Чтобы защититься от мошенничества, банкам необходимо отыскать иной способ аутентификации помимо верификации по SMS.
С 2020 года на фоне усиливающихся мер безопасности и под давлением регуляторных норм в Европе в особенности, банки должны предложить клиентам дополнительные уровни аутентификации, например: двухфакторную аутентификацию (2FA) и многофакторную аутентификацию (MFA). В связи с тем, что ПО для отправки текстовых сообщений относительно легко установить, SMS-верификации стала одним из наиболее распространенных методов аутентификации в банках. Однако на поверку выходит так, что верификация при помощи SMS должна уступить ведущее место другим видами аутентификации и вот почему.
Высокая стоимость
SMS — один из самых дорогих способов аутентификации. Банки тратят миллионы на работу провайдеров и на применение API платформ для защиты клиентов с помощью текстовой верификации. Если в процессе аутентификации возникают какие-то сбои, то клиенты начинают перегружать колл-центры звонками и затраты банка дополнительно возрастают. Когда держатели карт не могут завершить аутентификацию, то дополнительные расходы торговцев и эмитентов возрастают.
Безопасность
Поскольку мошенники знают, что банки всецело полагаются на SMS при совершении 2FA-транзакций, они пытаются ослабить системы безопасности и извлечь из этого выгоду. Подмена сим-карты — классический способ мошенничества, при котором киберпреступники крадут личные данные жертвы, прежде чем сообщить провайдеру об утрате или краже телефона. Затем они убеждают провайдера авторизовать и активировать номер на новой сим-карте, после чего злоумышленники могут получить доступ ко всем одноразовым паролям и аутентификационным кодам, отправленным по SMS.
Но для получения доступа к одноразовыми паролям (OTP) используется не только подмена сим-карты. В доставке OTP принимает участие множество сторон, а значит, потенциальная возможность для перехвата пароля может создаться на стороне любого участника. При помощи вируса, который загружается на телефоне жертвы, атакующие перехватывают сообщение с OTP и пересылают его другому пользователю. Поэтому банкам нужно тщательно контролировать всех участников процесса и обеспечить соблюдение всех мер безопасности, например, многофакторной аутентификации для логов и реквизитов. Чтобы снизить ущерб от потери данных, следует также маскировать телефонные номера.
Опыт обслуживания
SMS-аутентификация неудобна для клиентов. Понадобится почти 30 секунд для передачи SMS-сообщений, в то время как биометрическая аутентификация совершается практически мгновенно. SMS — не быстрый процесс. Кроме того, находящиеся в местах с плохой связью клиенты с трудом будут получать SMS, а это означает недоступность для них аутентификации такого рода. На сам процесс может влиять и тип устройства. Некоторые поколения Apple Watch не имеют сим-карты и принять SMS-сообщение не могут, если оно не приходит от зарегистрированной учетной записи iMessage/iCloud. В таком случае клиенту попросту не обойтись без телефона.
Каким может быть решение? Чтобы снизить затраты на SMS и улучшить качество обслуживания, банкам необходимо внедрять интеллектуальную аутентификацию, основанную на сервисе принятия бизнес-решений. Это поможет им создать безопасные, динамичные и персонифицированные способы аутентификации. Существуют и иные формы проверки, которые основываются на местоположении клиента, его биометрических и поведенческих данных, — они подтверждают, что клиент является тем, за кого себя выдает.
Перевод, оригинал доступен по ссылке:
https://www.atmmarketplace.com/blogs/an-open-letter-to-banks-on-sms-authentication/
