Банки будують «щит» безпеки, використовуючи власних користувачів.

Контролюйте ризики прямо на «шлюзі».

В останні роки послуги електронного банкінгу та мобільного банкінгу швидко розвивалися, стаючи популярним каналом транзакцій для індивідуальних та корпоративних клієнтів. Якщо раніше технологічна система банку була основною ціллю атак, то тепер пристрої доступу користувачів, такі як смартфони та персональні комп'ютери, стали вразливими ланками для експлуатації.

За словами експертів з кібербезпеки, хакери можуть встановлювати шкідливе програмне забезпечення через підроблені програми, фішингові посилання або програмне забезпечення, яке втручається в роботу операційної системи. Після компрометації пристрою зловмисники можуть відстежувати активність банківських програм або отримувати контроль над рахунками.

У цьому контексті було видано циркуляр 77/2025/TT-NHNN Державного банку В'єтнаму щодо посилення безпеки цифрових банківських транзакцій, який вимагає від кредитних установ удосконалити технічні рішення для виявлення та запобігання ризикам шахрайства безпосередньо з пристрою доступу. Згідно з нормативними актами, банківські додатки повинні мати можливість автоматично виявляти незахищені пристрої та проактивно зупиняти роботу, коли виявляються ризики.

Зокрема, система автоматично вийде з системи або заборонить доступ, якщо пристрій демонструє одну з трьох ознак ненадійності. По-перше, на пристрої ввімкнено налагоджувач, він працює в середовищі емулятора або активовано Android Debug Bridge, що дозволяє комп’ютеру безпосередньо керувати телефоном. По-друге, банківський додаток було підроблено, наприклад, шляхом вставки шкідливого коду, моніторингу даних або модифікації додатка. По-третє, пристрій було скомпрометовано, наприклад, шляхом рутування Android або джейлбрейка iOS.

Щоб дотримуватися нових правил, багато великих банків одночасно повідомили клієнтів про припинення надання послуг цифрового банкінгу на пристроях, які не відповідають стандартам безпеки. В'єтнамський банк інвестицій та розвитку (BIDV) заявив, що його сервіс SmartBanking припинить роботу на пристроях, на яких було встановлено root-доступ, здійснено джейлбрейк або розблоковано завантажувачі – випадки з високим ризиком втручання в систему. В'єтнамський банк сільського господарства та розвитку сільських районів ( Agribank ) також оголосив, що його додаток Mobile Banking відмовлятиме в доступі до пристроїв, які не відповідають стандартам безпеки. Аналогічно, В'єтнамський експортно-імпортний банк (Eximbank) заявив, що додаток Eximbank EDigi автоматично закриється, якщо виявить пристрій з увімкненим налагоджувачем, запущеним емулятором або з несанкціонованим введеним кодом.

Це посилення технічних стандартів розглядається як «захисний бар'єр», щоб запобігти отриманню хакерами контролю над банківськими додатками.

Побудова безпечної екосистеми цифрового банкінгу.

Окрім посилення технічних стандартів для пристроїв доступу, багато банків також одночасно впроваджують рішення для підвищення цифрової безпеки, щоб створити безпечнішу екосистему цифрового банкінгу для клієнтів.

Одним із визначних пунктів Циркуляра 77 є вимога до кредитних установ впроваджувати біометричні рішення для виявлення шахрайства, що відповідають міжнародному стандарту ISO 30107 рівня 2. Цей регламент вважається важливим кроком у підвищенні стандартів автентифікації користувачів, допомагаючи зменшити ризик шахрайства з біометричними даними під час проведення онлайн-транзакцій.

Насправді, з розвитком технології штучного інтелекту (ШІ), форми підробки даних обличчя, відео чи біометричних даних стають дедалі складнішими. Тому очікується, що застосування стандартів біометричної ідентифікації вищого рівня допоможе банкам підвищити свою здатність виявляти та запобігати шахрайству.

Водночас багато банків продовжують інвестувати в модернізацію своїх платформ цифрового банкінгу для інтеграції кількох рівнів безпеки. Такі технології, як шифрування даних, багатофакторна автентифікація, моніторинг транзакцій у режимі реального часу та системи сповіщення про аномалії, широко застосовуються для виявлення ранніх ознак шахрайства.

У В'єтнамському комерційному банку процвітання ( VPBank ) безпека визначена одним із ключових компонентів розвитку цифрового банкінгу. За словами представників банку, впровадження вимог Циркуляра 77 спрямоване не лише на дотримання законодавчих норм, але й є частиною довгострокової стратегії побудови безпечної та прозорої цифрової фінансової екосистеми як для індивідуальних, так і для корпоративних клієнтів.

Цифрові банківські платформи VPBank наразі розроблені з кількома рівнями захисту, від біометричної автентифікації та шифрування даних до моніторингу транзакцій у режимі реального часу та сповіщень про аномалії. Такий підхід допомагає банку контролювати ризики протягом усього життєвого циклу транзакції, від доступу та автентифікації до виконання та завершення транзакції.

Тим часом, Сайгонсько-Ханойський комерційний акціонерний банк ( SHB ) також продовжує оновлювати своє рішення безпеки для додатків електронного банкінгу SShield на платформі SHB SAHA. За словами представника банку, SShield розроблено для виявлення несанкціонованого втручання в банківський додаток, тим самим підвищуючи безпеку онлайн-транзакцій.

Паралельно клієнтам також рекомендується регулярно оновлювати свої банківські додатки з офіційних магазинів додатків, перевіряти стан безпеки своїх пристроїв та уникати встановлення програмного забезпечення з неперевірених джерел. Крім того, користувачам слід остерігатися поширених шахрайських схем, таких як фальшиві банківські повідомлення, фішингові посилання або запити на вхідну інформацію та одноразові паролі.