SMS-коды признали опасными для оплаты
В Минкомсвязи убеждены, что использование SMS для аутентификации пользователя является небезопасным для банков.
Такое заявление сделал представитель Минкомсвязи 3 октября на заседании в Центральном банке с участием операторов связи "большой тройки", представителей ЦБ и отраслевых ассоциаций, на котором обсуждался вопрос передачи банкам от операторов связи информации об изменении владельца номера телефона. Об этом "Известиям" сообщили несколько собеседников, знакомых с ходом заседания. В пресс-службе Минкомсвязи эту информацию подтвердили.
— Использование SMS для аутентификации несет существенные риски для безопасности, и необходимо использование других, более безопасных способов, таких как применение генераторов одноразовых паролей (TOTP — Time-based One-time Password Algorithm) с дополнительной криптографической защитой. Соответствующие приложения и сервисы реализованы как отечественными, так и зарубежными компаниями и стандартизованы в документах IETF (Internet Engineering Task Force), — говорят в пресс-службе Минкомсвязи. — Минкомсвязь России продолжит работу с ЦБ для обеспечения безопасности граждан и их денег в цифровую эпоху.
Как правило для создания одноразовых паролей используются сервисы наподобие "Яндекс.Ключ" или Google Authenticator. Пользователи устанавливают соответствующее приложение на мобильное устройство. После его сопряжения с сайтом начинается генерация одноразовых паролей, и действие каждого ограничено по времени. После этого при заходе на сайт вместо старого пароля необходимо будет ввести пароль, который предложит приложение.
Сейчас же многие платежные сервисы для подтверждения операции просят ввести код, отправленный в SMS. После ввода этих данных и происходит оплата. По словам официального представителя компании "ВымпелКом" (бренд "Билайн"), SMS является самым распространенным и доступным каналом аутентификации с точки зрения пользователей и географии действия услуги.
— Практика показывает, что SMS-коды обеспечивают высокий уровень безопасности, если клиент соблюдает базовые принципы безопасности: хранит в тайне пароли, коды для подтверждения, использует антивирусы, — объясняет заместитель руководителя департамента розничных продуктов, электронного бизнеса и CRM банка ВТБ Александр Солонин. — За последние пять лет не было зарегистрировано ни одного случая компрометации с их использованием.
Начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева отметила, что уязвимость представляет не сама технология формирования кода, а SMS-канал, по которому происходит его доставка от банка клиенту.
— Уязвимость данного канала ни для кого не является секретом, в том числе и для нас, а потому SMS-коды — это далеко не единственный способ аутентификации, применяемый в банке, — говорит Дегтева. — В частности, в качестве альтернативных и рекомендуемых клиентам мы используем канал Push, а также внедрили технологию генерации кодов подтверждения операций, работающую по стандартам платежных систем Visa и MasterCard (CAP/DPA). Генерация кодов в этом случае происходит в специальном отдельном приложении для смартфонов "Токен ВТБ24-онлайн", работающем автономно и защищенном от внешнего воздействия со стороны вредоносных программ.
Аналитики по кибербезопасности также сомневаются в полной защищенности SMS-аутентификации.
— Использование кодов, переданных посредством SMS-сообщений, в качестве дополнительного фактора подтверждения платежей не является безопасным, — говорит руководитель направления аутсорсинга ИБ компании Solar Security Эльман Бейбутов. — Существует несколько способов компрометации такого канала передачи информации. Во-первых, существуют трояны для перехвата SMS с кодами и отправки их злоумышленнику. По такой схеме ежегодно похищается более 50 млн рублей со счетов россиян в различных российских банках. Во-вторых, можно перевыпустить SIM-карту с номером потенциальной жертвы по поддельному паспорту или по сговору с сотрудником салона связи. Это недорого — порядка 50 тыс. рублей на черном рынке за одну SIM-карту. Получив дубликат SIM-карты, злоумышленник активирует ее в сети оператора, обычно в ночное время, и за пару часов переводит все деньги из интернет-банка жертвы на подконтрольные счета в других финансовых организациях, после чего происходит практически мгновенное обналичивание денежных средств через банкоматы.
Антивирусный эксперт "Лаборатории Касперского" Денис Легезо уверен, что если пользователь работает с системой онлайн-банкинг на компьютере, а подтверждение приходит на телефон, то смысл в SMS есть.
— Если пользователь совершает платежи с зараженного смартфона, на который ему приходят SMS, то скомпрометированными оказываются сразу оба канала аутентификации, что делает SMS бесполезной функцией, — поясняет Легезо. — Злоумышленники прекрасно знают о разовых паролях в SMS, поэтому разрабатывают такое вредоносное программное обеспечение для мобильных устройств, которое может перехватывать пароли. Генерация разовых паролей на стороне пользователя действительно безопаснее, т.к. атакующим сложнее перехватить подтверждение аутентификации.
Бейбутов отметил, что генерация одноразовых паролей с использованием приложения в смартфоне или посредством считывания QR-кода с экрана монитора может существенно повысить уровень безопасности.
— Шифрованный и независимый от операторов канал доставки кодов двухфакторной аутентификации должен стать стандартом дистанционного банкинга, — говорит Бейбутов. — Такой подход не подвержен большинству известных угроз, кроме, конечно, социальной инженерии, эксплуатирующей человеческий фактор. Ведь если пользователь потеряет смартфон (читайте — устройство генерации кодов), должен существовать способ переустановки приложения на новое устройство или возможность временно использовать коды из SMS "восстановленной" SIM-карты — а это уже повод для возникновения новых, более изощренных мошеннических схем.
Руководитель службы кибербезопасности Сбербанка Сергей Лебедь рассказал, что в будущем их банк планирует переходить на современные инструменты генерации одноразовых паролей, позволяющие клиенту подтверждать реквизиты операции в доверенном окружении.
— Но делаться это будет по мере развития и, что более важно, проникновения технологий, чтобы не получалось, что ради нашего изменения всем нашим клиентам придется покупать новое оборудование, — отметил Лебедь. — Решение по простоте должно быть аналогично получению SMS.
Елена Дегтева из ВТБ24 также рассказала о том, что они прорабатывают альтернативные способы аутентификации вдобавок к уже внедренным с перспективой полной миграции с SMS на более защищенные каналы.