Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > ТЭК > SMS-коды признали опасными для оплаты

SMS-коды признали опасными для оплаты

Среда, 5 октября 2016 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

В Минкомсвязи рекомендуют использовать генерацию одноразовых паролей на стороне пользователя
 
В Минкомсвязи убеждены, что использование SMS для аутентификации пользователя является небезопасным для банков. Такое заявление сделал представитель Минкомсвязи 3 октября на заседании в Центральном банке с участием операторов связи «большой тройки», представителей ЦБ и отраслевых ассоциаций, на котором обсуждался вопрос передачи банкам от операторов связи информации об изменении владельца номера телефона. Об этом «Известиям» сообщили несколько собеседников, знакомых с ходом заседания. В пресс-службе Минкомсвязи эту информацию подтвердили.
 
— Использование SMS для аутентификации несет существенные риски для безопасности, и необходимо использование других, более безопасных способов, таких как применение генераторов одноразовых паролей (TOTP — Time-based One-time Password Algorithm) с дополнительной криптографической защитой. Соответствующие приложения и сервисы реализованы как отечественными, так и зарубежными компаниями и стандартизованы в документах IETF (Internet Engineering Task Force), — говорят в пресс-службе Минкомсвязи. — Минкомсвязь России продолжит работу с ЦБ для обеспечения безопасности граждан и их денег в цифровую эпоху.
 
Как правило для создания одноразовых паролей используются сервисы наподобие «Яндекс.Ключ» или Google Authenticator. Пользователи устанавливают соответствующее приложение на мобильное устройство. После его сопряжения с сайтом начинается генерация одноразовых паролей, и действие каждого ограничено по времени. После этого при заходе на сайт вместо старого пароля необходимо будет ввести пароль, который предложит приложение.
 
Сейчас же многие платежные сервисы для подтверждения операции просят ввести код, отправленный в SMS. После ввода этих данных и происходит оплата. По словам официального представителя компании «ВымпелКом» (бренд «Билайн»), SMS является самым распространенным и доступным каналом аутентификации с точки зрения пользователей и географии действия услуги.
 
— Практика показывает, что SMS-коды обеспечивают высокий уровень безопасности, если клиент соблюдает базовые принципы безопасности: хранит в тайне пароли, коды для подтверждения, использует антивирусы, — объясняет заместитель руководителя департамента розничных продуктов, электронного бизнеса и CRM банка ВТБ Александр Солонин. — За последние пять лет не было зарегистрировано ни одного случая компрометации с их использованием.
 
Начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева отметила, что уязвимость представляет не сама технология формирования кода, а SMS-канал, по которому происходит его доставка от банка клиенту.
 
— Уязвимость данного канала ни для кого не является секретом, в том числе и для нас, а потому SMS-коды — это далеко не единственный способ аутентификации, применяемый в банке, — говорит Дегтева. — В частности, в качестве альтернативных и рекомендуемых клиентам мы используем канал Push, а также внедрили технологию генерации кодов подтверждения операций, работающую по стандартам платежных систем Visa и MasterCard (CAP/DPA). Генерация кодов в этом случае происходит в специальном отдельном приложении для смартфонов «Токен ВТБ24-онлайн», работающем автономно и защищенном от внешнего воздействия со стороны вредоносных программ.
 
Аналитики по кибербезопасности также сомневаются в полной защищенности SMS-аутентификации.
 
— Использование кодов, переданных посредством SMS-сообщений, в качестве дополнительного фактора подтверждения платежей не является безопасным, — говорит руководитель направления аутсорсинга ИБ компании Solar Security Эльман Бейбутов. — Существует несколько способов компрометации такого канала передачи информации. Во-первых, существуют трояны для перехвата SMS с кодами и отправки их злоумышленнику. По такой схеме ежегодно похищается более 50 млн рублей со счетов россиян в различных российских банках. Во-вторых, можно перевыпустить SIM-карту с номером потенциальной жертвы по поддельному паспорту или по сговору с сотрудником салона связи. Это недорого — порядка 50 тыс. рублей на черном рынке за одну SIM-карту. Получив дубликат SIM-карты, злоумышленник активирует ее в сети оператора, обычно в ночное время, и за пару часов переводит все деньги из интернет-банка жертвы на подконтрольные счета в других финансовых организациях, после чего происходит практически мгновенное обналичивание денежных средств через банкоматы.
 
Антивирусный эксперт «Лаборатории Касперского» Денис Легезо уверен, что если пользователь работает с системой онлайн-банкинг на компьютере, а подтверждение приходит на телефон, то смысл в SMS есть.
 
— Если пользователь совершает платежи с зараженного смартфона, на который ему приходят SMS, то скомпрометированными оказываются сразу оба канала аутентификации, что делает SMS бесполезной функцией, — поясняет Легезо. — Злоумышленники прекрасно знают о разовых паролях в SMS, поэтому разрабатывают такое вредоносное программное обеспечение для мобильных устройств, которое может перехватывать пароли. Генерация разовых паролей на стороне пользователя действительно безопаснее, т.к. атакующим сложнее перехватить подтверждение аутентификации.
 
Бейбутов отметил, что генерация одноразовых паролей с использованием приложения в смартфоне или посредством считывания QR-кода с экрана монитора может существенно повысить уровень безопасности.
 
— Шифрованный и независимый от операторов канал доставки кодов двухфакторной аутентификации должен стать стандартом дистанционного банкинга, — говорит Бейбутов. — Такой подход не подвержен большинству известных угроз, кроме, конечно, социальной инженерии, эксплуатирующей человеческий фактор. Ведь если пользователь потеряет смартфон (читайте — устройство генерации кодов), должен существовать способ переустановки приложения на новое устройство или возможность временно использовать коды из SMS «восстановленной» SIM-карты — а это уже повод для возникновения новых, более изощренных мошеннических схем.
 
Руководитель службы кибербезопасности Сбербанка Сергей Лебедь рассказал, что в будущем их банк планирует переходить на современные инструменты генерации одноразовых паролей, позволяющие клиенту подтверждать реквизиты операции в доверенном окружении.
 
— Но делаться это будет по мере развития и, что более важно, проникновения технологий, чтобы не получалось, что ради нашего изменения всем нашим клиентам придется покупать новое оборудование, — отметил Лебедь. — Решение по простоте должно быть аналогично получению SMS.
 
Елена Дегтева из ВТБ24 также рассказала о том, что они прорабатывают альтернативные способы аутентификации вдобавок к уже внедренным с перспективой полной миграции с SMS на более защищенные каналы.
 
Владимир Зыков

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 187
Рубрика: ТЭК
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

10: 21
«НОВАТЭК» сократил запасы углеводородов по итогам 2016 года на 0,3% |
09: 41
Кандидат в министры финансов США высказался за соблюдение санкций против РФ |
09: 21
Комитет сената США одобрил кандидатуру Тиллерсона на пост госсекретаря |
09: 21
Китай и Индия снизят темпы заполнения нефтехранилищ |
09: 21
UBS: рынок нефти сбалансируется в I квартале 2017 г. |
09: 01
Украина повысила цену газа для промышленности на 22% |
08: 41
Кабмин не принимал решений об изъятии дивидендов "Роснефти" и "Газпрома" у "Роснефтегаза" |
18: 01
Трамп - президент: истеблишмент Европы в панике |
17: 41
"Газпром" решил продать долю в германской сети газопроводов Gascade |
17: 21
Министерства раскритиковали одобренный Путиным проект по 3D-разведке |
17: 01
Поступления от различных лотерей в Китае в 2016 году достигли $57,5 млрд |
16: 41
Запасы газа в ПХГ Европы рекордно упали, цены растут |
16: 41
Сечин назвал общий объем инвестиций "Роснефти" в 2016 году |
16: 41
Роснефть намерена увеличить поставки нефти в КНР до 31 млн тонн в 2017 году |
16: 21
"Роснефть" начнет сейсморазведку арктического шельфа |
16: 21
Рынок нефти: последний раз это закончилось обвалом |
15: 22
США первыми снимут антироссийские санкции, считает Пушков |
15: 01
Нефтяники РФ опережают график сокращения добычи |
15: 01
Сечин рассказал о добыче нефти и газа "Роснефтью" в 2016 году |
14: 41
Европа: смешанные настроения на фоне инаугурации президента США |
14: 41
Путин согласился встретиться с участниками приватизации 19,5% "Роснефти" |
14: 41
Премьер Финляндии назвал "Северный поток-2" обычным экологическим проектом |
10: 21
Р24: Новак считает, что потенциал роста цен на нефть не исчерпан |
10: 21
Марин Ле Пен назвала Евросоюз "мертвым" |
10: 21
Медведев предложил уменьшить число проверок бизнеса до одной в три года |
10: 21
Состоялось заседание Мониторингового комитета по сокращению добычи нефти |
10: 01
Сенаторы пригрозили заблокировать Трампу отмену санкций против России |
10: 01
Страны ОПЕК не беспокоит возможный рост производства сланцевой нефти в США |
10: 01
Алексей Миллер: Доля «Газпрома» на европейском газовом рынке выросла |
09: 41
Новак ожидает, что нефтяной рынок может найти баланс в конце I полугодия |
09: 41
Шохин надеется, что США сделает шаг вперед в отношениях с Россией |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003