Исполнение транзакции будет невозможно, если устройство не прошло скоринг и выявлены явные признаки мошенничества. Эти возможности основаны на автоматической оценке уровня риска пользовательских сессий, контроле состояния клиентского устройства и мобильной электронной подписи, контролирующей целостность и авторство подтверждаемого документа.

Разработчики интегрированного решения делают ставку на простоту внедрения: банк получает готовый инструмент для оценки рисков и электронной подписи конкретных финансовых сессий пользователей. Не менее важным является снижение нагрузки на антифрод-системы за счет отсутствия необходимости сопоставления разрозненных данных о транзакции пользователя из системы ДБО и данных об устройстве пользователя и событиях, связанных с осуществлением платежа. К плюсам адаптивного подтверждения платежей также относится прямое снижение затрат на услуги операторов связи (расходы на SMS), экономию за счет уже реализованной интеграции систем друг с другом, на их техническую поддержку и эксплуатацию.

«
«Совместное решение с SafeTech позволяет предложить банкам готовое решение не только по выявлению мошенничества, но и по реагированию в процессе подписания документа. Этот функционал расширяет возможности применения Group-IB Secure Bank, так как скоринг идет в режиме реального времени во всех каналах коммуникации клиента с банком. Допустим, если платеж был инициирован через удаленное управление на мобильном устройстве, то подписание транзакции будет отклонено по признаку проведения социотехнической атаки. Это простой и удобный способ для банков защитить своих клиентов: сколько бы не было попыток фрода с социальной инженерией в отношении конкретного пользователя, даже если он поверил подставному «сотруднику банка», технологически такая операция будет остановлена банком»,
»

По данным ФинЦЕРТ Банка России количество попыток банковского мошенничества постоянно растет. Так, в 2018 году регулятор зафиксировал 6151 несанкционированную операцию со счетов юридических лиц на общую сумму 1,469 млрд рублей. При этом, по сравнению с предыдущим годом был отмечен рост числа попыток хищений на 631% (в 7,3 раза). Почти половина хищений (46% в 2018 году) произошли в результате получения злоумышленниками доступа к системам ДБО с использованием вредоносного ПО и приемов социальной инженерии.

2015: Описание PayControl

Система PayControl была разработана с учетом запросов и пожеланий служб информационной безопасности и бизнес подразделений российских банков. PayControl предоставляет пользователю возможность убедиться в корректности данных транзакции и сформировать код подтверждения независимо от используемого компьютера.

По информации на сентябрь 2015 года безопасность решения основана на лучших практиках построения систем подтверждения электронных документов, в сочетании с максимальным удобством использования для клиента Банка.

Никаких дополнительных скретч-карт или криптокалькуляторов. Никакой зависимости от наличия сотовой связи и скорости доставки SMS. Использование PayControl нисколько не сложнее, чем звонок с мобильного телефона.

Мобильное приложение PayControl - это

  • визуальный контроль подписываемого документа любого формата на отдельном устройстве - мобильном телефоне
  • генерация кода подтверждения, «привязанного» к реквизитам платежа
  • независимость от наличия канала сотовой связи
  • гарантированное уведомление клиента о совершаемой транзакции

Безопасность PayControl

  • Документ создается и подтверждается на разных устройствах
  • пользователь видит реквизиты платежа на экране телефона и имеет возможность проконтролировать их корректность
  • для совершения успешной атаки злоумышленник должен получить доступ и к компьютеру клиента, и к его мобильному телефону
  • Безопасная передача ключевой информации пользователю
  • пользователь имеет возможность получить ключевую информацию удаленно, без посещения офиса Банка
  • для передачи пользователю ключевой информации используется два независимых канала связи
  • Неотказуемость от совершения операции
  • транзакция перед подтверждением заверяется квалифицированной электронной подписью Банка
  • пользователь не только подтверждает реквизиты платежа, но и «расписывается» в получении уведомления о совершаемой операции

Удобство PayControl

  • никаких дополнительных устройств (токенов, генераторов паролей, скретч-карт и пр.)
  • автоматизированный ввод данных транзакции (QR-код)
  • автоматизированный ввод ключевой информации
  • независимость от каналов сотовой связи (работа в роуминге, вне зоны покрытия операторов и пр.)
  • интуитивно понятный интерфейс
  • распространение через привычные магазины приложений (Apple AppStore, Google Play)



ПРОЕКТЫ (7) ПРОЕКТЫ НА БАЗЕ (2) ИНТЕГРАТОРЫ (4)
РЕШЕНИЕ НА БАЗЕ (1) СМ. ТАКЖЕ (13)


Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2016 год
2017 год
2018 год
Текущий год

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2016 год
2017 год
2018 год
Текущий год