Чем грозит уход от небезопасной SMS-аутентификации в банках

Чем грозит уход от небезопасной SMS-аутентификации в банках

Минкомсвязи обозначило опасность применения SMS-кодов в банкинге, предложив банкирам использовать другие способы подтверждения операций.

Threatens_Insecure_SMS-Authentication_Russian_Banks

Во вторник представители Министерства связи и коммуникаций приняли участие в совместном заседании правительства, представителей так называемой «Большой Четверки» российских мобильных операторов и банкиров в рамках обсуждения вопроса передачи последним функций по нахождению должников через доступ к базам абонентов сотовых сетей, на котором ведомство обозначило негативные факторы использования актуальной сегодня схемы SMS-аутентификации в банках при подтверждении россиянами осуществляемых операций. Речь идет о пересылке специальных SMS-кодов на зарегистрированный мобильный номер банковского клиента, путем ввода которого в окне терминала или в интернет-банке владелец счета подтверждает необходимость проведения определенной транзакции — оплаты товара в интернет-магазине или перевода денег на указанные реквизиты. Такой механизм освобождает потребителей от поездки в офис финансового учреждения для осуществления простейших банковских операций, добавляя максимум свободы и простоты рядовым обывателям — воспользоваться инструментами интернет-банкинга сегодня может большая часть взрослого населения России. Однако именно этот вариант аутентификации пользователей вызывает вопросы у представителей властей, заинтересованных в максимальной защищенности денежных накоплений граждан.

Уязвимость SMS-рассылок

С технической точки зрения адресная рассылка SMS-кодов банкирами на персональные мобильные устройства банковских клиентов выглядит очень практичным и удобным решением, однако такой механизм обеспечивает потенциальную опасность «перехвата» рассылаемой в SMS-сообщениях информации злоумышленниками, что делает способ SMS-аутентификации в банках очень небезопасной процедурой. Основаны такие опасения на особенностях SMS-рассылки, которая операторами осуществляется без необходимого в современных реалиях шифрования данных — содержимое сообщений проходит через операторские каналы связи в открытом виде без какого-либо «прикрытия». Обладающие соответствующим техническим оснащением злоумышленники теоретически могут перехватывать сигнал с мобильных вышек, «отчленяя» из потока данных, содержащих и текстовые, и видео-, и аудиоданные, незашифрованные SMS-сообщения. Таким образом, оснащенные соответствующей техникой и оборудованием преступники вполне могут получать необходимые для идентификации пользователя коды доступа к финансовым инструментам, что повышает угрозу кражи денег владельцев депозитов киберпреступниками.

На деле теоретическая опасность перехвата отправляемых на мобильные гаджеты данных пока не привела ни к одному случаю реальной кражи денежных средств с помощью описанного выше способа, на что представители банковского сообщества РФ напрямую указали правительству в лице Минкомсвязи. Тем не менее, ведомство настаивает на необходимости перевода системы аутентификации клиентов на другие «рельсы», обладающие повышенной защищенностью от взлома или перехвата информации за счет применения генераторов одноразовых паролей.

От SMS к приложениям

Генерация действующего на протяжении очень ограниченного срока одноразового пароля способна обеспечить высокую защищенность действиям потребителей, пользующихся услугами интернет-банкинга с помощью смартфонов, планшетов или персональных компьютеров, включая ноутбуки. Установка на ПК или мобильное устройство специализированного программного обеспечения, требующего для запуска специального пароля или идентификации посредством сканера отпечатков пальца или глаза, почти полностью обнуляет угрозу взлома учетной записи клиента в банке. Минкомсвязи особо подчеркивает, что сегодня в России эффективно эксплуатируется несколько подобных систем, создающих по требованию действующие всего несколько минут пароли с дополнительной криптографической защитой. Кроме иностранных компаний такие сервисы созданы и российскими разработчиками, готовыми тесно сотрудничать со сферой банкинга для повышения безопасности денежных накоплений граждан.

Практической разницей между используемым большинством банков способом аутентификации через «падающие» на смартфон абонента SMS-коды и применением одноразовых паролей становится необходимость установки на устройство и запуска специального ПО — мобильного приложения случае с гаджетами, и программы при использовании стационарного компьютера или ноутбука. Соответствующее программное обеспечение каждый банк должен разрабатывать самостоятельно, либо пользоваться уже существующими решениями в сфере защиты информации, на что банкирам потребуется потратить весьма незначительные на фоне получаемых плюсов объемы финансовых средств. К слову, SMS-рассылка обходится кредитным организациям в крупную сумму — за каждое рассылаемое сообщение операторы требуют от 40 до 60 копеек. В пересчете на совокупный объем пересылаемых через «Большую Четверку» SMS-кодов приобретение лицензий и услуг программистов на разработку приложений для генерации паролей окупится достаточно быстро, по истечение нескольких лет способствуя дополнительному сокращению общих расходов.

Что проще?

Какими последствиями грозит уход от небезопасной SMS-аутентификации рядовым потребителям, хранящим финансовые сбережения в банках или пользующимся банковскими картами для проведения расчетных операций? Ответом на этот вопрос станет анализ уровня технической грамотности поключивших услуги интернет-банкинга россиян, в случае с обладателями счетов в финансовых организациях в 100% случаев являющихся владельцами смартфона или планшета. Чтобы запустить мобильное приложение банка для генерации необходимого пароля, потребуется выполнить всего два действия — авторизоваться в программе, и запустить процедуру генерирования одноразового кода доступа. Это несколько сложнее, чем получение SMS с нужным кодом, обычно состоящим из 4-6 цифр, однако гораздо безопаснее SMS-рассылки. Альтернативой такому варианту идентификации при осуществлении денежных транзакций становится перевод механизма рассылки сообщений по каналам сотовых операторов в защищенный режим, когда каждая SMS подвергается шифрованию во избежание перехвата и расшифровки «не теми» абонентами. Этот способ предполагает закупку дорогостоящего оборудования представителями «Четверки», что повлечет куда большие по размеру финансовые затраты, чем создание специализированного ПО для конечных пользователей — жителей России, пользующихся удобным функционалом интернет-банков. Единственный вопрос, который придется решать каждому кредитному учреждению самостоятельно — охват наибольшего числа мобильных операционных систем при создании соответствующих приложений, чтобы пользующиеся недостаточно популярными гаджетами потребители не оказались «за бортом» технологического прогресса.

Александра Серова
comments powered by HyperComments