Немецкие банки отказались от поддержки авторизации по одноразовому SMS-коду

Несколько немецких банков объявили о планах отказаться от использования одноразовых SMS-паролей в качестве метода авторизации и подтверждения транзакции. Причиной отказа от одноразовых SMS-паролей является новое законодательство ЕС, которое вступит в полную силу 14 сентября 2019 года. Handelsblatt сообщает, что Postbank откажется от поддержки одноразовых SMS-паролей в августе, Raiffeisen Bank и Volksbank осенью, а Consorsbank сделает это к концу года. Deutsche Bank и Commerzbank также планируют отказаться от поддержки, но пока не объявили сроки. Другие банки, такие как DKB и N26, никогда не использовали данную технологию, а ING пока не делал публичных заявлений о своих планах. В 2015 году ЕС пересмотрела первую директиву 2007 года о платежных сервисах (набор правил, регулирующий online-платежи в ЕС) и выпустила обновленную версию PSD 2, требующую реализацию надежных механизмов аутентификации клиентов. По оценкам Европейской службы банковского надзора (The European Banking Authority, EBA), которая в минувшем июне представила нормативы технических стандартов в рамках PSD2, текущие реализации механизмов авторизации по одноразовым SMS-кодам не соостветствуют новым требованиям. За последние несколько лет возросло количество атак с использованием метода «SIM swapping», благодаря которому мошенник может обмануть оператора связи и перенести номер телефон пользователя на другую SIM-карту, получив доступ к online-счетам пользователя в банках и на криптовалютных биржах. Специалисты кибербезопасности уже несколько лет предостерегают от использования одноразовых SMS-паролей, но не из-за атак методом «SIM swapping». Проблема заключается в присущих и не поддающихся исправлению недостатках протокола ОКС-7 (SS7), которая используется для настройки большинства телефонных станций по всему миру. Уязвимости в этом протоколе позволяют злоумышленникам незаметно похитить номер телефона пользователя, даже без ведома провайдер, позволяя отслеживать его владельца, а также авторизовать online-платежи или запросы на вход в систему. Эксперты по кибербезопасности рекомендуют использовать приложения-аутентификаторы или аппаратные токены вместо аутентификации на основе SMS. Европейская служба банковского надзора (European Banking Authority – EBA) является независимым органом Европейского Союза (ЕС), который осуществляет пруденциальное регулирование и надзор в европейском банковском секторе. Целью EBA является поддержание финансовой стабильности в ЕС и обеспечение целостности, эффективности и упорядоченности функционирования банковского сектора.