{"id":4099,"title":"\u0422\u0435\u0441\u0442: \u0434\u0438\u0437\u0430\u0441\u0441\u0435\u043c\u0431\u043b\u0438\u0440\u0443\u0439\u0442\u0435 \u0432\u0430\u0448\u0435 \u0431\u0435\u0441\u0441\u043e\u0437\u043d\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0435","url":"\/redirect?component=advertising&id=4099&url=https:\/\/vc.ru\/special\/psychoanalysis&hash=d33841813ceca9fc84a1c7d5d25eaaaccdc5d00debd4904d498ec081a76e329c","isPaidAndBannersEnabled":false}

Безопасность в цифровых каналах. SMS и PUSH коды. Реальность России и зарубежья

Мы уже не раз говорили, что передача кодов подтверждения финансовых операций в SMS и Push уведомлениях не самый надежный способ обезопасить своих клиентов. Хочется рассказать про юридическую практику SMS и Push в нашей стране и зарубежном опыте.

Исследование «возможности отправки одноразовых кодов в системах мобильного и Интернет-банка, а также для информирования о транзакциях» в России, проведенное Центром судебных экспертиз компании RTM Group, показало, что SMS можно использовать с целым рядом оговорок. Учитывая волну мошенничества с использованием методов социальной инженерии, негативную судебную практику в отношении SMS, возросшую стоимость услуг операторов связи, то необходимо отказаться от SMS и PUSH.

Об этом также свидетельствует статистика, которую мы видим из года в год. По данным ФинЦЕРТ, за последние несколько лет более 85% хищений со счетов физических лиц происходят с использованием приемов социальной инженерии, а со счетов юридических лиц более 40%.

  • В 2019 году общий объем мошеннических операций с банковскими счетами составил 6 426,5 млн рублей
  • В 2018 году более 97% хищений со счетов физических лиц и 39% со счетов юридических лиц было совершено с использованием приемов социальной инженерии, общей суммой 2,8 млрд рублей
  • Банки возместили 15% средств (примерно один рубль из семи)
  • В 2020 году объём операций без согласия клиента увеличился в 1м квартале на 38%, а во втором на целых 59%

Объём несанкционированных операций в год 

Дарья Верестникова

Благо, российская судебная практика сейчас всё чаще сводится к признанию SMS «неперсонифицированным» средством подтверждения. В частности, Положение Банка России от 17 апреля 2019 г. N 683‑П «Об установлении обязательных для кредитных организаций требований…» значительно повышает уровень безопасности транзакций, требуя от банков находить такие способы подтверждения, которые бы смогли обеспечить контроль целостности и авторства подписываемого документа. На данный момент это делает такие небезопасные способы подтверждения, как SMS и Push, неприменимыми при работе в дистанционных каналах.

В Европе же, с вступлением в действие в сентябре 2019 года Платежной директивы Евросоюза PSD2 (Revised Payment Service Directive), финансовый сектор начал обновление решений для аутентификации и подтверждения транзакций. Так, еще в июне 2018 года Европейский платежный союз заключил, что SMS не являются подходящим методом доставки OTP и должны быть заменены на более безопасные методы. Важным требованием является, положение о том, что данные платежной транзакции должны быть защищены на всех этапах аутентификации. И платежные операторы должны предоставить плательщику информацию о сумме и получателе платежа, опять же, на всех этапах аутентификации.

Сейчас на смену SMS и Push-уведомлениям приходят технологии мобильной аутентификации и электронной подписи, которые интегрируются с различными системами обеспечения безопасности, в частности с биометрическими системами аутентификации и антифрод-системами. Мобильная электронная подпись обеспечивает контроль целостности и авторства, формируется в результате криптографических преобразований. И, пожалуй, это – единственный верный, надежный и экономически целесообразный путь.

Дарья Верестникова
Дарья Верестникова
Коммерческий директор компании SafeTech
{ "author_name": "Дарья Верестникова", "author_type": "self", "tags": ["\u0434\u0430\u0448\u0430\u0432\u0434\u0435\u043b\u0435","verestnikova","safetech","paycontrol","cybersecurity"], "comments": 6, "likes": -1, "favorites": 6, "is_advertisement": false, "subsite_label": "finance", "id": 178886, "is_wide": false, "is_ugc": true, "date": "Thu, 19 Nov 2020 19:51:34 +0300", "is_special": false }
0
6 комментариев
Популярные
По порядку
Написать комментарий...

Разный татарин

1

Итак - о чем эта статья? Не известно.Смс - плохо, а мобильная цифровая подпись - хорошо.

Смс - является «простой цифровой подписью», банки ее принимают не только для входа в личный кабинет, но и для подписи поручительства по сделкам и т д.

А что же такое мобильная цифровая подпись? Это приложение? Для каждой системы своё, типа Яндекс.ключ или Microsoft Authenticator ? Не понятно.

О чем вообще говорится в статье? Что смс-ки воруют путём социальной инженерии? Цыгане раньше воровали деньги из карманов, а домушники - из под подушки в квартирах, частичная вина пострадавшего есть и там и здесь. Учите людей не сообщать персональные данные, это не вина смс сообщений.

ОПСОСы повышают стоимость смс для банков? Да, они ещё те гоблины, так может пора урегулировать их деятельность - как нынче модно говорить - «была бы на это политическая воля».

А заодно - пора бы придать телефонным номерам иной более официальный статус, закрепляя его за физлицом на постоянной основе, чтобы не только городской интернет можно было получать бесплатно для доступа на госпорталы, а ещё и смс + звонки на важные номера.

Ответить

Виртуальный хичхакер

Разный
1

Ты же понимаешь, кто будет платить за "бесплатный" инет? А вообще надеюсь, что я правильно понял твой сарказм

Ответить

Разный татарин

Виртуальный
0

Кто пользуется услугами - тот и платит. То есть все мы. Тех, кто пользуется сугубо бесплатными госуслугами найти сейчас сложно.

Речь была о том, что статья непонятная, а также о развитии и волшебном пенделе зажравшимся ОПСОСам.

И да - каждой шутке есть доля шутки, это касается и сарказма.

Ответить
0

Социальная инженерия - это один из способов. Перехват SS7, перевыпуск симкарт, фишинг, автозалив и прочее - это все уже давно, давнее соц инженерии. Поэтому смс и пуш без контроля целостности и авторства - уже давно понятный неоправданый риск. 

Ответить

Разный татарин

Дарья
0

Так какое решение здесь предлагается?

Ответить
1

что это было? смс, пуш и пух. и баба в конце.

Ответить
Читать все 6 комментариев
Первые фото с Марса
Что такое пассивное инвестирование. Рассказывает персональный брокер

Как правильно вкладывать деньги на годы или даже десятилетия, и как Уоррен Баффет выиграл пари

Облачные игры стали доступны клиентам Yota
«СберМегаМаркет» привезли разбитое зеркало и отказывают в замене или возврате денег

Сделал заказ на большое зеркало с подсветкой и музыкой в «СберМегаМаркет». Подсветкой и музыкой пользоваться можно, а зеркалом — нет.

Как вернуть VPN в браузере Opera?

Столкнулся сегодня с такой проблемой , обнаружил что vpn в браузере опера не работает и исчез переключатель с панели. Починил следующим образом:

Лето с HONOR: скидки до 60 000 рублей на ноутбуки и не только

HONOR объявляет о специальных летних скидках на ноутбуки и другую продукцию бренда. С 18 июня пользователи смогут приобрести устройства HONOR с выгодой до 60 000 рублей. Подробнее об условиях акции вы можете узнать на официальном сайте интернет-магазина HONOR и в официальных монобрендовых магазинах HONOR в Москве и других городах России.

Робототехника и облачные мощности: почему роботам нужны облака

Настроить автопилот квадрокоптера и запрограммировать коллаборативного робота проще с виртуальными серверами.

После использования банкомата «Тинькофф» деньги были украдены со счёта

В погоне за клиентами компании стараются сделать клиентский путь для использования своих продуктов проще, но при этом иногда забывают о безопасности. Именно с такой ситуацией я и столкнулся.

Списание комиссии за перевод C2C в Альфа банке и угрозы от сотрудников в ответ на просьбу разобраться в ситуации

16 июня я совершил перевод со своей карты Альфа банка на карту Промсвязьбанка, что, впрочем, делаю ежемесячно в течении полутора лет. И после этого начали твориться чудеса, назовем это так. Сначала в приложении отобразилась сумма перевода, как обычно. И я уже забыл бы об этой рутинной операции, но внезапно баланс счета уменьшился безо всяких…

Samsung отказал в ремонте мобильного телефона после заказа зап. части

Всем привет!

«Альфа-Банк» списал комиссию за пополнение карты «Мир», расценив его как квази-кэш операцию

17.06 с моего зарплатного счëта «Альфа-Банка» были списаны 199 рублей как комиссия за квази-кэш операцию.

Комментарии
null