АРМАДА
SMS-коды признали опасными для оплаты
Новая тема Написать ответ

Miss Content
V.I.P.
Зарегистрирован: 05.03.2010
Сообщений: 7881
Обратиться по нику
# Добавлено:Пн Окт 10, 2016 2:51 pmДобавить в избранноеОтветить с цитатой
В Минкомсвязи убеждены, что использование SMS для аутентификации пользователя является небезопасным для банков. Такое заявление сделал представитель Минкомсвязи 3 октября на заседании в Центральном банке с участием операторов связи «большой тройки», представителей ЦБ и отраслевых ассоциаций, на котором обсуждался вопрос передачи банкам от операторов связи информации об изменении владельца номера телефона. Об этом «Известиям» сообщили несколько собеседников, знакомых с ходом заседания. В пресс-службе Минкомсвязи эту информацию подтвердили.

— Использование SMS для аутентификации несет существенные риски для безопасности, и необходимо использование других, более безопасных способов, таких как применение генераторов одноразовых паролей (TOTP — Time-based One-time Password Algorithm) с дополнительной криптографической защитой. Соответствующие приложения и сервисы реализованы как отечественными, так и зарубежными компаниями и стандартизованы в документах IETF (Internet Engineering Task Force), — говорят в пресс-службе Минкомсвязи. — Минкомсвязь России продолжит работу с ЦБ для обеспечения безопасности граждан и их денег в цифровую эпоху.

Как правило для создания одноразовых паролей используются сервисы наподобие «Яндекс.Ключ» или Google Authenticator. Пользователи устанавливают соответствующее приложение на мобильное устройство. После его сопряжения с сайтом начинается генерация одноразовых паролей, и действие каждого ограничено по времени. После этого при заходе на сайт вместо старого пароля необходимо будет ввести пароль, который предложит приложение.

Сейчас же многие платежные сервисы для подтверждения операции просят ввести код, отправленный в SMS. После ввода этих данных и происходит оплата. По словам официального представителя компании «ВымпелКом» (бренд «Билайн»), SMS является самым распространенным и доступным каналом аутентификации с точки зрения пользователей и географии действия услуги.

— Практика показывает, что SMS-коды обеспечивают высокий уровень безопасности, если клиент соблюдает базовые принципы безопасности: хранит в тайне пароли, коды для подтверждения, использует антивирусы, — объясняет заместитель руководителя департамента розничных продуктов, электронного бизнеса и CRM банка ВТБ Александр Солонин. — За последние пять лет не было зарегистрировано ни одного случая компрометации с их использованием.

Начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева отметила, что уязвимость представляет не сама технология формирования кода, а SMS-канал, по которому происходит его доставка от банка клиенту.

— Уязвимость данного канала ни для кого не является секретом, в том числе и для нас, а потому SMS-коды — это далеко не единственный способ аутентификации, применяемый в банке, — говорит Дегтева. — В частности, в качестве альтернативных и рекомендуемых клиентам мы используем канал Push, а также внедрили технологию генерации кодов подтверждения операций, работающую по стандартам платежных систем Visa и MasterCard (CAP/DPA). Генерация кодов в этом случае происходит в специальном отдельном приложении для смартфонов «Токен ВТБ24-онлайн», работающем автономно и защищенном от внешнего воздействия со стороны вредоносных программ.

Аналитики по кибербезопасности также сомневаются в полной защищенности SMS-аутентификации.

— Использование кодов, переданных посредством SMS-сообщений, в качестве дополнительного фактора подтверждения платежей не является безопасным, — говорит руководитель направления аутсорсинга ИБ компании Solar Security Эльман Бейбутов. — Существует несколько способов компрометации такого канала передачи информации. Во-первых, существуют трояны для перехвата SMS с кодами и отправки их злоумышленнику. По такой схеме ежегодно похищается более 50 млн рублей со счетов россиян в различных российских банках. Во-вторых, можно перевыпустить SIM-карту с номером потенциальной жертвы по поддельному паспорту или по сговору с сотрудником салона связи. Это недорого — порядка 50 тыс. рублей на черном рынке за одну SIM-карту. Получив дубликат SIM-карты, злоумышленник активирует ее в сети оператора, обычно в ночное время, и за пару часов переводит все деньги из интернет-банка жертвы на подконтрольные счета в других финансовых организациях, после чего происходит практически мгновенное обналичивание денежных средств через банкоматы.

Антивирусный эксперт «Лаборатории Касперского» Денис Легезо уверен, что если пользователь работает с системой онлайн-банкинг на компьютере, а подтверждение приходит на телефон, то смысл в SMS есть.

— Если пользователь совершает платежи с зараженного смартфона, на который ему приходят SMS, то скомпрометированными оказываются сразу оба канала аутентификации, что делает SMS бесполезной функцией, — поясняет Легезо. — Злоумышленники прекрасно знают о разовых паролях в SMS, поэтому разрабатывают такое вредоносное программное обеспечение для мобильных устройств, которое может перехватывать пароли. Генерация разовых паролей на стороне пользователя действительно безопаснее, т.к. атакующим сложнее перехватить подтверждение аутентификации.

Бейбутов отметил, что генерация одноразовых паролей с использованием приложения в смартфоне или посредством считывания QR-кода с экрана монитора может существенно повысить уровень безопасности.

— Шифрованный и независимый от операторов канал доставки кодов двухфакторной аутентификации должен стать стандартом дистанционного банкинга, — говорит Бейбутов. — Такой подход не подвержен большинству известных угроз, кроме, конечно, социальной инженерии, эксплуатирующей человеческий фактор. Ведь если пользователь потеряет смартфон (читайте — устройство генерации кодов), должен существовать способ переустановки приложения на новое устройство или возможность временно использовать коды из SMS «восстановленной» SIM-карты — а это уже повод для возникновения новых, более изощренных мошеннических схем.

Руководитель службы кибербезопасности Сбербанка Сергей Лебедь рассказал, что в будущем их банк планирует переходить на современные инструменты генерации одноразовых паролей, позволяющие клиенту подтверждать реквизиты операции в доверенном окружении.

— Но делаться это будет по мере развития и, что более важно, проникновения технологий, чтобы не получалось, что ради нашего изменения всем нашим клиентам придется покупать новое оборудование, — отметил Лебедь. — Решение по простоте должно быть аналогично получению SMS.

Елена Дегтева из ВТБ24 также рассказала о том, что они прорабатывают альтернативные способы аутентификации вдобавок к уже внедренным с перспективой полной миграции с SMS на более защищенные каналы.
Место для Вашей рекламы!

Yabuti
V.I.P.
Зарегистрирован: 28.11.2008
Сообщений: 16263
Contest (Сумма: 2)
Обратиться по нику
# Добавлено:Пн Окт 10, 2016 4:53 pmОтветить с цитатой
Как и везде, "слабое звено" в цепочке - именно пользовательский фактор. Токены с одноразовыми паролями тоже могут быть ненадежны, если пользователь вводит такой код на фейковом сайте, хакеры вручную или автоматически перехватывают этот код, переводят по нему деньги, а пользователю выдается сообщение, мол, сбой на сайте, сгенерируйте новый код, например. Или же реквизиты получателя меняются на хакерские, а отображаются те, что нужны пользователю, тогда он сам делает перевод на нужные хакеру реквизиты.
ИМХО, наиболее безопасно будет завести отдельный ноутбук/нетбук с клиентами ибанка/электронных платежных систем и простой телефон как Nokia1100.
Ксен ВПС и выделенные серверы от PQCService.net с бесплатным администрированием в 7 локациях, icq: 87244588
--

bodich +
Свой
Зарегистрирован: 08.10.2016
Сообщений: 3
Обратиться по нику
# Добавлено:Вт Окт 11, 2016 10:27 amОтветить с цитатой
Если пользователь не ступит, то этот фактор не опасный. Можно и пароли все слить, сказав что пароль опасный фактор.

Claudia
V.I.P.
Зарегистрирован: 12.07.2012
Сообщений: 1505
Обратиться по нику
# Добавлено:Вт Окт 11, 2016 12:36 pmОтветить с цитатой
Цитата:
Как и везде, "слабое звено" в цепочке - именно пользовательский фактор.




Skyworker
V.I.P.
Зарегистрирован: 25.12.2013
Сообщений: 10797
Обратиться по нику
# Добавлено:Вт Окт 11, 2016 2:40 pmОтветить с цитатой
Бред какой-то! Не смотря на отсутствие фактов дескридитации такого способа платежей, какие-то левые эксперты считают их все-таки опасными :rr6:
Надежный и отзывчивый VPS хостинг для серьезных проектов -|||- Проверенная годами пуш партнерка с ежеденевными выплатами

Iceberg
V.I.P.
Зарегистрирован: 17.03.2010
Сообщений: 12044
Обратиться по нику
# Добавлено:Ср Окт 12, 2016 11:30 amОтветить с цитатой
Давно нужно заменить смс отпечатком пальцем. В продвинутых моделях смартфонов уже давно есть сканер отпечатков пальцев.

Toulan
V.I.P.
Зарегистрирован: 12.07.2012
Сообщений: 3172
Обратиться по нику
# Добавлено:Ср Окт 26, 2016 9:51 amОтветить с цитатой
Многие банки сами оставляют лазейку преступникам. Так, при помощи голосового помощника Siri посторонние люди могут сделать денежный перевод со счёта, привязанного к мобильному номеру владельца iPhone

Цитата:
Суть способа кражи денег заключается в возможности Siri отправлять и читать SMS без необходимости вводить пароль или разблокировать устройство. Некоторые банки — включая Сбербанк и «Альфа-Банк» — предоставляют услугу перевода денег через SMS-команду.

Новая тема Написать ответ    ГЛАВНАЯ ~ НОВОСТИ ИНТЕРНЕТА

Перейти:  





Генеральный спонсор



Партнеры