Один пароль для входу в банківський акаунт давно перестав справлятися зі своєю функцією. Дані до особистих кабінетів регулярно зливаються в дарквеб після зламів сервісів і потрапляють до зловмисників через звичайну соціальну інженерію, причому за оцінками різних дослідницьких звітів через скомпрометовану авторизацію проходить близько двох третин атак на фінансові сервіси. Банки і МФО з цієї причини давно перейшли до моделі з двох незалежних рубежів: перший спирається на знання клієнта (логін з паролем), а другий на володіння телефоном, куди в момент конкретної дії приходить короткий код.
У статті розкажемо, як працює SMS-підтвердження операцій у фінансовій сфері, на яких сценаріях воно тримається і що технічно стоїть за надійною доставкою коду до клієнта.
Скомпрометований пароль у банківському застосунку працює як вкрадена картка від квартири без сейфа: зловмисник просто заходить і робить, що захоче. Він бачить історію операцій, ініціює переказ на свою картку, змінює налаштування безпеки та виводить ліміти на максимум. Цей сценарій реалізується щодня по всьому світу, оскільки 60-70% користувачів повторюють однакові паролі на різних сервісах, а злам одного сайту відкриває доступ до всіх інших.
Усе змінюється, коли в обороні з'являється другий рубіж – телефон. Шахрай навіть з повним набором логіна і пароля не зможе підтвердити операцію, бо короткий код приходить на той номер, який банк уже зафіксував у профілі клієнта. Українські банки використовують захист банківського акаунту через СМС за цією логікою, де код є обов'язковим шаром незалежно від сили пароля.
У технічному плані логіка виглядає нескладно. Коли клієнт ініціює дію в кабінеті або застосунку (вхід, переказ, зміна реквізитів, налаштування лімітів тощо), система банку звертається до провайдера через API і просить надіслати на номер телефону клієнта короткий числовий код.
Код одночасно зберігається в базі банку з прив'язкою до конкретної сесії та обмеженим часом життя від 60 до 120 секунд. Коли клієнт вводить SMS-код підтвердження у форму, бекенд звіряє введене значення з тим, що зберіг, і дозволяє продовження операції тільки в разі повного збігу.
З 2023 року в Україні діє обов'язкова вимога НБУ до посиленої автентифікації клієнтів при онлайн-операціях, через що двофакторна аутентифікація СМС залишається базовим стандартом для всіх банків з ліцензією. Норма не залишає простору для дискусії на кшталт «нам це не треба», оскільки без неї фінустанова просто не може повноцінно обслуговувати онлайн-канал.
Сценарії використання покривають практично всі дії, де банк має переконатися в особі ініціатора операції. Найпоширеніші з них:
В усіх цих сценаріях SMS-код виступає як доказ, що клієнт у момент операції тримає у руках свій телефон і дає згоду на конкретну дію. Без цього доказу банк формально не має юридичної підстави провести операцію, що закладено вже у правилах платіжних систем Visa та Mastercard.
На ринку є альтернативи SMS. Це мобільні застосунки з push-повідомленнями, апаратні токени, біометрія через відбиток або лицевий сканер, а також системи на основі електронних підписів. Жодна з них, утім, не дає такого охоплення аудиторії, як короткий код у звичайному текстовому повідомленні. Застосунок треба встановити, підключити до інтернету і регулярно оновлювати, токен легко загублюється або розряджається, біометрія не працює на простих кнопкових телефонах літніх клієнтів, а сервіси з електронними підписами вимагають окремої реєстрації та технічного розуміння.
Доставка простого OTP-коду в SMS не залежить від наявності інтернету, заряду пристрою, смартфона як такого або встановленого банківського застосунку, тому канал працює всюди, де є хоч якийсь мобільний зв'язок: від сучасного флагмана до десятирічної Nokia без камери. Однак у сегменті, де двофакторна аутентифікація в банку обслуговує мільйони клієнтів одночасно, єдиний канал з реальним стовідсотковим охопленням бази – це SMS. Решта існує як доповнення для тих, хто готовий і вміє ним користуватися.
Канал має свої вразливості, і фінустанови знають про них не гірше за зловмисників. Назвемо найвідоміші:
Усі ці ризики реальні, проте більшість з них перекривається додатковими шарами захисту з боку банку при правильній архітектурі систем. У вакуумі SMS-аутентифікація дійсно не дає 100% гарантії, тоді як у поєднанні з поведінковим аналізом, лімітами на операції, проактивним моніторингом нетипової активності та обов'язковим підтвердженням біометрією на ризикових операціях рівень захисту виходить на цілком прийнятну для фінансової сфери планку.
Якщо подивитися на роботу системи безпеки у великому банку зсередини, видно, що рівень захисту операції змінюється від простого SMS-коду до повної багатофакторної перевірки залежно від суми, контексту, профілю клієнта та поточних ризикових індикаторів.
При невеликих типових операціях (оплата комунальних рахунків, переказ між власними картками, поповнення мобільного, регулярний платіж за підпискою) часто достатньо самого SMS-коду. За зростання суми або відхиленні від звичних патернів (новий пристрій, інша геолокація, незвична година доби, неочікувано великий переказ тощо) система запитує додаткове підтвердження, наприклад, push у мобільному застосунку. На критичних операціях на кшталт зміни номера телефону, входу з нової країни, переказу всієї доступної суми або додавання нового регулярного отримувача банк вмикає максимальний рівень перевірки з біометрією через застосунок і додатковим дзвінком оператора, якщо клієнт колись просив дзвоник-флешкол як резервний канал.
Поведінковий аналіз тут є рівноцінним рубежем поряд із самим кодом. Алгоритми у фоновому режимі відстежують, як клієнт зазвичай заходить у застосунок, з яких пристроїв, у який час, які типові суми переказує, до яких отримувачів. Будь-яке різке відхилення від цього профілю запускає посилену перевірку, навіть якщо формально клієнт ввів правильний код.
З технічного боку SMS-2FA працює тільки за умови, що код реально доходить до клієнта в момент, коли той його чекає. Затримка у 30 секунд при підтвердженні онлайн-оплати призводить до того, що код приходить вже після закінчення TTL, операція скасовується автоматично, клієнт повторно ініціює платіж і отримує другу спробу з новим кодом, який знову може запізнитися.
Кожен банк отримує щодня дзвінки з питанням, чому не приходить СМС з кодом підтвердження в момент підтвердження операції, причому відповідь на нього в більшості випадків лежить на технічній стороні провайдера. На швидкість і стабільність доставки впливає кілька параметрів роботи цього провайдера:
Коли йдеться про масові СМС з кодами підтвердження в обсягах десятки тисяч повідомлень на годину, питання резервування і моніторингу стає критичним. Провайдер без власної інфраструктури в Україні і без прямих контрактів з операторами в такому навантаженні просто не виживає.
Технічна реалізація SMS-автентифікації для фінустанови проходить через інтеграцію з провайдером, який має досвід роботи з критичними каналами. Базові вимоги до такої співпраці:
На українському ринку сервіси SMS-розсилок для фінансової сфери закривають усі чотири пункти на стандартному тарифному плані для корпоративних клієнтів. Питання вибору зводиться до перевірки документації провайдера, тестування швидкості доставки на реальних номерах перед запуском, узгодження юридичних умов співпраці та підписання SLA з гарантованими показниками доставки.
Підтвердження операцій через SMS дає фінансовій установі практичний рівень захисту, який спрацьовує саме там, де пароль зламано або клієнт став жертвою фішингу. Канал має технічні обмеження, проте у комбінації з поведінковим аналізом, гнучкими лімітами, резервними методами підтвердження та профільними алгоритмами виявлення нетипової активності ці обмеження стають керованими.
Надійність системи у клієнтському досвіді залежить від двох речей: швидкості доставки коду на телефон і того, наскільки коректно банк налаштував правила запиту цього коду залежно від ризику операції. Першу частину закриває провайдер з прямими підключеннями до операторів, другу забезпечує внутрішня команда безпеки банку, причому обидві сторони не можуть працювати окремо. SMS-код залишається базовим інструментом цифрової безпеки в українських банках і МФО на найближчі роки, доки альтернативні канали не дозріють до рівня охоплення мобільного зв'язку.
Підпишись та стань гуру в маркетингу!