Безопасность данных: может ли код из SMS защитить от взлома

Утечки персональных данных за последних два года серьезно «приросли» в объемах и превратились в серьезную проблему и для государства, и для бизнеса, и для пользователей. Так, по данным исследования ГК InfoWatch, в 2023 году утекло более 1,12 млрд записей. При этом в топ отраслей с наиболее масштабными утечками вошли госорганы (19,2%), ритейл (16,6%), банки (10%). Именно в этих сферах распространены электронные сервисы, где хранятся и паспортные данные, и платежная информация граждан. Бизнес-партнер в компании edna Александр Дубровин рассказал, почему увеличивается количество утечек и как бизнес может защитить данные своих клиентов.

У роста утечек есть несколько причин. Так, вызовом последних двух лет стал хактивизм. Хактивисты взламывают ИТ-инфраструктуру и сливают данные по политическим мотивам. И если крупные компании достаточно защищены, то малый и средний бизнес практически беззащитен перед ними. В прошлом году доля малого бизнеса в структуре утечек выросла до 34,1%.

Отдельным большим трендом в мошенничестве стала социальная инженерия. При этом она эволюционирует, в том числе и за счет искусственного интеллекта, больших языковых моделей, которые помогают разрабатывать наиболее эффективные схемы влияния на людей.

Слитые в сеть данные используются для взлома аккаунтов. Зная паспортные данные, дату рождения, номер телефона человека, пару логин-пароль от любого из сервисов, преступник может взломать практически любой аккаунт. Часто для этого используются брутфорс, то есть автоматический подбор пароля, или его «восстановление» через кодовое слово.

При этом пользователи сами облегчают работу хакерам. Многие люди склонны применять для авторизации на всех сервисах одну и ту же пару логин-пароль, использовать в качестве пароля дату рождения, имя и другую личную информацию. Такой пароль — подарок хакеру, так как его можно подобрать за минуты.

В ответ на рост утечек государство стало ужесточать законодательство в сфере защиты персональных данных. Так, с 1 декабря 2023 года была запрещена авторизация на российских сайтах с помощью Google и Apple ID. На государственных ресурсах, например, на порталах «Госуслуги» и Mos.ru была введена обязательная двухфакторная аутентификация (2FA). Появились и отраслевые требования. Например, ЦБ рекомендовал банкам проверять email-адреса, которые используются при авторизации, делать мониторинг IMSI (идентификатор мобильного абонента) и IMEI (индивидуальный номер мобильного телефона) клиентов. Бизнес был вынужден решать задачи защиты персональных данных, чтобы избежать штрафов и репутационных потерь.

В результате стал быстро расти спрос на подключение двухфакторной и многофакторной аутентификации, так как это самый надежный механизм защиты аккаунтов. Технология подходит и для защиты персональных данных клиентов компании, и для контроля доступа к внутреннему ИТ-ландшафту: корпоративным системам, облакам, административной панели сайта, авторизуемой зоне сайта для партнеров, поставщиков и т. д. Проникновение в эти системы приводит к утечкам коммерческой информации, ущерб от которых значительно выше.

Второй фактор защищает авторизацию почти на 100%, но слабое звено этой технологии — человек. Отправляемый OTP (One Time Password или одноразовый пароль) имеет ограниченный срок действия, как правило, несколько минут. Это делает любые попытки взлома брутфорсом или восстановлением пароля бесполезными, так как без второго фактора авторизоваться все равно не получится, а к нему доступа нет.

Однако второй фактор не поможет, если в компании не соблюдается политика доступа, правила включения и отключения пользователей. Так, около 45% утечек связаны с действиями персонала, в том числе и неосознанными. Нужно следить, чтобы уволившиеся сотрудники не имели доступа к корпоративным системам, обучать персонал кибергигиене. Частично проблему человеческого фактора можно решить и за счет сокращения «срока жизни» OTP, например, дав пользователю не более 20 секунд на ввод кода.

Из старых схем обхода второе рождение переживает подмена SIM-карты. Возрождение метода связано с распространением eSIM и увеличением количества виртуальных операторов связи. Для подмены SIM-карты мошеннику нужен скомпрометированный аккаунт, который он взял из ранее утекших данных, и телефон с поддержкой eSIM. Он подает заявку на перевыпуск карты или «переходит» к виртуальному оператору с сохранением номера. Получив телефон с нужным номером, можно войти в любые сервисы, украсть деньги, взять кредиты и т. д.

В среднем, использование двухфакторной аутентификации ежегодно растет на 20-25%, и со временем она будет внедрена повсеместно. По данным edna, среди компаний, использующих 2FA, 20% добавляет только один дополнительный фактор, а 40% — два и более.

В качестве второго фактора используются разные методы: SMS OTP, email-ссылка, email OTP, SMS со ссылкой, голосовые звонки с кодом-роботом, приложения аутентификаторы, флеш-носители с токеном, биометрия. Однако, лидерство сохраняется за OTP SMS, его использование растет на 6-10% в год и в среднесрочной перспективе SMS станет использоваться чаще.

Технология 2FA будет развиваться дальше, появятся новые методы защиты. Например, из последних новинок можно отметить QR-код в качестве второго фактора. Это интересный метод с точки зрения надежности, но он не очень удобен для пользователей. Рано или поздно придет в Россию и технология RCS. Это новый протокол коротких сообщений, который позволяет пользователям обмениваться медиафайлами. Со временем технология полностью заменит SMS.

Двухфакторную аутентификацию будут подключать все больше компаний, причем даже из тех отраслей, которые раньше не задумывались о защите аккаунтов своих пользователей, клиентов, сотрудников. При этом будет расти и количество случаев, когда используется второй фактор. Например, если раньше банки отправляли код подтверждения в среднем в четырех сценариях, то сейчас таких сценариев уже около 15.

Компаниям надежнее использовать решения отечественных вендоров, поскольку российский поставщик не уйдет с рынка, не нарушает законодательные требования, а значит, и его клиенты работают в рамках правового поля. Финансовое положение отечественного поставщика можно легко отследить по информации из открытых источников.

Пользователям можно посоветовать подключать двухфакторную аутентификацию не только на портале госуслуг и в приложении банка, а везде, где есть какая-то значимая информация: социальные сети, мессенджеры, e-mail, личные кабинеты на маркетплейсах и в интернет-магазинах и т.д. Подключение даже одного дополнительного фактора повышает безопасность в несколько раз. Авторизация по паре логин-пароль или телефон-пароль дает мнимое спокойствие и удобство. Из-за массовых утечек номера телефонов давно доступны, а пароль, особенно если он не самый надежный, можно подобрать за минуты брутфорсом.