- Статус
- Offline
- Регистрация
- 23 Авг 2015
- Сообщения
- 1,022
- Реакции
- 561
- Депозит
- 0р
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Для аутентификации клиентов банкам стоит использовать более безопасные способы, чем введение кодов, присланных в SMS
По мнению экспертов Минкомсвязи РФ, аутентификация пользователей по SMS представляет угрозу для банков. Об этом в среду, 5 октября, сообщает издание «Известия» со ссылкой на пресс-службу ведомства.
Для аутентификации своих клиентов банкам стоит использовать более безопасные способы, чем введение кодов, присланных в SMS. В качестве альтернативы Минкомсвязи предлагает применять генераторы одноразовых паролей (TOTP) с дополнительной защитой при помощи шифрования.
Для создания одноразовых паролей можно использовать сервисы наподобие «Яндекс.Ключ» или Google Authenticator. Пользователю нужно установить на свой планшет или смартфон соответствующую программу. Она подключается к сайту и генерирует одноразовые пароли с ограниченным сроком действия. При авторизации пользователю нужно будет вводить не старый, а новый одноразовый пароль.
Как пояснила руководитель управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева, уязвимость представляет не сама технология формирования кода, а SMS-канал, по которому он доставляется от банка пользователю.
«Существует несколько способов компрометации такого канала передачи информации», - соглашается с Дегтевой Эльман Бейбутов из Solar Security. К примеру, злоумышленники могут заразить устройство пользователя трояном, способным перехватывать SMS с кодами. По словам эксперта, таким образом со счетов россиян ежегодно похищается более 50 млн руб.
Мошенники также могут перевыпустить SIM-карту с номером жертвы, воспользовавшись поддельным удостоверением личности.«Это недорого – порядка 50 тыс. рублей на черном рынке за одну SIM-карту», - поясняет Бейбутов. Злоумышленники активируют дубликат карты в сети оператора и переводят все деньги со счета жертвы на свои собственные. Далее похищенные средства обналичиваются в банкоматах.
По мнению экспертов Минкомсвязи РФ, аутентификация пользователей по SMS представляет угрозу для банков. Об этом в среду, 5 октября, сообщает издание «Известия» со ссылкой на пресс-службу ведомства.
Для аутентификации своих клиентов банкам стоит использовать более безопасные способы, чем введение кодов, присланных в SMS. В качестве альтернативы Минкомсвязи предлагает применять генераторы одноразовых паролей (TOTP) с дополнительной защитой при помощи шифрования.
Для создания одноразовых паролей можно использовать сервисы наподобие «Яндекс.Ключ» или Google Authenticator. Пользователю нужно установить на свой планшет или смартфон соответствующую программу. Она подключается к сайту и генерирует одноразовые пароли с ограниченным сроком действия. При авторизации пользователю нужно будет вводить не старый, а новый одноразовый пароль.
Как пояснила руководитель управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева, уязвимость представляет не сама технология формирования кода, а SMS-канал, по которому он доставляется от банка пользователю.
«Существует несколько способов компрометации такого канала передачи информации», - соглашается с Дегтевой Эльман Бейбутов из Solar Security. К примеру, злоумышленники могут заразить устройство пользователя трояном, способным перехватывать SMS с кодами. По словам эксперта, таким образом со счетов россиян ежегодно похищается более 50 млн руб.
Мошенники также могут перевыпустить SIM-карту с номером жертвы, воспользовавшись поддельным удостоверением личности.«Это недорого – порядка 50 тыс. рублей на черном рынке за одну SIM-карту», - поясняет Бейбутов. Злоумышленники активируют дубликат карты в сети оператора и переводят все деньги со счета жертвы на свои собственные. Далее похищенные средства обналичиваются в банкоматах.
