Top.Mail.Ru
SMS-коды при подтверждении оплаты признали опасными : Центр Деловой Информации. Бизнес-новости Пскова и области. / ЦДИ.
Реклама на ЦДИ
 08.07.2026

Бизнес / Банки  | весь раздел

SMS-коды при подтверждении оплаты признали опасными

05.10.2016 19:32 ЦДИ, Псков

В Минкомсвязи убеждены, что использование SMS для аутентификации пользователя является небезопасным для банков. Такое заявление сделал представитель Минкомсвязи 3 октября на заседании в Центральном банке с участием операторов связи «большой тройки», представителей ЦБ и отраслевых ассоциаций, пишут «Известия» .

«Использование SMS для аутентификации несет существенные риски для безопасности, и необходимо использование других, более безопасных способов, таких как применение генераторов одноразовых паролей с дополнительной криптографической защитой. Соответствующие приложения и сервисы реализованы как отечественными, так и зарубежными компаниями и стандартизованы в документах IETF (Internet Engineering Task Force)», - прокомментировали в пресс-службе Минкомсвязи.

Как правило для создания одноразовых паролей используются сервисы наподобие «Яндекс.Ключ» или Google Authenticator. Пользователи устанавливают соответствующее приложение на мобильное устройство. После его сопряжения с сайтом начинается генерация одноразовых паролей, и действие каждого ограничено по времени. После этого при заходе на сайт вместо старого пароля необходимо будет ввести пароль, который предложит приложение.

Сейчас же многие платежные сервисы для подтверждения операции просят ввести код, отправленный в SMS. После ввода этих данных и происходит оплата. Сегодня SMS является самым распространенным и доступным каналом аутентификации с точки зрения пользователей и географии действия услуги.

«Практика показывает, что SMS-коды обеспечивают высокий уровень безопасности, если клиент соблюдает базовые принципы безопасности: хранит в тайне пароли, коды для подтверждения, использует антивирусы, - высказался заместитель руководителя департамента розничных продуктов, электронного бизнеса и CRM банка ВТБ Александр Солонин. - За последние пять лет не было зарегистрировано ни одного случая компрометации с их использованием».

Тем не менее, существует несколько способов компрометации такого канала передачи информации. Во-первых, существуют трояны для перехвата SMS с кодами и отправки их злоумышленнику. По такой схеме ежегодно похищается более 50 млн рублей со счетов россиян в различных российских банках. Во-вторых, можно перевыпустить SIM-карту с номером потенциальной жертвы по поддельному паспорту или по сговору с сотрудником салона связи. Получив дубликат SIM-карты, злоумышленник активирует ее в сети оператора, обычно в ночное время, и за пару часов переводит все деньги из интернет-банка жертвы на подконтрольные счета в других финансовых организациях, после чего происходит практически мгновенное обналичивание денежных средств через банкоматы.

Начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева отметила, что уязвимость представляет не сама технология формирования кода, а SMS-канал, по которому происходит его доставка от банка клиенту.

В качестве альтернативных и рекомендуемых клиентам способов клиентам советуют использовать канал Push, а также внедрили технологию генерации кодов подтверждения операций, работающую по стандартам платежных систем Visa и MasterCard. Генерация кодов в этом случае происходит в специальном отдельном приложении, работающем автономно и защищенном от внешнего воздействия со стороны вредоносных программ.



Распечатать:     Комментарии: 1

На чём вы экономите?








смотреть результаты




Читают




Обсуждают