12 октября 2016     Комментарии к записи Использование для оплаты SMS-кодов признано опасным отключены
 

Использование для оплаты SMS-кодов признано опасным

Использование SMS с целью аутентификации пользователя признано небезопасным. Об этом на заседании в ЦБ с участием операторов связи и отраслевых ассоциаций заявил представитель Минкомсвязи. Именно SMS является сегодня самым доступным и распространенным способом аутентификации пользователей.

sms-s-kodom

В пресс-службе Минкомсвязи подтвердили, что применение для аутентификации SMS несет серьезные риски для безопасности. Поэтому следует использовать более надежные способы, например, генераторы одноразовых паролей TOTP с дополнительной криптографической защитой. Подобные сервисы и приложения уже разработаны и прописаны в документах международного совета IETF. В министерстве подчеркнули, что будут продолжать работу с Центробанком для усиления безопасности граждан и их средств.

Одноразовые пароли могут создаваться посредством сервисов вроде Google Authenticator или «Яндекс.Ключ». Пользователь устанавливает на смартфон соответствующее приложение, которое после сопряжения с сайтом осуществляет генерацию ограниченных во времени одноразовых паролей. При заходе на сайт нужно будет вводить предложенный приложением пароль.

Ранее глава Минкомсвязи Николай Никифоров заявил на Международном инвестфоруме «Сочи-2016», что в условиях технологической цифровой революции следует ускорять темпы совершенствования законодательства. Если насущные вопросы не будут решены, то «последствия цифровизации скажутся на экономике страны негативно».

По словам старшего аналитика «Альпари» Анны Бодровой, на первый взгляд в использовании СМС-кодов нет ничего опасного: они имеют короткий период действия (1–3 минуты), который сокращает возможности доступа мошенников к ресурсам банков. Заменить подобные коды можно технологией считывания QR, однако она доступна не для всех мобильных телефонов. Банки снимают с себя ответственность, предупреждая пользователей о возможности неправомерного использования СМС-кодов. Фактически использовать СМС-код в преступных целях можно лишь тогда, если владелец сам сообщит его посторонним.

Адвокат Владимир Постанюк считает, что системы защиты от хищений с карт необходимо постоянно совершенствовать, поскольку мошенники непрерывно изобретают новые способы получения денег обманным путем, в т.ч. и посредством СМС. К примеру, злоумышленники пытаются получить реквизиты карты, рассылая клиентам обманные сообщения якобы от лица банка. Подобные СМС могут содержать запрос на подтверждение или смену персональной информации с предложением выслать пароль.

Иногда клиентам посредством ответа на СМС предлагают подтвердить согласие с изменением политики банка. Таким образом злоумышленники получают прямой доступ к денежным средствам. Поэтому любые дополнительные защитные меры следует приветствовать, – уверен юрист.

Предлагаемый Минкомсвязи сервис TOTP генерирует короткодействующие одноразовые пароли, оснащенные дополнительной криптографической защитой. За счет этого выполнение мошеннических операций затрудняется. Владимир Постанюк считает, что использование TOTP станет сегодня оптимальным решением на фоне участившихся случаев мошенничества.

Судя по комментариям, аналитики не увидели в заявлениях чиновников заинтересованности в продвижении конкретных сервисов, хотя подобный мотив в принципе исключать нельзя. Объемы кибермошенничества сегодня нарастают, и совершенствование способов защиты в сторону их усложнения неизбежно.