Прощай, СМС? Почему необходимо отказаться от СМС и чем их заменить

Ещё лет 7–8 назад ведущие компании по информационной безопасности говорили о рисках использования кодов из СМС-сообщений для подтверждения банковских операций, однако далеко не все игроки отказались от этого устаревшего инструмента. Сейчас же перейти на более удобные, дешёвые и безопасные средства подтверждения транзакций кредитные организации подталкивает НСПК, ЦБ и даже Верховный суд. 

МИР УХОДИТ ОТ СМС

В начале июня в СМИ появилось множество публикаций о том, что Национальная система платёжных карт (НСПК) намерена простимулировать банки отказаться от морально устаревшей двухфакторной аутентификации клиентов с использованием одноразовых кодов из СМС. Избрала НСПК для этого метод «кнута»: с октября 2023 года комиссия для банков составит 20 коп. за одно подтверждение (если на сайт зашли через интернет-браузер) и 10 коп.(если вход был через мобильное приложение). В НСПК объяснили журналистам своё решение простимулировать банки отказаться от СМС тем, что есть более дешёвый и безопасный способ подтверждения транзакций. Действительно, в 3D Secure 2.0 (протокол, используемый как дополнительный уровень безопасности при оплате картами онлайн) есть два сценария подтверждения оплаты: с помощью СМС (challenge) и без него (frictionless), когда банк распознал устройство, через которое клиент хочет совершить платёж, как доверенное. При frictionless-аутентификации используется более 100 уникальных признаков, которые крайне сложно подделать, невозможно перехватить или иным способом предоставить к ним доступ злоумышленникам для совершения несанкционированного платежа.

Намерение НСПК минимизировать использование СМС не является ноу-хау, скорее это следование общемировым трендам. Так, ещё в 2019 году шесть крупнейших банков Германии (Postbank, Raiffeizen, Volksbank, Deutsche Bank, Commerzbank, Consorsbank) отказались от использования СМС-кодов из-за уязвимости в протоколе SS7. Эта уязвимость позволяет злоумышленникам создавать виртуальную сим-карту и переадресовывать на неё СМС.

Более того, на сегодняшний день правила платёжной директивы ЕС (PSD2) запрещают проведение аутентификации клиентов с использованием СМС-паролей именно из-за ненадёжности данного способа. От СМС-подтверждений отказываются также в Турции, Египте, Малайзии — там уже появились соответствующие нормативные документы.

ПОЧЕМУ СМС ОПАСНЫ

Проблема с безопасностью СМС не только в протоколе SS7. Там целый спектр рисков (см. схему): код в СМС известен банку, в передаче кода задействована третья сторона, канал связи небезопасен из-за уязвимости протокола SS7, перевыпуск sim-карты по поддельной доверенности позволяет злоумышленникам получить код вместо клиента.

Кроме того, на сегодняшний день почти все убытки от фишинга и значительная часть социальной инженерии — результат использования СМС. Например, Банк России раскрыл результаты по операциям без согласия клиента, прошедшим через систему быстрых платежей (СБП) за I квартал 2023 года, — 12 тысяч инцидентов на общую сумму 552 млрд руб., из которых возврат средств был в 11,6% случаев.

Почему такое стало возможно? Потому что во многих банках при платеже через СБП (путём сканирования QR-кода или использовании deeplink) для подтверждения платежа приходит короткое СМС почти без подробностей об операции, клиент подтверждает платёж почти не глядя. При поддельных реквизитах средства уходили злоумышленникам. Атаки с использованием социальной инженерии, в которых непременно нужен код из СМС, известны даже ученикам младшей школы. И тем не менее они до сих пор результативны: более 50% всех инцидентов — атаки с использованием социальной инженерии.

СУД ТОЖЕ ПРОТИВ СМС

Интересный тренд складывается в судебной практике относительно правомерности использования СМС для подтверждения транзакций, а именно подтверждения оформления кредитов онлайн. В начале 2023 года в Верховном суде рассматривался спор клиента с банком: по звонку «службы безопасности» человек оформил потребительский кредит онлайн, а затем перевёл его на «безопасный счёт». То есть классика жанра: атаки с использованием социальной инженерии, вины банка нет, клиент возвращает деньги банку. Но Верховный суд решил иначе: так как подтверждение оформления кредита было с помощью СМС, не содержащей полной информации об операции, клиент мог не понимать, что он делает. В итоге суд встал на сторону клиента, мошеннический кредит стал убытками банка.

Второй схожий кейс Верховный суд рассматривал уже летом 2023 года и вновь разрешил клиенту не возвращать взятый и переведённый на «безопасный счёт» кредит на том лишь основании, что СМС о подтверждении операции была на английском языке. Ненадёжно.

Для тех, кто не в курсе, — Верховный суд является высшей судебной инстанцией по гражданским делам в России, нижестоящие суды руководствуются его решениями при вынесении собственных по схожим вопросам. И потому велика вероятность, что нижестоящие суды будут также считать СМС недостаточно информативным средством подтверждения транзакций и в итоге все взятые по указке мошенников кредиты и переводы на «безопасные счета» станут убытками тех банков, кто всё ещё использует этот способ подтверждения операций. Впихнуть же в СМС все условия по кредиту, чтобы избежать подобных кейсов, у кредитных организаций физически не получится как минимум из-за ограничения количества знаков в одном сообщении.

АЛЬТЕРНАТИВА СУЩЕСТВУЕТ

Отказаться от СМС-подтверждений возможно. Решений для подтверждения транзакций, которые будут обеспечивать авторство и целостность финансовых транзакций, не очень много, но они всё же есть.

С точки зрения принципа они могут основываться на симметричной криптографии (MAC-калькуляторы) и на асимметричной криптографии с закрытым ключом (полноценные средства подписи). С точки зрения реализации — быть аппаратными и программными.

Асимметричная криптография обладает неоспоримым плюсом: ключ подписи хранится у клиента и никто, кроме него, не может им воспользоваться. Это как минимум существенно упрощает разбор конфликтных ситуаций, как максимум — более безопасный вариант.

ПЛЮСЫ И МИНУСЫ

Рассмотрим плюсы и минусы существующих решений.

Аппаратные криптокалькуляторы основаны на симметричной криптографии. Надёжны, но пользоваться ими катастрофически неудобно: необходимо руками вбивать пин-код, номер счёта, сумму, генерировать код, вбивать его в поле подтверждения и т. д. Ещё один минус — дорогое удовольствие. Самые дешёвые стоят от 10 долларов, плюс нужно выстраивать логистику до клиентов (опять дорого), держать склад (дорого) и т. д.

Программные генераторы кодов подтверждения для смартфонов. Также основаны на симметричной криптографии. Могут быть чуть удобнее, чем аппаратные (часть действий автоматизируется), обычно представляют собой отдельно стоящее мобильное приложение. Цена значительно ниже, чем на аппаратные устройства, распространение проще.

Аппаратные USB-токены. Основаны на асимметричной криптографии. Из минусов — дорого (см. криптокалькуляторы), нет возможности работы с мобильными устройствами (за исключением новых моделей с NFC). С точки зрения безопасности также неидеально, так как у токена нет экрана, пользователь не видит, что подписывает. В 2010–2015 годах у клиентов банков украли много миллиардов рублей именно атакой с автоматической подменой реквизитов.

«Мобильная» электронная подпись (основана на асимметричной криптографии). Это приложения для смартфона, которые объединяют в себе преимущества всех вышеперечисленных:

• безопасно (закрытый ключ только у клиента, отображение документа на экране перед подписанием, нет кода, который можно было бы ввести на фишинговый сайт или сообщить мошеннику и т. д.);
• удобно (для подписания нужен один тап по экрану, доступ к функциям через TouchID или FaceID, может быть встроено прямо в приложение банка);
• омниканально (можно подтверждать операции, которые создаются в мобильном банке, интернет-банке, при звонке в кол-центр и т. д.);
• экономично (по сравнению с любыми аппаратными устройствами или СМС-подтверждением).

Таким образом, банкам есть из чего выбирать.

ЭКОНОМИЯ ПРИ ОТКАЗЕ ОТ СМС

Отдельные специалисты кредитных организаций уверены, что переходить от СМС на другие средства подтверждения платежа на круг выйдет дороже. Но это не так.

Для примера рассчитаем экономию при переходе с СМС-подтверждений операций на мобильную электронную подпись на примере небольшого розничного банка с клиентской базой в 200 тысяч человек. В среднем на среднестатистического розничного клиента банк тратит на отправление ему СМС порядка 420 руб. в год, что в пересчёте на клиентскую базу даёт порядка 84 млн в год по всему банку. Если же мы возьмём небольшой банк для корпоративных клиентов, то сумму расходов на СМС можно смело умножать на 10 (если не на 20, юрлица значительно чаще проводят операции).После внедрения мобильной цифровой подписи и отказа от СМС нашему абстрактному банку удастся сэкономить от 60 млн в год.

ПОЧЕМУ PUSH НЕ ВАРИАНТ

Казалось бы, есть вариант перейти на бесплатные push и сэкономить все 84 млн. Но этот вариант вообще не вариант на самом деле. Рush, как и СМС, уязвимы на всём пути своего жизненного цикла. И менять один ненадёжный инструмент подтверждения транзакций на другой вряд ли оптимальный путь. Тем более что замена будет недолгой.

Риски использования СМС и push для подтверждения транзакций видит также и российский регулятор. Так, в положении ЦБ 683-п, вступившем в силу с октября 2022 года, Банк России ставит перед собой и финансовым рынком задачу уйти от концепции «кража у клиента — это проблема клиента». Все понимают, что «кодики» уже не обеспечивают никакой защиты «от слова совсем», но мотивации переходить на решения нового поколения у многих не было, потому что убытки от мошенничества на банки, по сути, не ложились. Сейчас же позиция ЦБ обозначена предельно конкретно: кто не будет выполнять требования, будет нести ответственность. Ну и плюс почему не использовать хороший зарубежный опыт (тот же PSD2). Все технологии для этого на рынке есть.