Безопасность в цифровых каналах. SMS и PUSH коды. Реальность России и зарубежья
Мы уже не раз говорили, что передача кодов подтверждения финансовых операций в SMS и Push уведомлениях не самый надежный способ обезопасить своих клиентов. Хочется рассказать про юридическую практику SMS и Push в нашей стране и зарубежном опыте.
Исследование «возможности отправки одноразовых кодов в системах мобильного и Интернет-банка, а также для информирования о транзакциях» в России, проведенное Центром судебных экспертиз компании RTM Group, показало, что SMS можно использовать с целым рядом оговорок. Учитывая волну мошенничества с использованием методов социальной инженерии, негативную судебную практику в отношении SMS, возросшую стоимость услуг операторов связи, то необходимо отказаться от SMS и PUSH.
Об этом также свидетельствует статистика, которую мы видим из года в год. По данным ФинЦЕРТ, за последние несколько лет более 85% хищений со счетов физических лиц происходят с использованием приемов социальной инженерии, а со счетов юридических лиц более 40%.
- В 2019 году общий объем мошеннических операций с банковскими счетами составил 6 426,5 млн рублей
- В 2018 году более 97% хищений со счетов физических лиц и 39% со счетов юридических лиц было совершено с использованием приемов социальной инженерии, общей суммой 2,8 млрд рублей
- Банки возместили 15% средств (примерно один рубль из семи)
- В 2020 году объём операций без согласия клиента увеличился в 1м квартале на 38%, а во втором на целых 59%
Объём несанкционированных операций в год
Дарья ВерестниковаБлаго, российская судебная практика сейчас всё чаще сводится к признанию SMS «неперсонифицированным» средством подтверждения. В частности, Положение Банка России от 17 апреля 2019 г. N 683‑П «Об установлении обязательных для кредитных организаций требований…» значительно повышает уровень безопасности транзакций, требуя от банков находить такие способы подтверждения, которые бы смогли обеспечить контроль целостности и авторства подписываемого документа. На данный момент это делает такие небезопасные способы подтверждения, как SMS и Push, неприменимыми при работе в дистанционных каналах.
В Европе же, с вступлением в действие в сентябре 2019 года Платежной директивы Евросоюза PSD2 (Revised Payment Service Directive), финансовый сектор начал обновление решений для аутентификации и подтверждения транзакций. Так, еще в июне 2018 года Европейский платежный союз заключил, что SMS не являются подходящим методом доставки OTP и должны быть заменены на более безопасные методы. Важным требованием является, положение о том, что данные платежной транзакции должны быть защищены на всех этапах аутентификации. И платежные операторы должны предоставить плательщику информацию о сумме и получателе платежа, опять же, на всех этапах аутентификации.
Сейчас на смену SMS и Push-уведомлениям приходят технологии мобильной аутентификации и электронной подписи, которые интегрируются с различными системами обеспечения безопасности, в частности с биометрическими системами аутентификации и антифрод-системами. Мобильная электронная подпись обеспечивает контроль целостности и авторства, формируется в результате криптографических преобразований. И, пожалуй, это – единственный верный, надежный и экономически целесообразный путь.
Комментарий недоступен
Ты же понимаешь, кто будет платить за "бесплатный" инет? А вообще надеюсь, что я правильно понял твой сарказм
Социальная инженерия - это один из способов. Перехват SS7, перевыпуск симкарт, фишинг, автозалив и прочее - это все уже давно, давнее соц инженерии. Поэтому смс и пуш без контроля целостности и авторства - уже давно понятный неоправданый риск.
что это было? смс, пуш и пух. и баба в конце.
Дважды