Требование подтверждения операций через СМС

rob232,

Хотелось бы спросить, использование именно СМС для подтверждений - это какое-то требование для банков от регулирующих органов, или частная инициатива банков?
Потому что СМС протокол крайне неудобен и небезопасен.

Есть и иное мнение тут
Безопасность банковских операций и платежей через Интернет

rob232:

.....
использование СМС для MFA - это дорогой, ненадежный и небезопасный анохронизм.
И давайте на этом остановимся и не будем ......

Bank of America - только смс

rob232,

Вообще, в профессинальном сообществе по этому поводу наблюдается консенсус:
использование СМС для MFA - это дорогой, ненадежный и небезопасный анохронизм.
И давайте на этом остановимся и не будем уходить в технические детали

Что за «профессиональное сообщество» и кого именно? Неужели банковское?
По ссылке выше:

Купите отдельный мобильный телефон и выпустите симку, номер которой не известен никому. Это будет ваш «секретный номер» для СМС-кодов, если какой-то сервис не позволяет защитить аккаунт другим способом.

Не все мобильные телефоны одинаковы. Можно привести следующие варианты использования полученного СМС для разного рода «идентификаций» по содержащимся в нем кодам в Интернет-банкинге (от худшего варианта к лучшему):
1) один «смартфон» для любых идентификаций через полученные СМС в Интернет-банкинге (мобильное приложение либо Интернет-сайт банка);
2) два «смартфона» для любых идентификаций через полученные СМС в Интернет-банкинге: получение СМС на один смартфон (номер симки в котором «привязан» к Интернет-банкингу), а ввод кодов из него – через другой смартфон (мобильное приложение либо Интернет-сайт банка);
3) получение СМС на смартфон либо кнопочный телефон с возможностью выхода в Интернет (номер симки в которых «привязан» к Интернет-банкингу) и услуга «передача данных» на SIM картах которых отключена, а ввод кодов из полученного СМС – через ПК (стационарный либо ноутбук) через Интернет-сайт банка;
4) получение СМС на кнопочный телефон без возможности выхода в Интернет (номер симки в котором «привязан» к Интернет-банкингу) и услуга «передача данных» на SIM картах которого отключена (для надежности ), а ввод кодов из полученного СМС – через ПК (стационарный либо ноутбук) с принятыми мерами по безопасности на нем через Интернет-сайт банка.
Очевидно, что первый вариант – самый распространенный и самый небезопасный, а последний – самый безопасный, но и малораспространенный на практике.
Инфа
Какой телефон лучше купить кнопочный?
Анонимность и безопасность онлайн помощь..

Но ведь белорусские банки часто требуют подтверждения через СМС и на все другие операции: для входа в онлайн приложение, для переводов, для открытия депозита и т.д. Это уже совершенный нонсенс.
Дорогие банки, может быть вы займетесь этим вопросом?
Дайте возможность клиентам выбирать канал для MFA и 3DS.
Не замыкайте все на СМС!
Это неудобно ни вам ни клиентам.

Безусловно, прочитав вышенаписанное, все банки немедленно начнут выполнять данное пожелание
Уважаемый, причитания не помогут
Из шапки темы по ссылке выше:

МВД указало на дыры у белорусского «интернет-банкинга»

Там СМС вообще не упоминается
Зато упоминается это:

Иногда услуга «интернет-банкинг» была не нужна клиентам, а навязывалась сотрудниками банков, которые устанавливали реквизиты доступа, не соответствующие правилам информационной безопасности, говорится в письме.

Каким «правилам информационной безопасности»? Что это за «правила», кем разработаны, когда и кем утверждены, где применяются и являются ли обязательными?
Возможно эти: СТБ ISO/IEC 27001-2016 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»?
Подготовте и направте в МВД РБ и НБ РБ обращение с описанием проблем и предложениями по их решению, выложите сюда черновик - обсудим
А в целом:

Не тормози – включай мозги

rob232:

Дык это вы мне рассказываете? . Я еще видел места, где карточки для оплаты "прокатывают"
А еще некоторые банки и учреждения требуют отправлять им факс
Но это же не значит, что надо копировать худшие устаревшие практики в белорусских банках.

Вам, а насчёт смс - в Америке считают , что смс - самый надёжный на данный момент способ подтверждений.
СМС - не устаревшая практика, просто более надёжного способа на данный момент не существует.
Американцы конечно пытаются найти что-то другое, вот и эксперементируют над банковскими системами других стран, в том числе и над РБ.

rob232:

Кто так в Америке считает?

Там не только так считают, но так и происходит

rob232:

Может быть ссылочку?

Так сами зайдите в раздел описания безопасности какого-нибудь банка Америки.

Обычно коды подтверждения операций присылаемые через SMS действуют очень короткое время либо до выхода пользователя из интернет-банкинга.
Злоумышленникам чтобы воспользоваться надо подключится между пользовательским компьютером и его провайдером (MITM атака). Далее каким-то способом перехватить sms с кодом подтверждения операций. Это всё очень сложно в реальности.
Проще позвонить жертве под видом "сотрудника КГБ из нацбанка" и далее известной схеме.

rob232:

Я лишь призываю белорусские банки внедрять альтернативные методы аутентификации.

У некоторых есть возможность аутентификации с помощью электронной цифровой подписи.

rob232,

Я лишь призываю белорусские банки внедрять альтернативные методы аутентификации. Т.е. выступаю исключительно как клиент.
Для меня, как клиента, это - серьезный фактор в выборе банка.

Призыв к банкам на форуме в Интернете? Оригинально
Обращение не пробовали направиить и получить на него ответ, который здесь можно выложить? Есть специальный вид обращения - предложение
Mitryj,

А злоумышленник, даже зная ваши логины и пароли и перехватив этот вам ненавистный смс, даже в интернет-банк зайти не сможет.

Чем этот случай отличается от случаев, когда клиенты сообщают коды из СМС злоумышленникам и затем они без проблем заходят в интернет-банк?
Какая разница, был СМС перехвачен и прочитан либо коды из СМС были сообщены клиентом злоумышленнику?

Mitryj,

Этот случай отличается тем, что зная коды из смс, а также логин и пароль, злоумышленник в Америке не может зайти в интернет-банк, а в РБ может.

Вот это новость
По ссылке на тему выше:

МВД указало на дыры у белорусского «интернет-банкинга»
...

В большинстве краж злоумышленники использовали зарубежные IP-адреса, что свидетельствует либо о том, что преступники находятся за рубежом, либо используются средства анонимизации.
...
В связи с этим МВД рекомендовало банкам повысить безопасность использования системы «интернет-банкинг». В частности, силовики просят запретить установку простых паролей, в том числе одинакового имени пользователя и пароля, исключить возможность регистрации клиентов с одинаковыми именами пользователей в рамках одного банка, а также предусмотреть установку по умолчанию доступа к кабинету пользователя только с белорусских «айпишников» и обязательную смену пароля при первом входе в кабинет пользователя.

Неужели эта рекомендация выполнена всеми банками РБ?
Хотя, клиент может в любой момент изменить эту установку при необходимости либо без нее либо вместо него эти изменения может сделать кто-то иной

Mitryj,

Разговор был про смс если что

И вопрос был связан с информацией, содержащейся в СМС.
Повторю вопрос еще раз:

Неужели эта рекомендация выполнена всеми банками РБ?

MD:

Mitryj:

Этот случай отличается тем, что зная коды из смс, а также логин и пароль, злоумышленник в Америке не может зайти в интернет-банк, а в РБ может.

злоумышленник, который не знает, что такое прокси и впн - это вообще как?

впн и прокси в данной ситуации вообще не причём, просто в америке зная пароли, логины и перехватив смс никак не войдёт в интернет-банк, ни с впн, ни находясь в Америке.
просто там существует ещё привязка к определённому оборудованию, которому предоставляется доступ, и в этой схеме логин/смс/оборудование, само смс имеет существенную роль.