SMS и PUSH: "Использовать нельзя отказаться"
Про юридическую практику SMS / PUSH и зарубежном опыте
Итак, использование банками SMS и PUSH-уведомлений, которое началось в погоне за улучшением User experience и увеличением числа клиентов, вызывает множество вопросов. Одни эксперты замечают, что передача в SMS и PUSH одноразовых паролей (OTP) и подтверждение ими операций физлиц, были, для своего времени конечно, «шагом вперед» к удобству и безопасности. Другие возражают, что SMS и PUSH сейчас уже неспособны защитить от наиболее распространенных атак: социальной инженерии и подмены реквизитов платежа, перехвата SMS и злонамеренного ПО. Да и сами сценарии использования OTP уже не воспринимаются такими «удобными» — пользователи хотят подтверждать документы в DIGITAL «в одно касание».
Так какое же решение принять? Обратимся ко мнению экспертов.
Одним из известных исследований «возможности отправки одноразовых кодов в системах мобильного и Интернет-банка, а также для информирования о транзакциях» в России стал анализ Центра судебных экспертиз компании RTM Group. Не вдаваясь в подробности (отчёт доступен в Интернете, ссылка в комментариях), общий вывод таков, что SMS можно использовать с целым рядом оговорок, а вот PUSH-уведомления — нельзя. А учитывая негативную судебную практику в отношении SMS, возросшую стоимость услуг операторов связи, и, самое главное, волну мошенничества с использованием методов социальной инженерии, необходимо ОТКАЗАТЬСЯ от SMS и PUSH.
А что думают об этом в Европе? С вступлением в действие в сентябре 2019 года Платежной директивы Евросоюза PSD2 (Revised Payment Service Directive), финансовый сектор начал обновление решений для аутентификации и подтверждения транзакций. Так, еще в июне 2018 года Европейский платежный союз заключил, что SMS не являются подходящим методом доставки OTP должны быть ЗАМЕНЕНЫ НА БОЛЕЕ БЕЗОПАСНЫЕ МЕТОДЫ.В любом случае решение и ответственность Ваша. А мы всегда поможем — в следующий нас ждет практический разговор о борьбе с социальной инженерией.