Самые распространенные проблемы — полное отсутствие ОТР, обход проверки, кроме того, встречаются ошибки, связанные с длиной и количеством символом в одноразовых паролях. Вызывают вопросы и время жизни одноразового пароля: практика показывает, что злоумышленник может перехватить и воспользоваться этим паролем намного позже, чем этот пароль «живет» формально.
Об этом рассказал Ярослав Бабин, руководитель группы исследований безопасности банковских систем Positive Technologies, выступая с докладом на конференции ANTIFRAUD SPRING RUSSIA, посвященной практическим аспектам борьбы с кибермошенничеством в финансовом секторе
"Сразу хочу оговориться, что во многих случаях имеют место не ошибки и не недоработки банков, а их стремление сделать «жизнь» своих клиентов максимально удобным. То есть, банк сознательно закладывает риски на себя, давая, например, возможность отключать функцию получения одноразового пароля при совершении операций, например, в онлайн-банке", - отметил эксперт.
Также бывает так, что одноразовый пароль не привязан к определенному действию в системе. Злоумышленник может запросить огромное количество кодов и затем подтверждать ими при удобном случае операции со счетом клиента. Фиксируется также возможность получения одноразовых паролей на устройства, не имеющие отношения к клиенту — иными словами, на телефон злоумышленника.
"В 2018 году мы впервые стали сталкиваться с такими системами, как аутентификация на основе рисков. Речь идет фактически об обычных биометрических данных, собираемых о пользователе — где он обычно находится, какие у него адреса, какие электронные устройства и т. д. У такой модели аутентификации, безусловно, есть плюсы, но есть, на мой взгляд и минусы — например, не учитывается количество операций в течение одного дня, что дает злоумышленникам возможность обходить суточные лимиты", - рассказал Бабин.
Новая тенденция — одноразовые пароли, которые приходят через мобильные приложения, так называемые PUSH-оповещения. В некоторых ситуациях, если сервер, отправляющий сообщения, неправильно сфигурирован, такие сообщения может быть отправлено на все мобильные приложения, установленные на мобильном устройстве клиентов. Очевидно, что в этом случае риск стать жертвой злоумышленников для клиента серьезно возрастает.
