СМС доброй надежды
«Мошенники аплодируют НСПК стоя!» — такие комментарии я читала в интернете после выхода новости о том, что Национальная система платежных карт планирует сделать платной для банков двухфакторную аутентификацию клиента при оплате в интернете (когда необходимо подтвердить платеж кодом из СМС).
И в социальных сетях, и в комментариях под новостями на сайтах СМИ началось: «Как жить без сообщений? Мне же потом никогда не доказать, что не совершал покупку!». И ладно бы стенали домохозяйки и далекие от банковского бизнеса люди. Но нет, подобные высказывания я слышала даже от представителей кредитных организаций.
Отвечу на этот риторический вопрос: жить без СМС значительно удобнее, безопаснее, а с точки зрения банков — еще и дешевле.
В первую очередь НСПК обвиняли в снижении безопасности при отмене сообщений. Может быть, лет 20 назад это и был единственный способ подтверждения платежей, правильный и надежный. Но сейчас в том же 3D Secure 2.0 (протокол, используемый как дополнительный уровень безопасности при оплате картами онлайн) есть два сценария подтверждения оплаты: с помощью СМС (challenge) и без него (frictionless).
Второй подразумевает, что дополнительное подтверждение не нужно, если банк распознал устройство, с которого совершается платеж, как доверенное. И, в отличие от СМС, коды из которых элементарно перехватить, при frictionless-аутентификации используется более 100 уникальных признаков, которые крайне сложно подделать и совершенно точно нельзя продиктовать злоумышленникам.
Нелишним будет вспомнить и атаки на СМС-канал в Германии, после которых такой способ подтверждения трансакций в принципе был запрещен.
Скажу больше: на сегодня почти все убытки от фишинга и значительная часть социальной инженерии — результат использования СМС. Например, ситуация может быть такой: клиент банка при оплате покупки путем сканирования QR-кода или перехода по ссылке провалился в мобильный банк и быстро подтвердил перевод с помощью СМС, не глядя, кому идут деньги (отображаемая информация очень ограниченна и обычно ее не читают). Если реквизиты отправки подделаны злоумышленником, то деньги улетят неустановленным лицам.
При этом ведущие эксперты по информационной безопасности еще семь-восемь лет назад предупреждали о рисках использования СМС для подтверждения оплаты. В 2017 году такой материал выпустила «Лаборатория Касперского». Positive Technologies в исследовании 2018 года также отмечала — 100% реальных атак по перехвату сообщений достигают цели.
Но даже если закрыть глаза на безопасность (хотя делать это нельзя в принципе), то есть и финансовая сторона вопроса: СМС стоит денег. В зависимости от оператора и размера банка стоимость одного транзакционного или информационного сообщения в среднем колеблется от 0,7 до 4 рублей. При этом даже у не очень большой кредитной организации ежедневное их количество исчисляется сотнями тысяч.
Даже регулятор в лице Банка России борется с СМС-подтверждением. С 1 октября 2022 года действует свежая редакция постановления 683-П, в которой введены новые правила при переводах в системах дистанционного банковского обслуживания. Теперь подтверждение должно совершаться с использованием средств криптографической защиты со строгой аутентификацией отправителя и контролем целостности платежа (иными словами, эти методы позволяют однозначно доказать, кто совершал платеж и какой именно).
С использованием классических СМС и PUSH-кодов это невозможно, но ведь есть иные, более удобные методы. Однако многие банки, к сожалению, пока попросту игнорируют это положение, продолжая рассылать коды.
Зная эти факты, мне кажется очевидным — пора отказываться от небезопасных, дорогих и к тому же морально устаревших СМС. Точно так же как мы в свое время перестали пользоваться счетами, печатными машинками и дисковыми телефонами. Зачем использовать анахроничные средства подтверждения трансакций, когда давно изобретены более дешевые, удобные и безопасные?
Автор — коммерческий директор компании SafeTech
Позиция редакции может не совпадать с мнением автора
