Мобильное приложение журнала
Google Play Apple Store
курс цб на 16.11: USD 63.8881 EUR 70.4111
криптовалют: BTC 8456$ ETH 179.87$
lupa
1094 просмотра

SMS-пароли: в поисках альтернативы?

SMS-пароли: в поисках альтернативы?

Если окинуть взором ландшафт систем дистанционного банковского обслуживания в российских банках с точки зрения защищенности, то он окажется весьма однообразным. Безопасность транзакций в системах ДБО практически всех банков обеспечивается всего двумя механизмами: одноразовым паролем по SMS (для розничных клиентов) и квалифицированной усиленной цифровой подписью (в терминах 63-ФЗ) для корпоративных клиентов. Некоторое количество банков, использующих иные механизмы подтверждения операций, на фоне остальных участников рынка смотрятся белыми воронами, считает Павел Есаков, эксперт по системам аутентификации компании CompuTel System Management.

Удивительно даже не единодушие банковских структур по этому вопросу, но полное отсутствие у них желания что-либо менять в своих системах безопасности. Причем нежелание к переходу на новые технологии объясняется большинством банков очень просто: «у нас отсутствуют финансовые потери, и на фоне их отсутствия просто-напросто глупо совершенствовать системы безопасности. Более того, имеющиеся механизмы подтверждения транзакций удобны для клиентов, не требуют больших затрат для внедрения и вполне безопасны».

Парадоксально, что такие разговоры проходят на фоне отчетов Центрального банка России о резком росте количества попыток незаконного перевода денежных средств клиентов посредством систем ДБО.

Так, согласно данным Обзора несанкционированных переводов денежных средств за 2016 год, представленным в феврале этого года Банком России, в 2016 году посредством интернета и мобильных устройств, в том числе интернет-банка, было совершено 238 695 несанкционированных операций на общую сумму 714,9 млн рублей. Для сравнения – в 2015 году данные показатели составляли, соответственно, 190 074 транзакций на 569,8 млн рублей. Таким образом, рост количества несанкционированных денежных переводов составил более 25%, при этом аналогичные темпы роста продемонстрировал их объем.

Более того, можно предположить, что та информация, которая доступна регулятору, есть только верхушка айсберга, поскольку банки по понятным причинам сообщают в ЦБ далеко не обо всех случаях потерь в системах ДБО.

Но почему огромное большинство банков не фиксирует существенных финансовых потерь и чувствует себя более чем комфортно с имеющимися системами безопасности? Как ни странно, объясняется этот феномен достаточно просто. Большинство банков привыкло обвинять самый крупный российский банк в доминировании на рынке. Но именно это доминирование для остальных банков оказалось благом, поскольку именно Сбербанк в данном случае стал одной из предпочтительных мишеней хакеров.

19Понять киберпреступников можно: «Ничего личного, просто бизнес». Атаки на Сбербанк намного более выгодны с точки зрения эффективности: количество онлайн-клиентов банка перевалило за 30 млн, имеется еще 17 млн клиентов мобильного банка. Даже не слишком большие средние остатки на счетах клиентов такого банка интересны – ведь самих клиентов очень много. Так что менее крупные банки для преступников пока что просто менее привлекательны.

При этом Сбербанк предпринимал и предпринимает ряд серьезных усилий для борьбы с мошенниками. Именно он стал первым крупным банком, который полностью прекратил эмиссию карт с магнитной полосой. И этот шаг принес свои плоды, существенно снизив потери банка от скимминга в своей банкоматной сети.

Именно Сбербанк реализовал программу по привлечению клиентов в каналы дистанционного обслуживания, потратив немало усилий и на расширение функционала «Сбербанк Онлайн». Правда, привлечение клиентов шло также и с помощью финансовых рычагов – введение достаточно значительных комиссий по оплате услуг ЖКХ в отделениях банка способствовало более широкому использованию как банкоматов и платежных терминалов в отделениях банка, так и росту желающих воспользоваться услугами систем ДБО.

К сожалению, Сбербанк пока не реализовал какую-либо альтернативу одноразовому паролю, передаваемому по SMS. Некоторое время банк использовал и печать чека с одноразовыми паролями в своих банкоматах. Метод был одновременно и неудобен для клиентов – не все они находятся в шаговой доступности от банкоматов, и не защищал от атак типа Man in the middle (MITM). Более того, для мошенников, использующих методы социальной инженерии, этот механизм был более чем удобен.

Банк постепенно менял лимиты для данного механизма подтверждения операций в сторону уменьшения и в результате отказался от печати чеков с одноразовыми паролями окончательно. Так что на сегодня единственный механизм подтверждения транзакций для розницы в Сбербанке – это пароль по SMS.

Нельзя сказать, что специалисты по безопасности систем ДБО не предупреждали банки о том, что SMS-канал изначально не предназначался для передачи такой чувствительной информации, как одноразовые пароли для подтверждения операций. Многие европейские, да и не только европейские, банки взяли технологию одноразовых SMS-паролей на вооружение, ибо в определенный момент все уверовали в безопасный характер данной технологии. Но в середине 2012 года европейские банки в самых разных странах зафиксировали многочисленные хищения в своих системах ДБО. Общим здесь было только то, что для подтверждения транзакций клиенты всех пострадавших  банков использовали одноразовые SMS-пароли. Вскоре была обнаружена и причина – новая разновидность вируса, результат объединения двух вредоносных продуктов: один вирус умел похищать и отправлять SMS со смартфона клиента, другой, более «привычный», просто похищал банковские реквизиты клиентов онлайн-банка. Вирус получил говорящее название Eurograbber, с его помощью клиентские счета похудели в общей сложности примерно на 36 млн евро.

Cбербанк России предпринимал и предпринимает ряд серьезных усилий для борьбы с мошенниками

Но самое любопытное, что в России этот вирус появился уже в конце 2012 года, и, что неудивительно, именно Сбербанк стал мишенью атакующих. Для клиентов банка вирус маскировался под любопытным названием SberSafe, а загрузка проводилась со вполне официального ресурса.

К чести банка следует сказать, что он сумел оперативно обнаружить вирус и в кратчайшие сроки добился удаления вредоносного приложения с Google Market. В то же время одноразовый SMS-пароль по-прежнему краеугольный камень в системе безопасности крупнейшего банка страны.

Конечно же, все банки (Сбербанк здесь отнюдь не исключение, а скорее флагман) принимают определенные меры для уменьшения потерь. Так, вводятся лимиты на проведение операций ДБО, проверяется номер SIM-карты клиента перед отправкой SMS-пароля (борьба с несанкционированной заменой SIM-карт при сохранении номера мобильного телефона), некоторые операции требуют звонка клиента в call-центр банка. Но все эти меры являются компромиссом, ибо могут лишь уменьшить потери, но не устранить их полностью. При этом нельзя сказать, что эти меры удобны для клиентов.

Можно ли пользоваться уже скомпрометированным каналом подтверждения операций? Да, если выстроена резервная линия обороны, пресловутый «План Б», который может быть введен в эксплуатацию в короткие сроки в случае существенного увеличения уровня финансовых потерь. Увы, крайне сложно найти на российском рынке банк, у которого был бы такой план.

19-2Надеяться на то, что уровень потерь расти не будет, могут только люди, не желающие анализировать статистику атак и динамику этого процесса. Наивно полагать, что преступники уже полностью исчерпали свои возможности, а поставщики антивирусов не сегодня-завтра отольют наконец «серебряную пулю», чтобы раз и навсегда покончить с этим видом атак.

Тем более что помимо вирусов для перехвата SMS-паролей существуют и другие методы, которые могут быть существенно более опасны, ибо не требуют установки троянов на клиентские компьютеры и мобильные телефоны. И масштабы бедствия могут возрасти многократно. Обсуждение таких технологий, разумеется, выходит за рамки настоящей статьи.

Конечно, не только трояны виновны в потерях в системах ДБО. Многие эксперты в области безопасности, работающие в крупных банках, считают, что основной причиной потерь является социальная инженерия, а значит, применять какие-либо меры технологического характера просто не имеет смысла: клиентам будет неудобно пользоваться сложными средствами обеспечения безопасности, а мошенники все равно смогут «убедить» клиентов отдать им деньги. Правда, как измеряется соотношение потерь от вирусов по отношению к социальной инженерии – по количеству инцидентов или по объему похищенных средств, – как правило, никто не сообщает.

Например, Сбербанк активно борется с социальной инженерией, в том числе, предупреждая клиентов о том, что пароль для входа в «Сбербанк Онлайн» нельзя вводить «для отмены транзакций» – об этом могут просить только мошенники. Есть и другие советы, которые можно прочитать на первой странице этого сервиса.

Помимо вирусов для перехвата SMS-паролей существуют и другие методы, которые могут быть существенно более опасны
Помимо вирусов для перехвата SMS-паролей существуют и другие методы, которые могут быть существенно более опасны

Хочется сказать несколько слов и в защиту клиентов. Клиент должен понимать разницу при подтверждении транзакции и входе в интернет-банк, а эти процессы практически неразличимы с точки зрения обывателя. Более того, если клиент пользуется сервисом «Автоплатеж», то уже имеет опыт получения SMS, которое можно использовать как для подтверждения, так и для отмены предлагаемой операции.

Несомненно, нужно повышать уровень осведомленности клиентов о том, какие опасности они могут встретить, используя дистанционное управление своим банковским счетом. Очевидно и то, что отдельно взятый банк, хотя бы и крупный, честно предупредив клиентов обо всех рисках, возникающих при использовании системы ДБО, может оказаться в невыгодном положении, особенно если другие банки будут держать своих клиентов в неведении о сопутствующих опасностях в их системах дистанционного управления счетом. По-этому наиболее целесообразным видится проведение единой политики в плане информирования клиентов, что возможно при проведении такой кампании регулятором рынка.

В этом нуждаются не столько Сбербанк, обладающий огромным ресурсом для противостояния мошенническим угрозам, сколько системы ДБО огромного количества других кредитных организаций, ведь в случае ухода Сбербанка от SMS-паролей под огнем окажутся именно они.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных