ПРАВО.ru
Новости
5 октября 2016, 15:01

Минкомсвязи заявило об опасности оплаты при помощи СМС-кодов

Минкомсвязи заявило об опасности оплаты при помощи СМС-кодов
Фото с сайта severpost.ru

Использование СМС-сообщений для аутентификации интернет-пользователя небезопасно для банков, а потому необходимо искать новые способы защиты передаваемой информации, заявило Минкомсвязи на заседании в Центробанке с участием операторов "большой тройки".

Как объяснили в пресс-службе Минкомсвязи "Известиям", для снижения риска перехвата информации нужно использовать другие способы – например, применять генераторы одноразовых паролей с дополнительной криптографической защитой. Сейчас для этих целей обычно используются сервисы "Яндекс.Ключ" или Google Authenticator. Они работают так: пользователь скачивает приложение банка на свое мобильное устройство, а программа запрашивает на сайте одноразовый пароль, срок действия которого обычно ограничен по времени. Чаще всего платежные сервисы для подтверждения операции просят ввести код, отправленный в СМС.

Замглавы департамента розничных продуктов, электронного бизнеса и CRM банка ВТБ Александр Солонин не смог вспомнить за последние пять лет ни одного случая, когда использование СМС-кодов себя скомпрометировало. Он отметил, что здесь много зависит от клиента: если тот соблюдает простейшие правила банковской безопасности, т. е. хранит в тайне пароли и использует антивирусы, ему ничего не грозит. А руководитель управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева замечает, что уязвимость представляет исключительно СМС-канал. 

Аналитики по кибербезопасности также сомневаются в полной защищенности СМС-аутентификации, поскольку есть несколько способов перехватить такую информацию. Во-первых, существуют вирусы для перехвата СМС с кодами; во-вторых, по поддельному паспорту либо договорившись с сотрудником салона связи за небольшую сумму можно перевыпустить сим-карту. После получения дубликата злоумышленники активируют её в сети оператора и за пару часов забирают все деньги из интернет-банка жертвы.

Руководитель службы кибербезопасности Сбербанка Сергей Лебедь рассказал, что в будущем учреждение планирует переходить на современные инструменты генерации одноразовых паролей, позволяющие клиенту подтверждать реквизиты операции в доверенном окружении. Альтернативные способы аутентификации прорабатываются и в ВТБ24.