Минкомсвязи: Аутентификация по SMS угрожает безопасности банков
05.10.2016
По мнению экспертов Минкомсвязи РФ, аутентификация пользователей по SMS представляет угрозу для банков. Об этом в среду, 5 октября, сообщает издание "Известия" со ссылкой на пресс-службу ведомства.
Для аутентификации своих клиентов банкам стоит использовать более безопасные способы, чем введение кодов, присланных в SMS. В качестве альтернативы Минкомсвязи предлагает применять генераторы одноразовых паролей (TOTP) с дополнительной защитой при помощи шифрования.
Для создания одноразовых паролей можно использовать сервисы наподобие "Яндекс.Ключ" или Google Authenticator. Пользователю нужно установить на свой планшет или смартфон соответствующую программу. Она подключается к сайту и генерирует одноразовые пароли с ограниченным сроком действия. При авторизации пользователю нужно будет вводить не старый, а новый одноразовый пароль.
Как пояснила руководитель управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева, уязвимость представляет не сама технология формирования кода, а SMS-канал, по которому он доставляется от банка пользователю.
"Существует несколько способов компрометации такого канала передачи информации", - соглашается с Дегтевой Эльман Бейбутов из Solar Security. К примеру, злоумышленники могут заразить устройство пользователя трояном, способным перехватывать SMS с кодами. По словам эксперта, таким образом со счетов россиян ежегодно похищается более 50 млн руб.
Мошенники также могут перевыпустить SIM-карту с номером жертвы, воспользовавшись поддельным удостоверением личности."Это недорого – порядка 50 тыс. рублей на черном рынке за одну SIM-карту", - поясняет Бейбутов.
Злоумышленники активируют дубликат карты в сети оператора и переводят все деньги со счета жертвы на свои собственные. Далее похищенные средства обналичиваются в банкоматах.
