SMS-сообщения, в которых банки и платежные сервисы отправляют пользователям одноразовый пароль, могут стать легкой добычей злоумышленников. Представители Минкомсвязи предупреждают банкиров о необходимости внесения изменений в способы аутентификации пользователей. Их поддерживают многие специалисты в вопросах информационной безопасности.
Уязвимость каналов, по которым отправляются SMS-сообщения с одноразовыми кодами известна давно. Кроме того, опасными в плане возможного воровства информации являются компьютеры и мобильные устройства пользователей, которые не всегда принимают требуемые меры безопасности. Поэтому Минкомсвязи на совместном с банкирами совещании предложил использовать другие средства, в том числе генераторы одноразовых паролей (TOTP). Подобных сервисов с надежной защитой, по словам чиновников, существует достаточно много. К примеру, Google Authenticator или «Яндекс.Ключ», которые позволяют генерировать одноразовые коды с ограниченным сроком действия.
В свою очередь, в «ВымпелКом» уверены, что использование SMS-паролей достаточно надежно. В компании не помнят случаев взлома соответствующего канала. Представители других сотовых операторов, а также ведущих банков не столь уверены в безопасности традиционных методов аутентификации, поэтому используют стандарты MasterCard и Visa, разрабатывая собственные генераторы паролей. К примеру, у ВТБ для этого есть приложение Токен ВТБ24-онлайн».
Специалисты по сетевой безопасности утверждают, что благодаря перехвату SMS-сообщений со счетов россиян злоумышленники ежегодно воруют около 50 миллионов рублей.