Многие регуляторы признали SMS-сообщения небезопасным каналом связи. Организация European Banking Authority (EBA) в июле 2019 года уже приняла директиву Payment Services Directive 2 (PSD2), где фактически требует ухода от SMS-подтверждений платежей. Но что использовать взамен?
Российские банки, находясь на ИТ-передовой, в качестве замены решили применять механизмы упрощенной электронной подписи. Для этого при совершении транзакции из банка на мобильное устройство пользователя придет запрос с реквизитами платежа и суммой списания. При нажатии кнопки «Подтвердить» пользователем будет сгенерирован документ подтверждения транзакции, который подписывается одноразовой подписью, которую возможно выпустить только на конкретном мобильном устройстве пользователя, где запущено и куда привязано ПО клиент-банка.
Технология уже работает в МКБ и банке «ФК Открытие» для части клиентов. ВТБ, «Тинькофф Банк» и «Росбанк» используют алгоритмический подход к подтверждениям. Рассматривается ко внедрению технология электронной подписи в «Сбербанке», «Банке ЗЕНИТ, «Газпромбанке», АО «ДОМ.РФ» и «Новикомбанке».
Эксперты группы компаний Angara комментируют риски безопасности для платежей, одобрение которых реализовано таким образом:
-
Атаки сетевого перехвата сообщений-подтверждений или входа с других мобильных устройств в ПО клиент-банк теряют актуальность.
-
Снижаются риски социальной инженерии с передачей кода злоумышленнику (когда техническая сторона фишинга реализована более сложно, и у злоумышленника есть самостоятельный доступ к механизмам проведения платежей).
-
Но надо понимать, что большая часть социальной инженерии реализована через добровольное подтверждение и проведение пользователем полностью всех операций ввиду ложного доверия к злоумышленнику. Поэтому в данном случае механизм подтверждения не важен, и этот риск цифровой подписью не снижается.
-
Также остаются риски при потере и краже мобильного устройства. В данном случае необходимо своевременно сообщать в банк о потере устройства, чтобы он мог отозвать сертификаты и привязку авторизации мобильного устройства для проведения платежных транзакций. Важно использовать достаточно длинные коды доступа в ПО клиент-банк или отпечаток пальца для авторизации.