Использование банками SMS-кодов для аутентификации признали небезопасным

Использование банками SMS-кодов для аутентификации пользователей является небезопасным. Как пишет газета "Известия", к такому заключению пришли в Минкомсвязи.

Использование SMS для аутентификации несет существенные риски для безопасности, и необходимо использование других, более безопасных способов, таких как применение генераторов одноразовых паролей (TOTP – Time-based One-time Password Algorithm) с дополнительной криптографической защитой. Соответствующие приложения и сервисы реализованы как отечественными, так и зарубежными компаниями и стандартизованы в документах IETF (Internet Engineering Task Force. Минкомсвязь России продолжит работу с ЦБ для обеспечения безопасности граждан и их денег в цифровую эпоху", - отметили в пресс-службе ведомства.

SMS-коды в настоящее время являются самым распространенным способом аутентификации. За последние пять лет не было выявлено ни одного случая компрометации с их использованием. Однако, по словам начальника управления дистанционного банковского обслуживания ВТБ24 Елены Дегтевой, уязвима не сама технология, а SMS-канал, по которому происходит доставка кода.

"Уязвимость данного канала ни для кого не является секретом, в том числе и для нас, а потому SMS-коды – это далеко не единственный способ аутентификации, применяемый в банке. В частности, в качестве альтернативных и рекомендуемых клиентам мы используем канал Push, а также внедрили технологию генерации кодов подтверждения операций, работающую по стандартам платежных систем Visa и MasterCard (CAP/DPA). Генерация кодов в этом случае происходит в специальном отдельном приложении для смартфонов "Токен ВТБ24-онлайн", работающем автономно и защищенном от внешнего воздействия со стороны вредоносных программ", - отметила она.

Уязвимость SMS-каналов подтвердили и аналитики по кибербезопасности. По словам главы направления аутсорсинга ИБ компании Solar Security Эльмана Бейбутова, для компрометации этого канала передачи данных существует несколько способов.

"Во-первых, существуют трояны для перехвата SMS с кодами и отправки их злоумышленнику. По такой схеме ежегодно похищается более 50 миллионов рублей со счетов россиян в различных российских банках. Во-вторых, можно перевыпустить SIM-карту с номером потенциальной жертвы по поддельному паспорту или по сговору с сотрудником салона связи. Это недорого — порядка 50 тысяч рублей на черном рынке за одну SIM-карту. Получив дубликат SIM-карты, злоумышленник активирует ее в сети оператора, обычно в ночное время, и за пару часов переводит все деньги из интернет-банка жертвы на подконтрольные счета в других финансовых организациях, после чего происходит практически мгновенное обналичивание денежных средств через банкоматы", - объяснил он.

По мнению Бейбутова, повысить безопасность может генерация одноразовых паролей с использованием приложения в смартфоне либо посредством считывания QR-кода с экрана монитора.

"Шифрованный и независимый от операторов канал доставки кодов двухфакторной аутентификации должен стать стандартом дистанционного банкинга. Такой подход не подвержен большинству известных угроз, кроме, конечно, социальной инженерии, эксплуатирующей человеческий фактор. Ведь если пользователь потеряет смартфон (читайте — устройство генерации кодов), должен существовать способ переустановки приложения на новое устройство или возможность временно использовать коды из SMS "восстановленной" SIM-карты — а это уже повод для возникновения новых, более изощренных мошеннических схем", - отметил он.