Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > ТЭК > SMS-коды признали опасными для оплаты

SMS-коды признали опасными для оплаты

Среда, 5 октября 2016 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

В Минкомсвязи рекомендуют использовать генерацию одноразовых паролей на стороне пользователя
 
В Минкомсвязи убеждены, что использование SMS для аутентификации пользователя является небезопасным для банков. Такое заявление сделал представитель Минкомсвязи 3 октября на заседании в Центральном банке с участием операторов связи «большой тройки», представителей ЦБ и отраслевых ассоциаций, на котором обсуждался вопрос передачи банкам от операторов связи информации об изменении владельца номера телефона. Об этом «Известиям» сообщили несколько собеседников, знакомых с ходом заседания. В пресс-службе Минкомсвязи эту информацию подтвердили.
 
— Использование SMS для аутентификации несет существенные риски для безопасности, и необходимо использование других, более безопасных способов, таких как применение генераторов одноразовых паролей (TOTP — Time-based One-time Password Algorithm) с дополнительной криптографической защитой. Соответствующие приложения и сервисы реализованы как отечественными, так и зарубежными компаниями и стандартизованы в документах IETF (Internet Engineering Task Force), — говорят в пресс-службе Минкомсвязи. — Минкомсвязь России продолжит работу с ЦБ для обеспечения безопасности граждан и их денег в цифровую эпоху.
 
Как правило для создания одноразовых паролей используются сервисы наподобие «Яндекс.Ключ» или Google Authenticator. Пользователи устанавливают соответствующее приложение на мобильное устройство. После его сопряжения с сайтом начинается генерация одноразовых паролей, и действие каждого ограничено по времени. После этого при заходе на сайт вместо старого пароля необходимо будет ввести пароль, который предложит приложение.
 
Сейчас же многие платежные сервисы для подтверждения операции просят ввести код, отправленный в SMS. После ввода этих данных и происходит оплата. По словам официального представителя компании «ВымпелКом» (бренд «Билайн»), SMS является самым распространенным и доступным каналом аутентификации с точки зрения пользователей и географии действия услуги.
 
— Практика показывает, что SMS-коды обеспечивают высокий уровень безопасности, если клиент соблюдает базовые принципы безопасности: хранит в тайне пароли, коды для подтверждения, использует антивирусы, — объясняет заместитель руководителя департамента розничных продуктов, электронного бизнеса и CRM банка ВТБ Александр Солонин. — За последние пять лет не было зарегистрировано ни одного случая компрометации с их использованием.
 
Начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева отметила, что уязвимость представляет не сама технология формирования кода, а SMS-канал, по которому происходит его доставка от банка клиенту.
 
— Уязвимость данного канала ни для кого не является секретом, в том числе и для нас, а потому SMS-коды — это далеко не единственный способ аутентификации, применяемый в банке, — говорит Дегтева. — В частности, в качестве альтернативных и рекомендуемых клиентам мы используем канал Push, а также внедрили технологию генерации кодов подтверждения операций, работающую по стандартам платежных систем Visa и MasterCard (CAP/DPA). Генерация кодов в этом случае происходит в специальном отдельном приложении для смартфонов «Токен ВТБ24-онлайн», работающем автономно и защищенном от внешнего воздействия со стороны вредоносных программ.
 
Аналитики по кибербезопасности также сомневаются в полной защищенности SMS-аутентификации.
 
— Использование кодов, переданных посредством SMS-сообщений, в качестве дополнительного фактора подтверждения платежей не является безопасным, — говорит руководитель направления аутсорсинга ИБ компании Solar Security Эльман Бейбутов. — Существует несколько способов компрометации такого канала передачи информации. Во-первых, существуют трояны для перехвата SMS с кодами и отправки их злоумышленнику. По такой схеме ежегодно похищается более 50 млн рублей со счетов россиян в различных российских банках. Во-вторых, можно перевыпустить SIM-карту с номером потенциальной жертвы по поддельному паспорту или по сговору с сотрудником салона связи. Это недорого — порядка 50 тыс. рублей на черном рынке за одну SIM-карту. Получив дубликат SIM-карты, злоумышленник активирует ее в сети оператора, обычно в ночное время, и за пару часов переводит все деньги из интернет-банка жертвы на подконтрольные счета в других финансовых организациях, после чего происходит практически мгновенное обналичивание денежных средств через банкоматы.
 
Антивирусный эксперт «Лаборатории Касперского» Денис Легезо уверен, что если пользователь работает с системой онлайн-банкинг на компьютере, а подтверждение приходит на телефон, то смысл в SMS есть.
 
— Если пользователь совершает платежи с зараженного смартфона, на который ему приходят SMS, то скомпрометированными оказываются сразу оба канала аутентификации, что делает SMS бесполезной функцией, — поясняет Легезо. — Злоумышленники прекрасно знают о разовых паролях в SMS, поэтому разрабатывают такое вредоносное программное обеспечение для мобильных устройств, которое может перехватывать пароли. Генерация разовых паролей на стороне пользователя действительно безопаснее, т.к. атакующим сложнее перехватить подтверждение аутентификации.
 
Бейбутов отметил, что генерация одноразовых паролей с использованием приложения в смартфоне или посредством считывания QR-кода с экрана монитора может существенно повысить уровень безопасности.
 
— Шифрованный и независимый от операторов канал доставки кодов двухфакторной аутентификации должен стать стандартом дистанционного банкинга, — говорит Бейбутов. — Такой подход не подвержен большинству известных угроз, кроме, конечно, социальной инженерии, эксплуатирующей человеческий фактор. Ведь если пользователь потеряет смартфон (читайте — устройство генерации кодов), должен существовать способ переустановки приложения на новое устройство или возможность временно использовать коды из SMS «восстановленной» SIM-карты — а это уже повод для возникновения новых, более изощренных мошеннических схем.
 
Руководитель службы кибербезопасности Сбербанка Сергей Лебедь рассказал, что в будущем их банк планирует переходить на современные инструменты генерации одноразовых паролей, позволяющие клиенту подтверждать реквизиты операции в доверенном окружении.
 
— Но делаться это будет по мере развития и, что более важно, проникновения технологий, чтобы не получалось, что ради нашего изменения всем нашим клиентам придется покупать новое оборудование, — отметил Лебедь. — Решение по простоте должно быть аналогично получению SMS.
 
Елена Дегтева из ВТБ24 также рассказала о том, что они прорабатывают альтернативные способы аутентификации вдобавок к уже внедренным с перспективой полной миграции с SMS на более защищенные каналы.
 
Владимир Зыков

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 220
Рубрика: ТЭК
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

13: 41
Александр Новак: Санкции не снизили интерес зарубежных инвесторов к проектам в Арктике РФ |
12: 41
Америка будет стремиться к наращиванию торговли с Китаем |
12: 41
Трутнев призвал федеральные структуры не мешать работе бизнеса |
12: 01
Постпред США в ООН обозначила условия отмены санкций |
11: 21
Министр нефти Саудовской Аравии: Saudi Aramco, вероятно, проведет первичное размещение акций одновременно на нескольких биржах |
11: 01
Правительство РФ: О бюджетных ассигнованиях на реализацию проектов в рамках программы технического сотрудничества МАГАТЭ |
08: 01
В совет директоров "Газпрома" вместо Улюкаева выдвинули Мантурова |
17: 21
Прибыль Shell в 2016 году снизилась на 8% |
17: 21
Google обогнала Apple и стала самым дорогим брендом в мире в 2016 году |
17: 01
Новак не исключил, что Россия сократит нефтедобычу ускоренными темпами |
17: 01
Правительство РФ утвердило план приватизации госактивов на 2017-2019 гг. |
16: 41
Положительное сальдо российской внешней торговли в декабре снизилось 18,6% |
16: 21
Мировые цены на нефть перешли к росту, несмотря на увеличение запасов в США |
16: 21
Лондон заблокирует референдум в Шотландии |
16: 21
Япония рассматривает возможность увеличить импорт энергоносителей из США |
12: 21
Порошенко заявил, что больше всех хочет отмены санкций против России |
12: 21
Инвесторы потянулись в ПИФы |
12: 01
CNPC увеличит добычу сланцевого газа на юго-западе Китая до 10 млрд куб. м к 2020 году |
11: 41
Финансовая аналитика от Альпари На фоне растущих котировок нефти доллар снизится до 59,80- 59,85 руб. |
11: 41
Экспорт нефти США превысит добычу ряда стран ОПЕК |
11: 21
Александр Новак доложил о ходе реализации соглашения о сокращении добычи нефти |
11: 01
Юрий Ушаков: Венгрия может подключиться к проектам «Северный поток» и «Турецкий поток» |
00: 36
Курдистан мешает Ираку сокращать добычу нефти |
22: 36
Россия в январе снизила добычу на 117 тысяч баррелей |
22: 36
ОПЕК и не ОПЕК встретятся дважды до окончания соглашения по сокращению нефтедобычи |
22: 36
Налог на квартиру в Москве вырастет в 2017 году |
22: 36
Аксенов заверил, что Крыму не грозит дефицит газа из-за похолоданий |
22: 36
Правительство Югры реализует около 40 соцпроектов совместно с "Лукойлом" |
22: 36
Зайберт: снятие санкций с России связано с полным выполнением "Минска-2" |
22: 36
Экспорт "Газпрома" в январе вырос на 26% |
22: 36
Государство сэкономило 82 млрд руб. благодаря казначейскому сопровождению расходов |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003