July 11, 15:48

​​Немецкие банки начнут отказываться от авторизации клиентов через одноразовые SMS. Причина — директива ЕС, определяющая правила работы платежных сервисов. С сентября европейские банки будут обязаны проводить все транзакции через механизмы строгой аутентификации пользователей (SCA — strong customer authentication). Кроме SMS слабыми считаются также аутентификация через email и ввод реквизитов с карты.

Что не так с авторизационными SMS? Их легко перехватить через уязвимость SS7 — системы служебных протоколов, с помощью которых телеком-операторы управляют телефонными сетями. Некоторые недобросовестные компании предоставляют доступ к SS7 за деньги. Получив доступ к сети SS7, злоумышленники могут перехватывать SMS, следить за перемещениями абонентов и прослушивать их разговоры.

Также злоумышленники могут угнать SIM-карту пользователя, обратившись в поддержку оператора и обманув сотрудника поддержки с помощью социального инжиниринга.

Что ещё почитать по теме:

FAQ по видам двухфакторной авторизации

Как банки используют поведенческую биометрию для дополнительной верификации пользователей

Как хакеры воруют биткоины, угоняя номера телефонов криптоинвесторов

Как легко взломать кошелёк на криптобирже, зная номер телефона и имя пользователя

Как работает уязвимость SS7