Опасность SMS-кодов
По мнению представителей Минкомсвязи, использование SMS при пользовательской аутентификации небезопасно для банков, так как это несет большие риски, и необходимо пользоваться другими, более безопасными способами, например, применять генераторы одноразовых паролей (TOTP — Time-based One-time Password Algorithm), имеющие дополнительную криптографическую защиту. Эти приложения и сервисы реализовали как отечественные, так и зарубежные компании и стандартизированы в документации IETF (Internet Engineering Task Force). В Минкомсвязи России продолжается работа с ЦБ, направленная на обеспечение безопасности граждан и их финансов в цифровой век.
Обычно, чтобы создать одноразовый пароль задействуются сервисы подобные «Яндекс.Ключ» или Google Authenticator. Пользователями на их мобильные устройства устанавливается соответствующее приложение. Как только оно сопрягается с сайтом, начинают генерироваться одноразовые пароли, причем, время действия каждого ограничено. Потом, от пользователя, заходящего на сайт, требуется вместо старого пароля ввод пароля, предложенного приложением.
Сегодня многие платежные сервисы для того. чтобы операция была подтверждена, запрашивают ввод кода, отправленного в SMS, после чего, собственно, и осуществляется оплата. Как считает официальный представитель компании «ВымпелКом» (бренд «Билайн»), SMS - это самый распространенный и доступный канал аутентификации с точки зрения пользователя и геоохвата действия этой услуги.
По словам заместителя руководителя департамента розничных продуктов, электронного бизнеса и CRM банка ВТБ Александра Солонина, судя по практическому опыту, использование SMS-кодов - это обеспечение высокого уровня безопасности при условии соблюдения клиентом базовых принципов безопасности: хранение в тайне пароля, кодов для подтверждения, использование антивирусных программ. За последнюю пятилетку не отмечено случаев компрометации с их применением.
По словам начальника управления ДБО ВТБ24 Елены Дегтевой, уязвимой может быть не технология формирования кода, а сам SMS-канал, по которому он доставляется клиенту.
И то, что этот канал уязвим, ни для кого не секрет, в том числе и для нас, поэтому SMS-коды — это только один из способов аутентификации, используемый банками. Как альтернатива и рекомендация для клиентов используется канал Push, внедрена технология генерации кодов, подтверждающих операции, работающая на основе стандартов ведущих платежных систем Visa и MasterCard (CAP/DPA). В этом случае коды генерируются в специальном отдельном приложении для смартфонов «Токен ВТБ24-онлайн», оно работает автономно и защищено от воздействия извне программ-вредителей.
По словам руководителя направления аутсорсинга ИБ компании Solar Security Эльмана Бейбутова, далеко не безопасно пользоваться кодами, переданными в SMS-сообщении. Сегодня есть способы, которыми можно скомпрометировать такой канал передачи информации. Есть троянские программы, перехватывающие SMS с кодами и отправляющие их злоумышленникам. С использованием этой схемы каждый год мошенники похищают порядка 50 млн рублей со счетов граждан - клиентов разных российских банков. Также возможен перевыпуск SIM-карты, на которой указан номер потенциальной жертвы по фальшивому паспорту или посредством сговора с работником салона связи. На черном рынке одна такая сим-карта обойдется примерно в 50 тыс. рублей. Имея на руках дубликат SIM-карты, мошенник активирует ее в сети оператора, как правило. ночью, и за несколько часов все деньги из интернет-банка жертвы окажутся на подконтрольных счетах в других банках, после чего их практически мгновенное обналичивают в банкомате.
По мнению антивирусного эксперта «Лаборатории Касперского» Дениса Легезо, при работе пользователя с системой онлайн-банкинг на компьютере, и получением подтверждения на телефон, использование SMS оправданно. Но если платежи совершаются пользователем с зараженного смартфона, на который поступают SMS, то будут скомпрометированы сразу два канала аутентификации, таким образом SMS превращается в бесполезную функцию. Мошенники знают про разовые пароли в SMS, поэтому концентрируются на разработке такого вредоносного программного обеспечения для мобильных устройств, которое бы перехватывало пароли. Вариант генерации разовых паролей на пользовательской стороне действительно более безопасный, т.к. для атакующих усложняется перехват подтверждения аутентификации.
По мнению Бейбутова, генерация одноразовых паролей через приложение в смартфоне или считывание QR-кода с экрана монитора ведет к существенному повышению уровня безопасности. Зашифрованный и не находящийся в зависимости от операторов канал доставки кодов 2-факторной аутентификации мог бы превратиться в единый стандарт дистанционного банкинга. Он устойчив перед многими известными угрозами. Исключение, конечно, социальная инженерия, эксплуатирующая человеческий фактор. Ведь при потере пользователем смартфона (в нашем случае смартфон становится устройством, генерирующим коды), должен быть способ, с которым можно было бы переустановить приложение на новый телефон или возможность временно пользоваться кодами из SMS «восстановленных» SIM-карт — а это уже отличный повод для разработки мошенниками новых, более усовершенствованных схем.
По словам руководителя службы кибербезопасности Сбербанка Сергея Лебедя, в перспективе Сбербанк обратится к современным инструментам генерации одноразовых паролей, позволяющим клиенту подтверждать реквизиты операции через доверенное окружение.
Внедряться это будет постепенно и, что более важно, таким образом, чтобы нововведение не требовало от всех наших клиентов покупки нового оборудования.
В ВТБ24 также начата проработка альтернативных способов аутентификации плюс к уже внедренным с расчетом на полную миграцию от SMS к более защищенным каналам.
