Отечественным банкам на их онлайн-ресурсах рекомендовано использовать сервисы reCAPTCНA, Invisible reCAPTCНA американской корпорации Google для распознавания действий пользователей. Соответствующие рекомендации, о повышении внимания кредитных организаций к отдельным операциям их клиентов, издал 6 сентября Центробанк. Опубликован документ был 10 сентября.
«Принимать меры, направленные на недопущение использования «онлайн-сервисов» посредством роботизированного заполнения платежных инструкций, в том числе, реализуя решения по распознаванию действий пользователя – физического лица (например, reCAPTCНA, Invisible reCAPTCНA и др.), а также предусматривать постоянное изменение и совершенствование указанных мер», — пишет в документе ЦБ.
Представленные меры направлены на защиту интернет-ресурсов банков от ботов, которые заполняют платежные инструкции. Такими инструментами, по мнению ЦБ, часто пользуются для финансирования терроризма и отмывания доходов, которые были получены преступным путем.
«Стоит сказать, что пример [приведенный ЦБ в документе] не самый удачный, потому что reCAPTCHA — это продукт американской компании Google, которая известна тем, что она обрабатывает и собирает пользовательские данные, в том числе, для целей рекламной обработки», — сообщил RUNET независимый эксперт Артем Гавриченков.
ReCAPTCHA — один из инструментов, старающихся отделить поведение пользователя от поведения автоматизированного инструмента или бота. Сайт, на котором встроена reCAPTCHA, отправляет данные пользователя в Google, и эти данные анализируются на предмет шаблонов поведения ботов. Если человек, по мнению корпорации Google, имеет признаки поведения бота, ему предлагают пройти тест, который предназначен для проверки того, действительно ли это реальный пользователь. Установка происходит за счет встраивания библиотеки JavaScript, разработанной Google, в целевой сайт и проведения последующего системного анализа.
«Разработчики библиотеки говорят, что данные отправляются только в момент прохождения проверки на бота, но это спорное утверждение», — сообщил RUNET директор департамента разработки компании R-Vision Евгений Федоров.
Однако такая веб-технология, как reCAPTCHA, и ранее настораживала пользователей и специалистов в области технологий.
«reCAPTCHA сейчас критикуют. Она свою задачу решает, но, первое, ее научились обходить, а второе, механизмы этих технологий еще следят за “плохими” IP-адресами», — подтвердил RUNET специалист по кибербезопасности Андрей Масалович.
Директор департамента разработки компании R-Vision Евгений Федоров сообщил, что reCAPTCHA собирается большой спектр данных о пользователях.
«Это могут быть часовой пояс и локальное время компьютера пользователя, IP-адрес и приблизительное местоположение, размер экрана и разрешение, версия браузера и используемые плагины, время, которое потребовалось для отображения страницы, количество сделанных пользователем нажатий клавиш и щелчков мышью, процент «странного», по мнению компании Google, поведения, количество характеров, список настроений и многое другое», — объяснил он.
Сбор этих чувствительных данных опасен тем, что американская корпорация обвинялась в сговоре с иностранных спецслужбами и в частности АНБ, а значит данные о российских гражданах, собираемые на сайтах банков, становится им доступны, рассказал доцент кафедры «Телекоммуникационные системы» НИУ МИЭТ Александр Шарамок.
«Google — это компания, которая находится на территории США, по большей части в юрисдикции США, то я не думаю, я уверен, что она контролируется правительством США, то есть выполняет законодательные требования США, и, в частности, эти законодательные требования распространяются на сотрудничество со спецслужбами США», — сообщил он.
Артем Гавриченков отметил, что если Роскомнадзор будет блокировать какие-либо IP-адреса корпорации Google и эти блокировки заденут ReCaptcha, то у пользователей банков начнутся проблемы с доступом.
«В перспективе reCAPTCHA на сайте российских банков может привести, например, к проблемам с доступом к аккаунтам в этих банках. Мы уже неоднократно становились свидетелями того, как доступ к сервисам Google на территории Российской Федерации прерывался, в том числе ввиду действий по блокировкам запрещенных сайтов. И если такого доступа к сервисам ReCaptcha не будет, и они не будут использоваться для аутентификации каких-либо действий на сайтах банков, то работать перестанут и также сайты этих банков», — рассказал он.
Есть и еще одна проблема. Дело в том, что в 2016 году Минэкономразвития подготовили приказ о запрете использования иностранных счетчиков посещаемости веб-страниц, таких как Google Analytics, Piwic и других, на официальных сайтах госведомств. Годом ранее Илья Костунов (который на тот момент был депутатом Госдумы) направил обращения в Роскомнадзор, Минэкономразвития и Генпрокуратуры с требованием проверить иностранные счетчики посещаемости, так как на сайтах они собирают чувствительную информацию, в том числе данные, которые пользователи вбивают в различные поля. Результаты проверки был помечен грифом «Для служебного пользования» (одна из вариаций секретных документов).
У Google есть несколько основных сервисов, которые встраиваются в код сайта. Это reCAPTCHA, Google Analytics и Google Tag Manager.
Google Tag Manager — это контейнер, который содержит заданный администратором сайта набор скриптов, например, ту же Google Analytics и Яндекс.Метрику, а также набор правил для их выполнения.
«Администраторы сайтов не могут гарантировать, что новые изменения, внесенные разработчиками компании Google, не повлияют на безопасность пользовательских данных. Все перечисленные инструменты отправляют информацию о пользователе и его активности на сайте на серверы компании Google. Проверить, какие пользовательские данные отправляются на серверы Google, технически возможно, но только для текущей реализации библиотеки. При любом изменении подключаемой библиотеки гарантировать, что инструмент не начал отправлять дополнительную информацию о пользователе, невозможно без повторной проверки. Основная проблема заключается в том, что невозможно достоверно сказать, как используются и кому передаются пользовательские данные, отправляемые на серверы компании Google», — сообщил Евгений Федоров.
RUNET проверил сайты банков, на предмет установки сервисов Google.
В «Почта Банк» — googletagmanager, «Сбербанк» — googletagmanager и Google Analytics, «ГазпромБанк» — googletagmanager, «Альфа-Банк»- googletagmanager и reCAPTCHA, «Банк ВТБ» — googletagmanager, QIWI — googletagmanager, ЮMoney и «Тинькофф» не используют сервисы Google.
«Повсеместное использование reCAPTCHA на сайтах — это хороший инструмент поставки данных о пользователях корпорации Google для последующего использования их для таргетированной рекламы. Насколько это нужно банкам — большой вопрос», — комментирует RUNET Евгений Федоров.
Он также добавил, что использование этой технологии банками будет уместным лишь только в том случае если пользовательские данные не будут передаваться третьей стороне.
Артем Гавриченков уверен, что вместо технологии Google ЦБ мог бы предложить использовать отечественную продукцию, которая также была бы направлена на защиту от роботизированного заполнения платежных инструкций.
«В том числе, если Центробанк ставит своей целью разработать некие методические рекомендации, которые реально будут иметь практическую пользу, то, Банку России правильно было бы провести исследование, какие российские сервисы можно использовать, какие из них не используют зарубежные ресурсы, какие из них достаточно надежные. В случае, если бы выяснилось, во что лично я не верю, что таких сервисов нет, Банк России мог бы стимулировать их появление», — резюмировал он.
Корпорация Google и платежный сервис ЮMoney отказались от комментария. «Почта Банк» «Сбербанк», «ГазпромБанк», «Альфа-Банк», «Банк ВТБ», QIWI, «Тинькофф», Центробанк, Минэкономразвития, Минсвязи не ответили на запрос на комментарий сетевого интернет-СМИ RUNET.
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе всех новостей и событий Рунета.