{"id":10495,"title":"\u0421\u0430\u043c\u044b\u0435 \u0436\u0435\u043b\u0430\u043d\u043d\u044b\u0435 \u0438\u0437\u043e\u0431\u0440\u0435\u0442\u0435\u043d\u0438\u044f, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043d\u0435 \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0442","url":"\/redirect?component=advertising&id=10495&url=https:\/\/vc.ru\/promo\/336812-v-poiskah-beskonechnoy-energii-kak-chelovechestvo-pytaetsya-sozdat-vechnyy-dvigatel&placeBit=1&hash=b2d4cff1a0d79dd824eeeb5f912668ca089ebbb2b63518bbd139866253a5ebbb","isPaidAndBannersEnabled":false}

Безопасность в цифровых каналах. SMS и PUSH коды. Реальность России и зарубежья

Мы уже не раз говорили, что передача кодов подтверждения финансовых операций в SMS и Push уведомлениях не самый надежный способ обезопасить своих клиентов. Хочется рассказать про юридическую практику SMS и Push в нашей стране и зарубежном опыте.

Исследование «возможности отправки одноразовых кодов в системах мобильного и Интернет-банка, а также для информирования о транзакциях» в России, проведенное Центром судебных экспертиз компании RTM Group, показало, что SMS можно использовать с целым рядом оговорок. Учитывая волну мошенничества с использованием методов социальной инженерии, негативную судебную практику в отношении SMS, возросшую стоимость услуг операторов связи, то необходимо отказаться от SMS и PUSH.

Об этом также свидетельствует статистика, которую мы видим из года в год. По данным ФинЦЕРТ, за последние несколько лет более 85% хищений со счетов физических лиц происходят с использованием приемов социальной инженерии, а со счетов юридических лиц более 40%.

  • В 2019 году общий объем мошеннических операций с банковскими счетами составил 6 426,5 млн рублей
  • В 2018 году более 97% хищений со счетов физических лиц и 39% со счетов юридических лиц было совершено с использованием приемов социальной инженерии, общей суммой 2,8 млрд рублей
  • Банки возместили 15% средств (примерно один рубль из семи)
  • В 2020 году объём операций без согласия клиента увеличился в 1м квартале на 38%, а во втором на целых 59%

Объём несанкционированных операций в год 

Дарья Верестникова

Благо, российская судебная практика сейчас всё чаще сводится к признанию SMS «неперсонифицированным» средством подтверждения. В частности, Положение Банка России от 17 апреля 2019 г. N 683‑П «Об установлении обязательных для кредитных организаций требований…» значительно повышает уровень безопасности транзакций, требуя от банков находить такие способы подтверждения, которые бы смогли обеспечить контроль целостности и авторства подписываемого документа. На данный момент это делает такие небезопасные способы подтверждения, как SMS и Push, неприменимыми при работе в дистанционных каналах.

В Европе же, с вступлением в действие в сентябре 2019 года Платежной директивы Евросоюза PSD2 (Revised Payment Service Directive), финансовый сектор начал обновление решений для аутентификации и подтверждения транзакций. Так, еще в июне 2018 года Европейский платежный союз заключил, что SMS не являются подходящим методом доставки OTP и должны быть заменены на более безопасные методы. Важным требованием является, положение о том, что данные платежной транзакции должны быть защищены на всех этапах аутентификации. И платежные операторы должны предоставить плательщику информацию о сумме и получателе платежа, опять же, на всех этапах аутентификации.

Сейчас на смену SMS и Push-уведомлениям приходят технологии мобильной аутентификации и электронной подписи, которые интегрируются с различными системами обеспечения безопасности, в частности с биометрическими системами аутентификации и антифрод-системами. Мобильная электронная подпись обеспечивает контроль целостности и авторства, формируется в результате криптографических преобразований. И, пожалуй, это – единственный верный, надежный и экономически целесообразный путь.

Дарья Верестникова
Дарья Верестникова
Коммерческий директор компании SafeTech
0
6 комментариев
Популярные
По порядку
Написать комментарий...
Общий череп

Итак - о чем эта статья? Не известно.Смс - плохо, а мобильная цифровая подпись - хорошо.

Смс - является «простой цифровой подписью», банки ее принимают не только для входа в личный кабинет, но и для подписи поручительства по сделкам и т д.

А что же такое мобильная цифровая подпись? Это приложение? Для каждой системы своё, типа Яндекс.ключ или Microsoft Authenticator ? Не понятно.

О чем вообще говорится в статье? Что смс-ки воруют путём социальной инженерии? Цыгане раньше воровали деньги из карманов, а домушники - из под подушки в квартирах, частичная вина пострадавшего есть и там и здесь. Учите людей не сообщать персональные данные, это не вина смс сообщений.

ОПСОСы повышают стоимость смс для банков? Да, они ещё те гоблины, так может пора урегулировать их деятельность - как нынче модно говорить - «была бы на это политическая воля».

А заодно - пора бы придать телефонным номерам иной более официальный статус, закрепляя его за физлицом на постоянной основе, чтобы не только городской интернет можно было получать бесплатно для доступа на госпорталы, а ещё и смс + звонки на важные номера.

Ответить
1
Развернуть ветку
Общий череп

Ты же понимаешь, кто будет платить за "бесплатный" инет? А вообще надеюсь, что я правильно понял твой сарказм

Ответить
1
Развернуть ветку
Общий череп

Кто пользуется услугами - тот и платит. То есть все мы. Тех, кто пользуется сугубо бесплатными госуслугами найти сейчас сложно.

Речь была о том, что статья непонятная, а также о развитии и волшебном пенделе зажравшимся ОПСОСам.

И да - каждой шутке есть доля шутки, это касается и сарказма.

Ответить
0
Развернуть ветку
Дарья Верестникова

Социальная инженерия - это один из способов. Перехват SS7, перевыпуск симкарт, фишинг, автозалив и прочее - это все уже давно, давнее соц инженерии. Поэтому смс и пуш без контроля целостности и авторства - уже давно понятный неоправданый риск. 

Ответить
0
Развернуть ветку
Общий череп

Так какое решение здесь предлагается?

Ответить
0
Развернуть ветку
Денис К

что это было? смс, пуш и пух. и баба в конце.

Ответить
1
Развернуть ветку
Читать все 6 комментариев
Геозоны: разделяй и властвуй

Ильдар Бикташев, руководитель отдела картографии и алгоритмов, уже рассказывал, какие задачи стоят перед картографическими сервисами Master Delivery. Сегодня продолжаем разговор о том, как геоаналитические разработки решают маркетинговые и логистические задачи бизнеса.

BlaBlaCar продаёт билеты на несуществующие автобусы

Я не мастер писать статьи, но очень хотелось бы рассказать людям о разводе от популярного сервиса.

Для абонентов Мегафон и Yota. Вы не знали, а вам открыли счет в банке!

Для тех кому интересна развязка, она внизу (выделено жирным).

Самые сильные идеи в жизни

Предприниматель Сахил Блум публикует в своем Твиттере интересные жизненные идеи и парадоксы. Представляю перевод твиттер треда «22 самых сильных идеи в жизни».

Идеальный тимлид: миф или реальность?

Кто такой идеальный тимлид? Что ожидает руководство от такого сотрудника? Колонка Алексея Кирсанова, руководителя разработки «Битрикс24».

«Не мошенник, а фантазёр»: история афериста Коровко, ставшего прототипом для героя Ильфа и Петрова Статьи редакции

У миллионера Корейко из романа «Золотой телёнок» есть реальный прообраз — Константин Коровко, торговавший в дореволюционном Петербурге паями несуществующих предприятий. На своих аферах он заработал около 1 млн рублей, но перед судом предстал с 220 рублями на счету и обвинил во всём самих пайщиков.

Евгений Евстигнеев в роли Александра Корейко, кадр из фильма Михаила Швейцера «Золотой телёнок» Год Литературы
Анализ тональности текста с использованием фреймворка LightAutoML

Сентиментный анализ (анализ тональности) – это область компьютерной лингвистики, занимающаяся изучением эмоций в текстовых документах, в основе которой лежит машинное обучение.

Как я открывал совместный счет в Тинькофф банке

В самом конце прошлого года Тинькофф запустил услугу “Совместного счета” и прислал мне пуш об этом. Так получилось, что именно в это время у меня возникла потребность в такой услуге, и я решил протестировать их новый продукт.

Украли деньги с карты Тинькофф

30.12.2021 года я с семьей дочери поехала в магазин "Спортмастер" в г. Москва покупать коньки. Уведомлений от Тинькофф не было. 31.12.2021 года я увидела что есть какие то пуш уведомление при нажатии на него оно исчезло. Когда я зашла в онлайн приложение, то увидела что у меня с кредитной карты сняли 106 000 рублей , было снятие 7 суммами. Кроме…

Акции роста российских эмитентов на ближайшие 5 лет

Пандемия меняет мир и формируется новая тенденция на ближайшие годы. Ниже будут представлены компании, акции которых способны в новых мировых реалиях опередить динамику фондовых индексов.

Мвидео игнорирует мой заказ

Решил купить товар на Мвидео, и 2 раз сталкиваюсь с такой ситуацией.

null