Без СМС, с авторизацией: банки внедряют аналог цифровой подписи для переводов

Подтверждение операции таким способом позволит защитить клиентов от перехвата паролей и снизит риск социальной инженерии
Наталья Ильина
Фото: РИА Новости/Евгения Новоженина

Банки нашли способ обезопасить деньги клиентов от хищений через перехват СМС, push-уведомлений и подмену SIM-карты. Кредитные организации переводят пользователей на подтверждение операций с помощью упрощенной электронной подписи, которая хранится в смартфоне. Для ограниченного круга клиентов и операций эту функцию уже внедрил ряд крупных банков. Полномасштабно ее запустил МКБ в мае 2020-го. Реализацию аналогичной технологии рассматривают еще несколько участников рынка, в том числе Сбербанк. Такая система подтверждения позволит снизить риск мошенничества с помощью социальной инженерии, полагают эксперты.

Счетная безопасность

Кредитные организации стали переводить клиентов на более безопасный способ подтверждения операций в дистанционных каналах. Он заменит использование одноразовых кодов из СМС или push-уведомлений. Новый способ действует по аналогии с электронной подписью, которая хранится в смартфоне: клиенту присылается уведомление о денежном переводе или оплате в интернет-магазине со всеми реквизитами получателя и суммой списания. После нажатия кнопки «подтвердить» сгенерируется подпись, контролирующая авторство и неизменность операции, — поставить ее можно будет только на конкретном смартфоне, принадлежащем клиенту.

Такую технологию для массового использования уже внедрил МКБ, рассказали «Известиям» в банке. В ближайших планах Сбербанка — вывод на рынок новых продуктов, которые позволяют обойтись без кодов верификации в СМС, рассказали «Известиям» в кредитной организации. В банке «Зенит» сообщили, что рассматривают возможность внедрения такой технологии, в Газпромбанке и ДОМ.РФ внимательно ее изучают, а в Новикомбанке работают над внедрением этого и других решений по безопасности подтверждения трансакций.

Фото: ИЗВЕСТИЯ/Павел Бедняков

Возможность подтверждать операции без кода из СМС уже реализована для VIP-клиентов банка «Открытие». Аналогичную технологию используют и в ВТБ. Она действует только для денежных переводов, но не для оплаты в интернет-магазинах. Smart-логику для подтверждения платежей уже использует «Тинькофф»: она учитывает уровень риска каждой трансакции, историю клиента и другие параметры, поэтому не каждую операцию требуется подтверждать кодом из СМС. Риск-ориентированный подход к рассылке кодов в сообщениях реализуется и в Росбанке.

Документ, подписанный при помощи нового решения, невозможно подменить или перехватить «по пути» — у оператора сотовой связи и СМС-агрегатора, как в случае с их отправкой через SMS или push. Ключ подписи находится прямо в смартфоне и не может быть воспроизведен на другом устройстве, рассказал о преимуществах технологии руководитель департамента информбезопасности МКБ Вячеслав Касимов.

На новый способ подтверждения операций могут перейти все клиенты МКБ, уже около 70% пользователей сделали это, рассказал он. Вячеслав Касимов пояснил, что система автоматически предлагает новый способ верификации после обновления приложения до актуальной версии, при совершении первой операции нужно будет ввести короткий код подтверждения. Затем пароли будут не нужны.

Фото: ИЗВЕСТИЯ/Татьяна Полевая

Технология подтверждения трансакций без кода в СМС будет эффективна в борьбе со схемами подмены SIM-карты и попытки входа в онлайн-банк с чужого устройства, считает руководитель направления департамента розничного бизнеса Новикомбанка Евгений Гладилин. Например, если мошенник переоформил на себя SIM-карту, узнал логин и пароль для входа в интернет-банк потенциальной жертвы и собрался перевести на собственный счет все деньги. При этом подпись для подтверждения хранится на другом смартфоне, поэтому провести трансакцию он не сможет.

Опасность в социалке

Подобные решения доказали свою эффективность как средство противодействия технологическим способам кибермошенничества, таким как перехват СМС, оценили в Сбербанке. Однако риски мошенничества с помощью социальной инженерии останутся.

— Когда клиент находится под действием «очарования» мошенников, то он не просто разглашает некий СМС-код, а осознанно подтверждает проводимую операцию. В большинстве случаев, связанных с социальной инженерией, клиент соглашается перечислить деньги на подложный счет любым из доступных ему способов, так как искренне заблуждается в реальной сути происходящего, а не в корректности введенных реквизитов, — опасаются в Сбербанке.

По данным подразделения ЦБ по кибербезопасности ФинЦЕРТ, в 2019 году злоумышленники совершили более 575 тыс. операций без согласия клиентов на сумму свыше 6,4 млрд рублей. При этом 69% всех таких трансакций были произведены под воздействием социальной инженерии — мошенники обманывали клиентов или злоупотребляли их доверием. В Банке России не ответили на вопрос «Известий» о потенциале новой технологии и о необходимости ее внедрения.

Фото: ТАСС/Ведомости/Andrei Gordeev

Сейчас пароли для подтверждения трансакций обычно приходят в коротком сообщении, которое отображается в «шторке» уведомлений и не позволяет просмотреть детали операции, напомнил Денис Калемберг, гендиректор SafeTech (компания разработала решение Pay Control). Банки экономят на сотовой связи, ведь платить приходится за каждую СМС.

— При использовании мобильной подписи уведомление содержит значительно больше информации. Увидев, что деньги перечисляются на счет незнакомого физлица, клиент, скорее всего, остановится. Кроме того, он просто не сможет назвать злоумышленнику код, потому что эта сущность в данном классе решений не используется, — пояснил Денис Калемберг.

Стандарт, который обязывает банк формировать код подтверждения операции на смартфоне клиента, а не пересылать его, уже действует в Европе. Директива была выпущена после массового хищения средств у клиентов банков в Германии через перехват СМС, рассказал Денис Калемберг. Он отметил, что в России пока такой жесткой регуляторики нет.

Ключевое преимущество нового способа подтверждения операций перед классическим — защита от перехвата сообщения с чувствительной информацией злоумышленником, подчеркнул консультант центра информационной безопасности компании «Инфосистемы Джет» Денис Гаврилов. Тем не менее не следует забывать о рисках потери или кражи устройства. Он напомнил, что для входа в мобильный банк, где и осуществляется подтверждение операции, необходимо устанавливать длинные, сложные пароли, которые не позволят мошеннику в короткий срок получить доступ к данным.