ИБ-эксперт Верестникова: отказываться от SMS-сообщений для подтверждения банковских операций не страшно
Изображение: Daria Nepriakhina (unsplash)
ИБ-эксперт Дарья Верестникова заявила, что отказываться от SMS-сообщений для подтверждения банковских операций не страшно. Об этом она рассказала агентству «Известия».
Несколько дней назад в сети появилась новость о том, что Национальная система платежных карт намерена начать брать деньги с банков за использование двухфакторной аутентификации клиентов при оплате в интернете. Иными словами, небольшая сумма с банков будет браться, если применяется СМС-подтверждение для проведения онлайн-платежей.
Специалист по информационной безопасности отметила, что отказ от SMS-сообщений не является страшным. В настоящее время существует множество других способов подтверждения платежей, которые гораздо более безопасны и эффективны. Например, в 3D Secure 2.0, протоколе, который применяется в качестве дополнительного уровня безопасности при оплате карточками онлайн, присутствует сразу два сценария подтверждения оплаты – с помощью SMS и без такого сообщения.
Дарья Верестникова напомнила, коды из SMS-сообщений могут быть перехвачены злоумышленниками.
При реализации frictionless-процесса аутентификации никакого СМС клиенту не приходит, потому что банк самостоятельно определяет устройство. При реализации этого метода применяются свыше 100 уникальных признаков, которые невероятно сложно подделать киберпреступникам и которые точно нельзя передать мошенникам, использующим методики социальной инженерии.
Кроме того, как отмечает Дарья Верестникова, на территории Германии ранее проводилось огромное количество атак со стороны киберпреступников именно на SMS-канал, чтобы перехватывать коды подтверждений. После таких инцидентов безопасности подобный способ подтверждения трансакций был запрещен на территории этой страны.
Эксперт указала на то, что на данный момент практически 95% убытков от фишинговых атак и большая часть атак с применением социальной инженерии – это результат применения SMS-сообщений для подтверждения различных операций. Поэтому, отказ от использования SMS-сообщений для подтверждения может быть только положительным шагом в обеспечении кибербезопасности.
