Перейти к основному содержанию
Реклама
Прямой эфир
Политика
Путин заявил об укреплении оборонного потенциала Союзного государства
Армия
Минобороны сообщило об уничтожении 93 дронов ВСУ над регионами России
Мир
Захарова назвала визит Си Цзиньпина на 80-летие Победы важным событием
Общество
Генпрокурор сообщил о возбуждении более 6 тыс. дел против боевиков и наемников ВСУ
Мир
На Западе заявили об угрозе для НАТО со стороны США
Мир
Филиппо обвинил Каллас в стремлении начать конфликт с Россией
Мир
Захарова указала на недооценку Киевом осведомленности Трампа
Мир
В МИД Польши указали на готовность около 30 стран поддерживать мир на Украине
Общество
Путин поручил образовать Службу по вопросам гражданства и регистрации иностранцев МВД
Спорт
Овечкин побил рекорд НХЛ по голам за сезон среди игроков в возрасте от 30 лет
Пресс-релизы
Первая всероссийская акция «Игрушка ветерану» собрала более тысячи работ
Общество
В Роскомнадзоре предупредили о звонках мошенников от имени ведомства
Мир
Захарова указала на недостаток профессионализма у Бербок для работы главой ГА ООН
Мир
СМИ сообщили о прекращении обсуждения в НАТО пересмотра отношений с Россией
Общество
Краснов сообщил о возвращении государству более 15 тыс. незаконно отчужденных объектов
Общество
Верховный суд не признал совместно нажитым купленное в гражданском браке имущество
Культура
«НМГ Кинопрокат» объявила о продолжении «Красного шелка»

СМС доброй надежды

Эксперт по кибербезопасности Дарья Верестникова — о том, почему не страшно отказаться от сообщений для подтверждения банковских операций
170
Выделить главное
Вкл
Выкл

«Мошенники аплодируют НСПК стоя!» — такие комментарии я читала в интернете после выхода новости о том, что Национальная система платежных карт планирует сделать платной для банков двухфакторную аутентификацию клиента при оплате в интернете (когда необходимо подтвердить платеж кодом из СМС).

И в социальных сетях, и в комментариях под новостями на сайтах СМИ началось: «Как жить без сообщений? Мне же потом никогда не доказать, что не совершал покупку!». И ладно бы стенали домохозяйки и далекие от банковского бизнеса люди. Но нет, подобные высказывания я слышала даже от представителей кредитных организаций.

Отвечу на этот риторический вопрос: жить без СМС значительно удобнее, безопаснее, а с точки зрения банков — еще и дешевле.

В первую очередь НСПК обвиняли в снижении безопасности при отмене сообщений. Может быть, лет 20 назад это и был единственный способ подтверждения платежей, правильный и надежный. Но сейчас в том же 3D Secure 2.0 (протокол, используемый как дополнительный уровень безопасности при оплате картами онлайн) есть два сценария подтверждения оплаты: с помощью СМС (challenge) и без него (frictionless).

Второй подразумевает, что дополнительное подтверждение не нужно, если банк распознал устройство, с которого совершается платеж, как доверенное. И, в отличие от СМС, коды из которых элементарно перехватить, при frictionless-аутентификации используется более 100 уникальных признаков, которые крайне сложно подделать и совершенно точно нельзя продиктовать злоумышленникам.

Нелишним будет вспомнить и атаки на СМС-канал в Германии, после которых такой способ подтверждения трансакций в принципе был запрещен.

Скажу больше: на сегодня почти все убытки от фишинга и значительная часть социальной инженерии — результат использования СМС. Например, ситуация может быть такой: клиент банка при оплате покупки путем сканирования QR-кода или перехода по ссылке провалился в мобильный банк и быстро подтвердил перевод с помощью СМС, не глядя, кому идут деньги (отображаемая информация очень ограниченна и обычно ее не читают). Если реквизиты отправки подделаны злоумышленником, то деньги улетят неустановленным лицам.

При этом ведущие эксперты по информационной безопасности еще семь-восемь лет назад предупреждали о рисках использования СМС для подтверждения оплаты. В 2017 году такой материал выпустила «Лаборатория Касперского». Positive Technologies в исследовании 2018 года также отмечала — 100% реальных атак по перехвату сообщений достигают цели.

Но даже если закрыть глаза на безопасность (хотя делать это нельзя в принципе), то есть и финансовая сторона вопроса: СМС стоит денег. В зависимости от оператора и размера банка стоимость одного транзакционного или информационного сообщения в среднем колеблется от 0,7 до 4 рублей. При этом даже у не очень большой кредитной организации ежедневное их количество исчисляется сотнями тысяч.

Даже регулятор в лице Банка России борется с СМС-подтверждением. С 1 октября 2022 года действует свежая редакция постановления 683-П, в которой введены новые правила при переводах в системах дистанционного банковского обслуживания. Теперь подтверждение должно совершаться с использованием средств криптографической защиты со строгой аутентификацией отправителя и контролем целостности платежа (иными словами, эти методы позволяют однозначно доказать, кто совершал платеж и какой именно).

С использованием классических СМС и PUSH-кодов это невозможно, но ведь есть иные, более удобные методы. Однако многие банки, к сожалению, пока попросту игнорируют это положение, продолжая рассылать коды.

Зная эти факты, мне кажется очевидным — пора отказываться от небезопасных, дорогих и к тому же морально устаревших СМС. Точно так же как мы в свое время перестали пользоваться счетами, печатными машинками и дисковыми телефонами. Зачем использовать анахроничные средства подтверждения трансакций, когда давно изобретены более дешевые, удобные и безопасные?

Автор — коммерческий директор компании SafeTech

Позиция редакции может не совпадать с мнением автора

Читайте также
Прямой эфир
Следующая новость
На нашем сайте используются cookie-файлы. Продолжая пользоваться данным сайтом, вы подтверждаете свое согласие на использование файлов cookie в соответствии с настоящим уведомлением и Пользовательским соглашением