Как заявил представитель Минкомсвязи на
заседании в Центральном банке с участием операторов связи "большой
тройки" и отраслевых ассоциаций, использование SMS для аутентификации
пользователя является небезопасным для банков. Сейчас SMS является самым
распространенным и доступным каналом аутентификации с точки зрения
пользователей и географии действия услуги.
Как пишут «Известия» со ссылкой на пресс-службу министерства,
использование SMS для аутентификации несет существенные риски для
безопасности, и необходимо использование других, более безопасных
способов, таких как применение генераторов одноразовых паролей (TOTP
— Time-based One-time Password Algorithm) с дополнительной
криптографической защитой. Соответствующие приложения и сервисы
реализованы как отечественными, так и зарубежными компаниями и
стандартизованы в документах IETF (Internet Engineering Task Force). В
Минкомсвязьи подчеркнули, что продолжат работу с ЦБ для обеспечения
безопасности граждан и их денег в цифровую эпоху.
Для создания
одноразовых паролей используются сервисы наподобие «Яндекс.Ключ» или
Google Authenticator. Пользователи устанавливают соответствующее
приложение на мобильное устройство. После его сопряжения с
сайтом начинается генерация одноразовых паролей,
и действие каждого ограничено по времени. А затем, при заходе на сайт
вместо старого пароля необходимо будет ввести пароль, который
предложит приложение.
Ранее на Международном инвестиционном форуме «Сочи-2016». министр
связи и массовых коммуникаций Николай Никифоров заявил, что «динамика
дигитализации и технологической цифровой революции такова, что темпы
совершенствования законодательства должны быть принципиально иными». По
его словам: «Если мы не решим эти вопросы, последствия нашей
цифровизации негативно скажутся на экономике России».
На первый взгляд, отмечает старший аналитик «Альпари» Анна Бодрова,
ничего криминального в СМС-кодах банков нет: у них очень короткий период
актуальности, от одной до трех минут, что само по себе сокращает доступ
мошенников к онлайн-ресурсам банков. Заменой таких кодов может быть
технология считывания QR, но это доступно далеко не для всех телефонных
аппаратов. Банк снимает с себя ответственность за неправомерное
использование смс-кодов, неоднократно предупреждая потребителя услуг о
возможности мошеннических действий. На практике использовать СМС-код для
злоупотреблений можно только тогда, если владелец телефона сам сообщит
его третьим лицам.
И все же система защиты от хищения с карт должна постоянно
совершенствоваться, поскольку мошенники также постоянно изобретают новые
способы получить деньги обманным путем — в том числе и через СМС,
полагает адвокат Владимир Постанюк. Наиболее распространенными являются
попытки получить реквизиты карты путем рассылки клиентам банков обманных
сообщений якобы от лица их кредитной организации. Они могут содержать
как запрос на подтверждение персональных данных, так и предупреждение о
необходимости обновить персональные данные, для чего предлагают выслать
текущий пароль.
Иногда, рассказывает юрист, клиентам предлагается подтвердить,
например, согласие с изменившейся политикой банка, ответив на СМС. В
этом случае мошенники могут получить уже прямой доступ к средствам.
Именно поэтому любые дополнительные меры банков по защите своих клиентов
являются единственным правильным решением.
Минкомсвязи предлагает финансовым организациям решение: использовать
сервис TOTP. Он генерирует одноразовые пароли, которые действуют
небольшое количество времени и потому затрудняет проведение
мошеннических операций. Вдобавок, он оснащён и дополнительной
криптографической защитой. На сегодняшний момент использование TOTP
станет наилучшим выходом из ситуации с участившимися случаями
мошенничества, полагает Владимир Постанюк.
Как видно из комментариев, аналитики не видят в заявлении
министерства заинтересованности в продвижении определенных сервисов,
хотя такой мотив в принципе также может сопутствовать публичной
поддержке определенных технологий. Но в любом случае, объемы
кибермошенничества очень велики и на способы защиты неизбежно будут
совершенствоваться в пользу более сложных решений.