SMS-коды опасны при оплате?
05.10.2016 | Александр Б.
Минкомсвязи России решило, что SMS-подтверждение операций при оплате банковской картой уже недостаточно безопасно. Поэтому ведомство настаивает на реализации новых методов идентификации.
Например, вместо SMS-кодов можно применять генераторы одноразовых паролей с системой криптографической защиты.
В то же время подтверждение оплаты по SMS является сейчас самым распространенным способом идентификации. Теоретически, опасность перехвата кода может скрываться в канале передачи текстового сообщения. Однако в реальности таких ситуаций не случалось ни разу на протяжении целых 5-ти лет - начиная с 2011 года.
Пример SMS-подтверждения транзакции от МКБ:
Достаточно безопасными уникальные SMS-коды считает и заместитель руководителя ВТБ Александр Солонин. Разумеется, если пользователь соблюдает и другие меры контроля: не сохраняет пароли в формах авторизации сайтов, пользуется антивирусом и т.д.
При этом, возвращаясь к Минкомсвязи и генераторам одноразовых паролей, добавлю, что подобные сервисы разрабатывались различными компаниями, в т.ч. и российскими. Из этого можно прийти к выводу, откуда «растут ноги» у внезапно возникшей по мнениюю министерства уязвимости подтверждений авторизаций и транзакций по SMS.
Дополнение
Подумав, решил, что опасения Минкомсвязи все же не лишены оснований (хотя и коммерческой составляющей тоже). Помните, регистрируя, например, мессенджер на смартфоне или планшете, вы получаете SMS-код подтверждения, который мобильное устройство тут же само забирает и вводит в нужное поле, завершая за вас процесс. Теперь представьте, что вы ввели где-то когда-то на смартфоне данные своей банковской карты. Вполне возможно, что вирус их тут же себе сохранил. Далее он вполне может с помощью какого-либо вредоносного кода (приложения) совершить оплату с вашей карты, получив и подставив уникальный SMS-код подтверждения транзакции в фоновом режиме. И канал получения сообщения тут уже ни при чем. Разве такие мои мысли не могут быть реальны?