BIS Journal №2(53)2024

8 мая, 2024

Время отказаться от SMS

Отказ от привычных способов подтверждения транзакций для банков в виде кодов из СМС и push — необходимость. И не только из-за нормативных документов ЦБ. Множащиеся атаки на клиентов банков требуют повышения уровня безопасности.

Кроме того, грядущее увеличение штрафов за отказ от перехода на безопасное подтверждение операций делают излишний консерватизм слишком дорогим в финансовом плане. К счастью, на рынке есть решения, позволяющие обеспечить безопасное подтверждение операций в соответствии с требованиями законных и подзаконных актов.

В начале апреля в СМИ был вал публикаций о мошеннических схемах, в которых социальные инженеры убеждали граждан называть им код из СМС, и в результате получали доступ к мобильному банку и выводили деньги со счета жертвы. Скрипты были разные. Например, абонентов сотовой связи, ссылаясь на теракт в «Крокус Сити Холл», просили подтвердить номер телефона. 

Объединяло все эти схемы одно — деньги выводились из банков, в которых транзакции подтверждались кодами из СМС или push-сообщений. То есть из тех кредитных организаций, кто фактически нарушал требования регулятора.

 

ЧТО СКАЗАЛ ЦБ?

Еще 18 февраля 2022 года ЦБ указанием № 6071-У внес изменения в Положение от 17 апреля 2019 г. № 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента". Тогда и были конкретизированы требования по подписанию электронных сообщений. В документе появилась норма — «в целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом кредитные организации должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения» (пункт 5.1 положения № 683-П). В марте 2023 года мегарегулятор еще раз подтвердил свое желание усилить безопасность электронных сообщений, указав в разъяснительном письме: «использование ПЭП в указанных целях возможно только совместно с СКЗИ, реализующими функцию имитозащиты информации с аутентификацией отправителя сообщения».

 

ЗАЧЕМ СКАЗАЛ? ОЧЕВИДНОЕ

Причины, по которым ЦБ ужесточит требования к подтверждению финансовых транзакций, очевидны.  Коды из СМС или push-сообщений уязвимы во время всего своего жизненного цикла. Начнем с того, что одноразовый код известен банку до момента отправки клиенту, что может стать аргументом в конфликтной ситуации (например, когда было хищение, платеж был подтвержден кодом из СМС и клиент утверждает, что он СМС не получал). Кроме того, в передаче кода задействована третья сторона, уязвимость инфраструктуры которой может привести к массовым хищениям со счетов клиентов. Есть вопросы и по каналу связи. В документации Google прямо прописан запрет на передачу банковских кодов через канал PUSH. Канал передачи СМС является небезопасным из-за уязвимости протокола SS7. Это уже привело к массовым хищениям у клиентов немецких банков и запрету на использование смс кодов в Европе (платежная директива PSD2) и Сингапуре. Помимо этого, перевыпуск SIM-карты по поддельной доверенности позволяет мошенникам получить код вместо клиента. А код, доставленный в смартфон, может быть перехвачен вредоносным ПО, введен на фишинговом сайте или выведан при помощи социальной инженерии.

 

НЕОЧЕВИДНОЕ

Неочевидно другое: почему многие кредитные организации до сих пор не выполняют требования регулятора — пункт 5.1 положения № 683-П вступил в силу еще в октябре 2022 года. Тем более что на рынке есть решения, которые могут обеспечить безопасное подтверждение транзакций в соответствии с требованиями положения 683-П.

 

ЧЕТЫРЕ ВАРИАНТА

Для этого могут использоваться решения, основанные на симметричной или асимметричной криптографии, аппаратные или программные. Пример решений, основанных на симметричной криптографии — аппаратные криптокалькуляторы и программные генераторы кодов подтверждения для смартфонов. Минус первых — неудобство (необходимо руками вбивать пин-код, номер счета, сумму, генерировать код, вбивать его в поле подтверждения) плюс стоимость от 10 долларов.

Генераторы кодов — это мобильные приложения, ими удобнее пользоваться и удобнее распространять, но есть вопросы при возникновении спорных ситуаций с клиентами. На асимметричной криптографии основаны аппаратные USB токены и мобильная электронная подпись. У первого решения минусом также является стоимость и отсутствие возможности работать с мобильными устройствами (за исключением новых моделей с NFC). Мобильная электронная подпись — это приложение для смартфона, она имеет преимущества решений на асимметричной криптографии (закрытый ключ только у клиента, отображение документа на экране перед подписанием, нет кода, который можно было бы ввести на фишинговый сайт или сообщить мошеннику и т. д.) плюс удобство. 

 

ОПТИМАЛЬНЫЙ ВАРИАНТ

Очевидно, что их всех четырех вариантов оптимальным является именно мобильная электронная подпись, совмещающая низкую стоимость, простоту распространения и юридическую значимость. Например, PayControl ГОСТ, который является средством для формирования усиленной неквалифицированной электронной подписи в смартфоне. Решение работает с использованием сертифицированных СКЗИ КриптоПро CSP и JCP, что позволяет сформировать и проверить усиленную неквалифицированную электронную подпись в соответствии с государственными стандартами ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012. Использование PayControl ГОСТ не только повышает защищенность операций, снижая уровень фрода в ДБО (в том числе и с использованием социальной инженерии), но и повышает usability для клиента. 

PayControl ГОСТ позволяет «превратить» мобильное устройство в аналог USB-токена с таким же высоким уровнем безопасности и очень простым пользовательским сценарием. Происходит подтверждение транзакций следующим образом — клиент создает операцию в DIGITAL-канале, информация об операции отображается в мобильном приложении, клиент нажимает «Подтвердить», операция подписывается, вся процедура может занять до 3,5 секунд. Создаётся подпись путём криптографических преобразований подтверждаемой информации в сочетании с уникальными характеристиками конкретного смартфона. PayControl ГОСТ работает на ОС Android и iOS.

 

О ВЫГОДЕ

Подтверждение финансовых транзакций в соответствии требованиями регулятора несет кредитной организации и финансовую выгоду. Если взять небольшой розничный банк с клиентской базой в 200 тыс. чел, то траты его на смс будут порядка 420 руб. на клиента в год, то есть более 80 млн руб. по банку в целом. Если это банк с корпоративными клиентами, то расходы на смс могут быть и 800 млн руб. в год, так как юрлица проводят больше операций. Переход на PayControl ГОСТ позволят сэкономить от 60 млн руб. ежегодно (если банк розничный), и сотни миллионов рублей в банке для юрлиц.

Кроме того, законодатели обсуждают возможность повышения штрафов для кредитных организаций за неисполнение требований нормативных документов ЦБ, в том числе и положения 683-П. Размер санкций предлагают увеличить в 10 раз, до 1% от собственных средств (капитала) вместо 0,1% сейчас. Поэтому подтверждение транзакций кодами из смс или push-сообщений в будущем может обернуться для банков ощутимыми штрафами. Так что самое время переходить на PayControl ГОСТ, позволяющий выполнить требования нормативных документов ЦБ и при этом сэкономить на стоимости СМС.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.10.2024
Очередная медицинская организация США стала объектом интереса хакеров
11.10.2024
Рыбалка вредит морякам. Морской SOC выявил главные угрозы для судоходства
11.10.2024
Регулятор обязал банкиров ускориться
11.10.2024
Краснов: Работа ведомственных антихак-подразделений должным образом не ведётся
11.10.2024
Минцифры отпустило идею создания национального репозитория
10.10.2024
ЦСР: К 2028 году объём российского рынка ИБ достигнет 715 млрд рублей
10.10.2024
22 октября в Москве пройдёт V Конференция по информационной безопасности ПрофИБ
10.10.2024
Это уже слишком. Теперь весь интернет знает, что вы едите «Огненное Воппер Комбо на двоих» в одиночку
10.10.2024
Эксперты UserGate обнаружили критическую уязвимость в Zangi
10.10.2024
«Вне зависимости от мотивации преступников успешная атака на крупный бизнес выглядит привлекательнее всего»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных