По мнению экспертов Минкомсвязи РФ, аутентификация пользователей по SMS представляет угрозу для банков.Для аутентификации своих клиентов банкам стоит использовать более безопасные способы, чем введение кодов, присланных в SMS. В качестве альтернативы Минкомсвязи предлагает применять генераторы одноразовых паролей (TOTP) с дополнительной защитой при помощи шифрования.
Для создания одноразовых паролей можно использовать сервисы наподобие «Яндекс.Ключ» или Google Authenticator. Пользователю нужно установить на свой планшет или смартфон соответствующую программу. Она подключается к сайту и генерирует одноразовые пароли с ограниченным сроком действия. При авторизации пользователю нужно будет вводить не старый, а новый одноразовый пароль.
Как пояснила руководитель управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева, уязвимость представляет не сама технология формирования кода, а SMS-канал, по которому он доставляется от банка пользователю.
«Существует несколько способов компрометации такого канала передачи информации», - соглашается с Дегтевой Эльман Бейбутов из Solar Security. К примеру, злоумышленники могут заразить устройство пользователя трояном, способным перехватывать SMS с кодами. По словам эксперта, таким образом со счетов россиян ежегодно похищается более 50 млн руб.
Мошенники также могут перевыпустить SIM-карту с номером жертвы, воспользовавшись поддельным удостоверением личности.«Это недорого – порядка 50 тыс. рублей на черном рынке за одну SIM-карту», - поясняет Бейбутов. Злоумышленники активируют дубликат карты в сети оператора и переводят все деньги со счета жертвы на свои собственные. Далее похищенные средства обналичиваются в банкоматах.
Для создания одноразовых паролей можно использовать сервисы наподобие «Яндекс.Ключ» или Google Authenticator. Пользователю нужно установить на свой планшет или смартфон соответствующую программу. Она подключается к сайту и генерирует одноразовые пароли с ограниченным сроком действия. При авторизации пользователю нужно будет вводить не старый, а новый одноразовый пароль.
Как пояснила руководитель управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева, уязвимость представляет не сама технология формирования кода, а SMS-канал, по которому он доставляется от банка пользователю.
«Существует несколько способов компрометации такого канала передачи информации», - соглашается с Дегтевой Эльман Бейбутов из Solar Security. К примеру, злоумышленники могут заразить устройство пользователя трояном, способным перехватывать SMS с кодами. По словам эксперта, таким образом со счетов россиян ежегодно похищается более 50 млн руб.
Мошенники также могут перевыпустить SIM-карту с номером жертвы, воспользовавшись поддельным удостоверением личности.«Это недорого – порядка 50 тыс. рублей на черном рынке за одну SIM-карту», - поясняет Бейбутов. Злоумышленники активируют дубликат карты в сети оператора и переводят все деньги со счета жертвы на свои собственные. Далее похищенные средства обналичиваются в банкоматах.
