Большинство банков используют для защиты денег своих клиентов двухфакторную аутентификацию — это те самые 4–6-значные коды, которые нужны для подтверждения транзакций или входа в интернет-банк. Обычно эти разовые коды банки присылают в SMS-сообщениях. Увы, SMS далеко не самый удачный вариант, поскольку текстовые сообщения можно перехватить, сообщают эксперты "Лаборатории Касперского".

Существует несколько способов перехвата текстовых сообщений, самый экстравагантный из них — через несовершенство протокола SS7 (который по-русски называется ОКС-7), который используют операторы связи по всему миру для маршрутизации звонков и заодно для передачи SMS. В этом протоколе не предусмотрена проверка того, кто отправляет команды. И если киберпреступникам удается проникнуть в сотовую сеть, то они получают возможность перенаправлять сообщения и звонки без ведома абонента, которому они адресованы.

Схема работает так: сначала киберпреступники выясняют логин и пароль жертвы для онлайн-банкинга, например с помощью фишинга, клавиатурных шпионов или банковских троянов. Войдя в онлайн-банк, они отправляют запрос на перевод денег. Большинство современных банков требуют дополнительное подтверждение для перевода и отправляют код, чтобы убедиться, что операцию выполняет именно владелец счета.

Если банк отправляет код в SMS, то злоумышленники, пользуясь уязвимостью протокола, перехватывают сообщение и вводят код, как будто получили его на телефон жертвы. Банк переводит деньги, считая операцию абсолютно легитимной, потому что она авторизована дважды: сначала паролем, а потом — разовым кодом. В результате довольные кибермошенники беспрепятственно получают чужие деньги.

Специалисты по информационной безопасности уже давно предупреждали о теоретической возможности подобного взлома. И пару лет назад это произошло на практике: в Германии была зафиксирована массовая атака на клиентов банков по данному сценарию. А совсем недавно это случилось снова, на этот раз в Великобритании: по сообщению издания Motherboard, мишенями стали некоторые клиенты банка Metro Bank.

Всего этого можно было избежать, если бы не приверженность банков двухфакторной аутентификации на основе текстовых сообщений вместо, например, специальных приложений или даже аппаратных аутентификаторов наподобие YubiKey, пишут в блоге специалисты "Лаборатории Касперского".

Финансовые учреждения обычно не предлагают каких-либо других видов двухфакторной аутентификации, кроме SMS. Остается надеяться, что в дальнейшем ситуация изменится и число банков по всему миру, предоставляющих клиентам более широкий выбор надежных вариантов защиты, будет расти.

Эксперты советуют повсеместно применять двухфакторную аутентификацию, но при этом вместо SMS лучше пользоваться более безопасными вариантами, такими как приложения-аутентификаторы или YubiKey. Необходимо защищать свои мобильные устройства от банковских троянов и клавиатурных шпионов с помощью надежного антивирусного решения — таким образом вы не дадите им выведать ваши логины и пароли.