Один пароль для входа в банковский аккаунт уже давно не справляется со своей функцией. Данные личных кабинетов регулярно попадают в дарквеб после взломов сервисов и доходят до злоумышленников с помощью обычной социальной инженерии, причем, по оценкам различных исследовательских отчетов, через скомпрометированную авторизацию проходит около двух третей атак на финансовые сервисы. Банки и МФО по этой причине давно перешли к модели с двумя независимыми уровнями защиты: первый опирается на знание клиента (логин с паролем), а второй — на владение телефоном, на который в момент конкретного действия приходит короткий код.
В статье расскажем, как работает SMS-подтверждение операций в финансовой сфере, на каких сценариях оно основано и что технически стоит за надёжной доставкой кода клиенту.
Скомпрометированный пароль в банковском приложении работает как украденный ключ от квартиры без сейфа: злоумышленник просто заходит и делает, что захочет. Он видит историю операций, инициирует перевод на свою карту, меняет настройки безопасности и выводит лимиты на максимум. Этот сценарий реализуется ежедневно по всему миру, поскольку 60–70 % пользователей повторяют одни и те же пароли на разных сервисах, а взлом одного сайта открывает доступ ко всем остальным.
Все меняется, когда в системе защиты появляется второй рубеж — телефон. Мошенник даже при наличии логина и пароля не сможет подтвердить операцию, поскольку SMS-код приходит на тот номер, который банк уже зафиксировал в профиле клиента. Украинские банки используют защиту банковского счета с помощью SMS по этой логике, где код является обязательным элементом независимо от надежности пароля.
С технической точки зрения логика выглядит просто. Когда клиент инициирует действие в личном кабинете или приложении (вход, перевод, изменение реквизитов, настройка лимитов и т. д.), система банка обращается к провайдеру через API и запрашивает отправку на номер телефона клиента короткого числового кода.
Код одновременно сохраняется в базе банка с привязкой к конкретной сессии и ограниченным сроком действия от 60 до 120 секунд. Когда клиент вводит SMS-код подтверждения в форму, бэкенд сверяет введенное значение с тем, что сохранил, и разрешает продолжение операции только в случае полного совпадения.
С 2023 года в Украине действует обязательное требование НБУ о усиленной аутентификации клиентов при онлайн-операциях, из-за чего двухфакторная аутентификация с помощью SMS остается базовым стандартом для всех банков, имеющих лицензию. Норма не оставляет места для дискуссий типа «нам это не нужно», поскольку без неё финучреждение просто не может полноценно обслуживать онлайн-канал.
Сценарии использования охватывают практически все действия, при которых банку необходимо удостовериться в личности инициатора операции. Наиболее распространенные из них:
Во всех этих сценариях SMS-код выступает в качестве доказательства того, что клиент в момент операции держит в руках свой телефон и дает согласие на конкретное действие. Без этого доказательства банк формально не имеет юридических оснований провести операцию, что заложено уже в правилах платежных систем Visa и Mastercard.
На рынке есть альтернативы SMS. Это мобильные приложения с push-уведомлениями, аппаратные токены, биометрия с помощью отпечатка пальца или сканера лица, а также системы на основе электронных подписей. Ни одна из них, однако, не обеспечивает такого охвата аудитории, как короткий код в обычном текстовом сообщении. Приложение нужно установить, подключить к интернету и регулярно обновлять, токен легко потерять или он может разрядиться, биометрия не работает на простых кнопочных телефонах пожилых клиентов, а сервисы с электронными подписями требуют отдельной регистрации и технических знаний.
Доставка простого OTP-кода в SMS не зависит от наличия интернета, заряда устройства, наличия смартфона как такового или установленного банковского приложения, поэтому канал работает везде, где есть хоть какая-то мобильная связь: от современного флагмана до десятилетней Nokia без камеры. Однако в сегменте, где двухфакторная аутентификация в банке обслуживает миллионы клиентов одновременно, единственный канал с реальным стопроцентным охватом клиентской базы — это SMS. Остальные каналы существуют как дополнение для тех, кто готов и умеет ими пользоваться.
У этого канала есть свои уязвимости, и финучреждения знают о них не хуже злоумышленников. Назовем самые известные:
Все эти риски реальны, однако большинство из них перекрывается дополнительными уровнями защиты со стороны банка при правильной архитектуре систем. В вакууме SMS-аутентификация действительно не даёт 100% гарантии, тогда как в сочетании с поведенческим анализом, лимитами на операции, проактивным мониторингом нетипичной активности и обязательным подтверждением с помощью биометрии при рискованных операциях уровень защиты выходит на вполне приемлемую для финансовой сферы планку.
Если посмотреть на работу системы безопасности в крупном банке изнутри, видно, что уровень защиты операции варьируется от простого SMS-кода до полной многофакторной проверки в зависимости от суммы, контекста, профиля клиента и текущих индикаторов риска.
При небольших типовых операциях (оплата коммунальных счетов, перевод между собственными картами, пополнение мобильного, регулярный платеж по подписке) часто достаточно одного SMS-кода. При увеличении суммы или отклонении от привычных шаблонов (новое устройство, другая геолокация, необычное время суток, неожиданно крупный перевод и т. п.) система запрашивает дополнительное подтверждение, например, push-уведомление в мобильном приложении. При критических операциях, таких как смена номера телефона, вход из другой страны, перевод всей доступной суммы или добавление нового постоянного получателя, банк включает максимальный уровень проверки с использованием биометрии через приложение и дополнительным звонком оператора, если клиент когда-либо запрашивал звонок-флешкол в качестве резервного канала.
Поведенческий анализ здесь является равноценным барьером наряду с самим кодом. Алгоритмы в фоновом режиме отслеживают, как клиент обычно заходит в приложение, с каких устройств, в какое время, какие типичные суммы переводит, каким получателям. Любое резкое отклонение от этого профиля запускает усиленную проверку, даже если формально клиент ввёл правильный код.
С технической точки зрения SMS-2FA работает только при условии, что код действительно доходит до клиента в тот момент, когда тот его ожидает. Задержка в 30 секунд при подтверждении онлайн-оплаты приводит к тому, что код приходит уже после истечения TTL, операция отменяется автоматически, клиент повторно инициирует платеж и получает вторую попытку с новым кодом, который снова может опоздать.
Каждый банк ежедневно получает звонки с вопросом, почему не приходит SMS с кодом подтверждения в момент подтверждения операции, причем ответ на него в большинстве случаев лежит на технической стороне провайдера. На скорость и стабильность доставки влияет несколько параметров работы этого провайдера:
Когда речь идет о массовых SMS с кодами подтверждения в объемах десятков тысяч сообщений в час, вопрос резервирования и мониторинга становится критическим. Провайдер без собственной инфраструктуры в Украине и без прямых контрактов с операторами при такой нагрузке просто не выживает.
Техническая реализация SMS-аутентификации для финансового учреждения осуществляется посредством интеграции с провайдером, имеющим опыт работы с критически важными каналами. Базовые требования к такому сотрудничеству:
На украинском рынке сервисы SMS-рассылок для финансовой сферы соответствуют всем четырём критериям стандартного тарифного плана для корпоративных клиентов. Вопрос выбора сводится к проверке документации провайдера, тестированию скорости доставки на реальных номерах перед запуском, согласованию юридических условий сотрудничества и подписанию SLA с гарантированными показателями доставки.
Подтверждение операций через SMS обеспечивает финансовому учреждению практический уровень защиты, который срабатывает именно в тех случаях, когда пароль взломан или клиент стал жертвой фишинга. Канал имеет технические ограничения, однако в сочетании с поведенческим анализом, гибкими лимитами, резервными методами подтверждения и профильными алгоритмами выявления нетипичной активности эти ограничения становятся управляемыми.
Надёжность системы с точки зрения клиентского опыта зависит от двух факторов: скорости доставки кода на телефон и того, насколько корректно банк настроил правила запроса этого кода в зависимости от риска операции. Первую часть обеспечивает провайдер с прямыми подключениями к операторам, вторую — внутренняя команда безопасности банка, причем обе стороны не могут работать отдельно. SMS-код останется базовым инструментом цифровой безопасности в украинских банках и МФО в ближайшие годы, пока альтернативные каналы не достигнут уровня охвата мобильной связи.
Подпишись и стань гуру в маркетинге!