Безопасность в цифровых каналах. SMS и PUSH коды. Реальность России и зарубежья

Мы уже не раз говорили, что передача кодов подтверждения финансовых операций в SMS и Push уведомлениях не самый надежный способ обезопасить своих клиентов. Хочется рассказать про юридическую практику SMS и Push в нашей стране и зарубежном опыте.

Исследование «возможности отправки одноразовых кодов в системах мобильного и Интернет-банка, а также для информирования о транзакциях» в России, проведенное Центром судебных экспертиз компании RTM Group, показало, что SMS можно использовать с целым рядом оговорок. Учитывая волну мошенничества с использованием методов социальной инженерии, негативную судебную практику в отношении SMS, возросшую стоимость услуг операторов связи, то необходимо отказаться от SMS и PUSH.

Об этом также свидетельствует статистика, которую мы видим из года в год. По данным ФинЦЕРТ, за последние несколько лет более 85% хищений со счетов физических лиц происходят с использованием приемов социальной инженерии, а со счетов юридических лиц более 40%.

  • В 2019 году общий объем мошеннических операций с банковскими счетами составил 6 426,5 млн рублей
  • В 2018 году более 97% хищений со счетов физических лиц и 39% со счетов юридических лиц было совершено с использованием приемов социальной инженерии, общей суммой 2,8 млрд рублей
  • Банки возместили 15% средств (примерно один рубль из семи)
  • В 2020 году объём операций без согласия клиента увеличился в 1м квартале на 38%, а во втором на целых 59%
<p>Объём несанкционированных операций в год </p> Дарья Верестникова

Объём несанкционированных операций в год 

Дарья Верестникова

Благо, российская судебная практика сейчас всё чаще сводится к признанию SMS «неперсонифицированным» средством подтверждения. В частности, Положение Банка России от 17 апреля 2019 г. N 683‑П «Об установлении обязательных для кредитных организаций требований…» значительно повышает уровень безопасности транзакций, требуя от банков находить такие способы подтверждения, которые бы смогли обеспечить контроль целостности и авторства подписываемого документа. На данный момент это делает такие небезопасные способы подтверждения, как SMS и Push, неприменимыми при работе в дистанционных каналах.

В Европе же, с вступлением в действие в сентябре 2019 года Платежной директивы Евросоюза PSD2 (Revised Payment Service Directive), финансовый сектор начал обновление решений для аутентификации и подтверждения транзакций. Так, еще в июне 2018 года Европейский платежный союз заключил, что SMS не являются подходящим методом доставки OTP и должны быть заменены на более безопасные методы. Важным требованием является, положение о том, что данные платежной транзакции должны быть защищены на всех этапах аутентификации. И платежные операторы должны предоставить плательщику информацию о сумме и получателе платежа, опять же, на всех этапах аутентификации.

Сейчас на смену SMS и Push-уведомлениям приходят технологии мобильной аутентификации и электронной подписи, которые интегрируются с различными системами обеспечения безопасности, в частности с биометрическими системами аутентификации и антифрод-системами. Мобильная электронная подпись обеспечивает контроль целостности и авторства, формируется в результате криптографических преобразований. И, пожалуй, это – единственный верный, надежный и экономически целесообразный путь.

Дарья Верестникова
Дарья Верестникова
Дарья Верестникова
Коммерческий директор компании SafeTech
22
8 комментариев

Комментарий недоступен

1

Ты же понимаешь, кто будет платить за "бесплатный" инет? А вообще надеюсь, что я правильно понял твой сарказм

1

Социальная инженерия - это один из способов. Перехват SS7, перевыпуск симкарт, фишинг, автозалив и прочее - это все уже давно, давнее соц инженерии. Поэтому смс и пуш без контроля целостности и авторства - уже давно понятный неоправданый риск. 

1

что это было? смс, пуш и пух. и баба в конце.

1