Дарья Верестникова
18

SMS и PUSH: "Использовать нельзя отказаться"

Про юридическую практику SMS / PUSH и зарубежном опыте

В закладки

Итак, использование банками SMS и PUSH-уведомлений, которое началось в погоне за улучшением User experience и увеличением числа клиентов, вызывает множество вопросов. Одни эксперты замечают, что передача в SMS и PUSH одноразовых паролей (OTP) и подтверждение ими операций физлиц, были, для своего времени конечно, «шагом вперед» к удобству и безопасности. Другие возражают, что SMS и PUSH сейчас уже неспособны защитить от наиболее распространенных атак: социальной инженерии и подмены реквизитов платежа, перехвата SMS и злонамеренного ПО. Да и сами сценарии использования OTP уже не воспринимаются такими «удобными» — пользователи хотят подтверждать документы в DIGITAL «в одно касание».

Так какое же решение принять? Обратимся ко мнению экспертов.

Одним из известных исследований «возможности отправки одноразовых кодов в системах мобильного и Интернет-банка, а также для информирования о транзакциях» в России стал анализ Центра судебных экспертиз компании RTM Group. Не вдаваясь в подробности (отчёт доступен в Интернете, ссылка в комментариях), общий вывод таков, что SMS можно использовать с целым рядом оговорок, а вот PUSH-уведомления — нельзя. А учитывая негативную судебную практику в отношении SMS, возросшую стоимость услуг операторов связи, и, самое главное, волну мошенничества с использованием методов социальной инженерии, необходимо ОТКАЗАТЬСЯ от SMS и PUSH.

А что думают об этом в Европе? С вступлением в действие в сентябре 2019 года Платежной директивы Евросоюза PSD2 (Revised Payment Service Directive), финансовый сектор начал обновление решений для аутентификации и подтверждения транзакций. Так, еще в июне 2018 года Европейский платежный союз заключил, что SMS не являются подходящим методом доставки OTP должны быть ЗАМЕНЕНЫ НА БОЛЕЕ БЕЗОПАСНЫЕ МЕТОДЫ.В любом случае решение и ответственность Ваша. А мы всегда поможем — в следующий нас ждет практический разговор о борьбе с социальной инженерией.

{ "author_name": "Дарья Верестникова", "author_type": "self", "tags": ["\u0434\u0430\u0448\u0430\u0432\u0434\u0435\u043b\u0435","verestnikova","safetech","paycontrol"], "comments": 0, "likes": 2, "favorites": 0, "is_advertisement": false, "subsite_label": "unknown", "id": 120420, "is_wide": true, "is_ugc": true, "date": "Wed, 15 Apr 2020 12:22:31 +0300", "is_special": false }
SEO
Контент — король: как мы с помощью SEO привели 400 тысяч англоязычных геймеров в блог, играя в PUBG
Подготовили кейс по работе с изначально незнакомой нам нишей, да еще и на англоязычную аудиторию. Вот некоторые…
Объявление на vc.ru
0
Комментариев нет
Популярные
По порядку

Прямой эфир