Эксперты по информационной безопасности постоянно критикуют столь любимую российскими банками доставку уведомлений и одноразовых паролей с помощью СМС-сообщений — слишком много возможностей она дает злоумышленникам. Портал Банки.ру выяснял, как банки защищаются от мошенничества методом подмены сим-карты.
Доставка одноразовых кодов по СМС представляет собой откровенную дыру в информационной безопасности, о чем мы уже писали. Сама по себе идея дополнить систему безопасности дополнительным фактором аутентификации вполне хороша. Но безопасность системы определяется как раз по самому слабому звену, и в российских реалиях им могут стать именно СМС-пароли.
Хотя операторы связи пытаются упорядочить свои процедуры перевыпуска сим-карт, в некоторых салонах связи до сих пор можно уговорить сотрудника заменить карту без документов, предъявив копию паспорта или банально подкупив. С учетом того, что удачный взлом чьего-либо интернет-банка может принести злоумышленникам круглую сумму, им есть резон даже устроить своего человека в салон связи.
Мы задались целью выяснить, многие ли российские банки отказались от использования СМС-паролей или защитили своих клиентов от подмены сим-карты. Взяв из нашего рейтинга интернет-банков 30 лучших, мы обзвонили их колл-центры. Выяснилось, что 29 из них используют СМС-пароли, хотя некоторые предлагают и альтернативные факторы аутентификации — от скретч-карт до криптокалькуляторов.
Тем не менее отнюдь не все банки легкомысленно относятся к безопасности своих систем ДБО. Многие крупные банки внедрили метод защиты от подмены карты, заключающийся в проверке изменения уникального идентификатора сим-карты, который свидетельствует о перевыпуске карты.
Как и в других подобных случаях, дополнительная безопасность сопряжена с дополнительными неудобствами. Перевыпустить сим-карту может и сам клиент — для смены формата карты (с micro-SIM на nano-SIM), при ее утере или выходе из строя. Кроме того, стимулировать добровольный перевыпуск сим-карт должна отмена «мобильного рабства»: с января 2014 года операторов связи законодательно обязали сохранять за абонентом номер при переходе между операторами связи. Теперь ваш любимый номер не удерживает вас в «рабстве» у не устраивающего вас оператора. Вы можете легко перейти с МТС на «Билайн», с «Билайна» на МегаФон, снова на МТС — ваш номер будет послушно следовать за вами.
Если ваш банк заботливо следит за идентификатором вашей сим-карты, первая же попытка работы с интернет-, СМС- или мобильным банком может вас обескуражить: система не даст выполнить ни одной операции. Начальник отдела развития и инноваций интернет-банка Альфа-Банка Юрий Чернышев рассказал, как это происходит в их системе: «При входе в интернет-банк либо при попытке совершить какую-либо операцию дистанционно наша система запрашивает идентификатор сим-карты с номером клиента у оператора связи. Если идентификатор отличается от заданного в системе, дистанционное обслуживание клиента блокируется». Заметим, что даже нахождение в роуминге не поможет вам скрыться от всевидящего ока вашего банка: идентификатор сим-карты сразу становится известен вашему домашнему оператору.
Столкнувшись с такого рода блокировкой, не теряйтесь: во всех случаях вам достаточно позвонить в центр поддержки клиентов банка, чтобы идентифицироваться с помощью паспортных и персональных данных. Сотрудник центра поддержки пропишет идентификатор вашей новой сим-карты в системе и разблокирует для вас все ДБО-сервисы.
Все это прекрасно, когда работает. К сожалению, так бывает не всегда и не везде. Судя по отзывам в «Народном рейтинге», блокировка при смене сим-карты может просто не работать или действовать с большой задержкой (в недели и даже месяцы), как это нередко бывает, в частности, у Сбербанка. Можно привести в качестве примера случай, когда клиент банка лишился 100 тыс. рублей — его карта была незаконно перевыпущена, но дистанционные сервисы какое-то время исправно действовали. А ведь счет в таких случаях идет на минуты. Очевидно, что такая защита ни от чего не защищает, а лишь добавляет неудобств.
Юрий Чернышев не смог пролить свет на возможные причины такой нестабильной работы защитной системы. По его словам, «на скорость выполнения проверки идентификатора сим-карты способно влиять качество канала связи, но тут может идти речь о секундах, не более». В пресс-службе Сбербанка порталу Банки.ру отказались давать комментарии по данному вопросу, сославшись на то, что такая информация напрямую влияет на безопасность услуги.
Итоги нашего мини-исследования неутешительны: из 30 опрошенных банков 29 используют доставку кодов по СМС и лишь пять из них (помимо Сбербанка) имеют привязку к идентификатору сим-карты. Это значит, что подавляющее большинство отечественных пользователей дистанционного банковского обслуживания все так же не защищены от старой проверенной схемы мошенничества.
Михаил ДЬЯКОВ, Banki.ru
Банк | Привязка к идентификатору сим-карты |
СБ Банк (Судостроительный Банк) | нет |
Банк24.ру | нет |
«Авангард» | нет |
Промсвязьбанк | да |
«Открытие» | нет |
«Санкт-Петербург» | нет |
Петербургский Социальный Коммерческий Банк | нет |
«Транспортный» | нет |
Океан Банк | нет |
Московский Кредитный Банк | нет |
Уральский Банк Реконструкции и Развития | нет |
ВТБ 24 | нет |
Кредит Европа Банк | нет |
Инвесткапиталбанк | нет |
ЮниКредит Банк | — |
СМП Банк | нет |
НОМОС-Банк | да |
Альфа-Банк | да |
Абсолют Банк | нет |
2Т Банк | нет |
ОТП Банк | нет |
Кредит Урал Банк | нет |
Сберкред Банк | нет |
Ситибанк | да |
Собинбанк | нет |
Банк ИТБ | нет |
«Тинькофф Кредитные Системы» | да |
Национальный Банк «Траст» | нет |
«Уралсиб» | нет |
«Союз» | нет |
Комментарии
1. Банк Авангард действительно не использует привязку к ИД сим карты, но фактор аутентификации через СМС в Авангарде является дополнительным, основной фактор аутентификации КПК(карта переменных кодов). Аутентификация через СМС используется только как дополнительный фактор при переводе в ИБ сумм от 600 т.р. (тройная аутентификация КПК+СМС+ЭП(электронная подпись)
2. Промсвязьбанк на сегодняшний день как приоритетный фактор аутентификации предлагает клиентам КПК.
3. Не являюсь клиентом ВТБ24, но насколько знаю, КПК то же там в приоритете.
Уровень информационной безопасности надо рассматривать в комплексе с учетом многих факторов, в том числе например надежность аутентификации по телефону, а то бывает СМС с привязкой к ИД карты вроде бы все "хорошо", а подтверждение смены сим-карты по телефону совсем "дрявое", и привязка не спасает. Например, зная только паспортные данные можно сменить привязку сим карты.
Может кто из клиентов меня поправит и дополнит по ситуации в других банках из приведенной таблички.
Обратите внимание на это:
СМС-пароли удобны, и многие клиенты, даже при наличии альтернативы, выбирают этот способ аутентификации. К сожалению.
Очень жаль, что теперь доступ к своим деньгам идет через дополнительного посредника (мобильного оператора). За границей теперь нет доступа и при любых пробелмах оператора тоже. И безопасность смс-кодов намного ниже КПК.
фактор аутентификации через СМС в Авангарде является дополнительным, а не заменяющим КПК
т.е. злоумышленник должен завладеть КПК клиента в любом случае!!!
Банк Авангард, не дает клиентам свободы выбора, и это правильно
Так например в первом по списку СБ-банке КПК используется для авторизации (как физиков, так и юриков), и никаких СМС. А, например, в Московском Кредитном у меня ещё пока КПК (причём выдают новые без вопросов), а у жены уже - чистые СМС-ки, хотя интернет-банк один и тот же. Возможно если бы она настояла, ей тоже могли бы дать КПК, раз система их поддерживает.