Путешественникам и параноикам на заметку. В России есть банки без СМС-паролей.

Онлайн-банкинг в России один из самых развитых в мире. Кто бы что бы ни говорил про отсталость России, однозначно что-то говорить нельзя однозначно. Да, Россия отсталая страна по ряду направлений в экономике, но не в цифровых сервисах. В таких сферах как "Электронное правительство", "Онлайн-банкинг", "Банковские карты", "Сотовая связь", "Интернет", "Электронная цифровая подпись" российские компании и органы власти (в особенности Федеральная налоговая служба) держат пальму первенства и практически вне досягаемости для своих коллег из других стран. Правда, всё равно есть нерешённые проблемы. Стоит помнить, что чего-то идеального не существует в нашем мире.

Проблемы СМС-кодов.

Большая аудитория, высокая развитость онлайн-банкинга сделали онлайн-банкинг неотъемлемой частью жизни россиян, чем-то таким, что само собой разумеется, как электричество, водопровод и канализация в домах. Не нужно куда-то идти, что-то заполнять, писать и отправлять, всё делается буквально за пару кликов. Только вот с безопасностью так никто ничему и не научился.

10 лет назад на "Хабре" вышла статья про перехват СМС-паролей, на примере украинского оператора сотовой связи. Статья выпущена специалистами компании Positive Technologies, которая занимается кибербезопасностью. Специалисты компании Asterisk, которая занимается проектированием и построением систем связи, на своём форуме принялись обсуждать новость. Это был год 2014-й.

В 2015 году, вкладчика Альфа-банка обворовали, изготовив дублика СИМ-карты. Схема стара, но она была применена для хищения денег без ведома не то, что бы вкладчика, без ведома банковских служащих! Похищено около ₽300 000.

2016 год. Взлом детища Павла Дурова - мессенджера"Телеграм". Свой мессенджер Дуров разработал когда покинул "Вконтакте". Он позиционировал своё новое детище как соедство безопасного общения с шифрованием по уникальному алгоритму. Всё бы ничего, но учётка пользователя регистрировалась на номер телефона. Это и сыграло роковую роль в общении оппозиционных активистов Албурова и Козловского. Их переписка была похищена, т.к. учётная запись одного из собеседников была взломана перехватом СМС-кодов для входа путём атаки на сигнальный протокл SS7 (он же ОКС-7). Это как выставить массивный бетонный забор с колючей проволокой сверху, заминировать все подходы, но оставить ключ от ворот под ковриком.

В это же время в ФРГ началась эпидемия краж денег со счетов по такой же схеме.

Прошло 8 лет после инцидента с оппозиционными активистами, 10 лет после публикации Positive Technologies на "Хабре", воз и ныне там. Банки как пользовались, так и пользуются СМС-кодами, физлица и бизнес-клиенты как пользовались, так и пользуются СМС-кодами. Потому, что это многим из нас удобно, а банкам не надо заморачиваться над системами безопасности. Многие банки отказались от похожих на калькулятор генераторов паролей, OTP-токенов, карт/таблиц с кодами, заменив всё на пресловутые СМС, которые не безопасны, а с 2020 года имеют свойство скачкообразно дорожать. Даже если глянуть с позиции финансовой, то те деньги, что тратятся на СМС-трафик, можно было пустить на разработку решений для безопасности онлайн-банкинга для физлиц.

Про безопасность, дороговизну СМС-кодов можно говорить долго. Есть ещё категории путешественников, цифровых кочевников и экспатов. Для них эти СМС-коды настоящая пытка. Стоит отъехать от Родины подальше, сразу пропадает с ней сотовая связь, появляется роуминг. Роуминг в российских реалиях это почти синоним слову "дорого". Роуминг бывает не везде, как и не везде в других странах может ловить сотовая связь. Запросто может возникнуть ситуация когда потребуется что-то оплатить, перевести у себя на Родине. Подключаетесь вы к Wi-Fi точке доступа, заходите на страницу своего банка, но что-то сделать уже не можете. Не можете порой даже войти в свой личный кабинет. Ваш сотовый телефон превратился в тыкву.

Банки без СМС и СИМ-карт.

Есть банки, которые решили не идти на поводу нынешнему тренду. Это "АВАНГАРД", "Промсвязьбанк" и "ЮниКредит Банк". Услугами этих банков можно пользоваться даже не имея СИМ-карты и мобильного телефона. Правда далеко от их отделений не получится уехать надолго. Всё же это подспорье, пусть и маленькое.

"АВАНГАРД" - частный акционерный коммерческий банк с многолетней историей. Операции можно подтвердить сеансовыми ключами с карты сеансовых ключей. Карта похожа на пластиковый проездной билет, на обороте 112 пятизначных сеансовых ключей, спрятанных под защитным слоем, который легко стирается. Банк может дать аж 3 таких карточки, где 1 активна, 2 в резерве. По исчерпании активной автоматически "подцепится" резервная. Помимо карт с ключами есть карта МИР с дисплеем и встроенным генератором паролей. Логин и пароль от интернет-банка дадут в отделении на бумаге. После ввода система попросит вас придумать новые логин и пароль. Банк в целом очень дружелюбен к новым и действующим клиентам.

Из "плюсов" можно отметить: выгодный курс валюты, низкие комиссии за платежи и переводы, даётся аж 3 карты, есть карты с милями, карта МИР с дисплеем. 3D-Secure работает без СМС-паролей.

Из "минусов" можно отметить: банк есть не везде, не во всех регионах есть его отделения (он есть в Санкт-Петербурге, а в Ленобласти его уже нет, он есть в Тверской области, а в Псковской его уже нет). Если отделения и есть, то, как правило в городах-региональных центрах, в райцентрах его не бывает. Помимо отделений нет ещё и обширной сети банкоматов в регионах или городах присутствия. Малая линейка вкладов, отсутствие накопительного счёта, нет кредитных карт с длинным льготным периодом, банк не предоставляет и никогда не предоставлял потребкредиты - тоже "минусы".

"Промсвязьбанк" - некогда частный, а ныне государственный акционерный коммерческий банк с многолетней историей. Операции можно подтвердить разовыми кодами с таблицы разовых кодов (так называется аналог "авангардовской" карты сеансовых ключей). Карта похожа на пластиковый проездной билет, на обороте 114 шестизначных разовых кодов, спрятанных под защитным слоем, который легко стирается. Банк может дать лишь одну такую таблицу. Логин для онлайн-банка дадут в отделении на бумаге. После ввода система попросит вас придумать новые логин и пароль и подтвердить это разовым кодом из таблицы. Банк в целом очень дружелюбен к новым и действующим клиентам.

Из "плюсов" можно отметить: выгодный курс валюты, низкие комиссии за платежи и переводы, есть кредитная карта с длинным льготным периодом, есть накопительный счёт, есть линейка вкладов, можно дистанционно оформить потребительский кредит. Так же можно отметить, что банк ещё и брокер, и управляющая компания (активами). 3D-Secure можно вообще отключить если она вам надоест.

Из "минусов" можно отметить: банк есть не везде, не во всех регионах есть его отделения. Если отделения и есть где, то в основном в городах-региональных центрах, в райцентрах отделений может и не быть. Помимо отделений нет ещё и обширной сети банкоматов в регионах или городах присутствия.

"ЮниКредит Банк" -иностранный акционерный коммерческий банк с многолетней историей. Операции можно подтвердить одноразовыми ключами с карты сеансовых ключей. Карта похожа на рекламную визитку, на обороте 96 шестизначных разовых кодов, спрятанных под защитным слоем, который трудно стирается. Банк может дать лишь одну такую карту. Логин для онлайн-банка дадут в отделении на бумаге, а вот временный пароль будут доставлять по СМС. После ввода система попросит вас придумать новые логин и пароль и подтвердить это одноразовым кодом. Банк не очень дружелюбен к новым клиентам и был таким всегда.

Из "плюсов" можно отметить: есть накопительный счёт, есть линейка вкладов, легко и без комиссии можно платить в пользу поставщиков услуг из интернет-банка.

Из "минусов" можно отметить: банк есть не везде, не во всех регионах есть его отделения. Если отделения и есть где, то в основном в городах-региональных центрах, в райцентрах отделений нет. Помимо отделений нет ещё и обширной сети банкоматов в регионах или городах присутствия. Очень сложно получить потребительский кредит или кредитную карту, даже если вы официально работаете и являетесь "зарплатным" клиентом. Крайне ограниченная линейка дебетовых карт, карты дорогие в обслуживании. 3D-Secure работает только на СМС-паролях, даже если у вас есть карта сеансовых ключей.

Стоит помнить, что "ЮниКредит Банк" уходит из России, но "застрял в воротах" из-за правительственных мер по снижению оттока капиталов и прочного врастания в финансовую систему России. Рано или поздно он уйдёт из России выполнив требования властей, да и свою миссию.

Заключение.

Удобность СМС-паролей противоречит их безопасности. В работе с деньгами главное - безопасность. Об этом стоит помнить. Не нужно тешить себя иллюзиями в духе "Я - не оппозиционный активист", "А чего с меня взять?", "Я - не миллионер". Кибермошенников не интересует ваша политическая позиция, они обязательно найдут что с вас можно взять и возьмут если очень захотят. Возьмут с вас миллион или тысячу - это их не интересует, их преступная деятельность поставлена на поток.

Другим банкам стоит пересмотреть свой подход к безопасности и отделить мух от котлет - сотовую связь от банкинга. Тем более, что это 2 разные сферы экономики, объединяет их то, что они все - услуги, но это разные услуги. Ставку следует делать даже не на мобильные телефоны с их приложениями-токенами или аутентификаторами, а на самостоятельные устройства (OTP-токены, USB-токены, генераторы паролей) или источники кодов для подтверждения операций (карты сеансовых ключей, таблицы разовых кодов). Большой напрасностью будет думать, что такие средства устарели.

Стоит так же помнить про закон "О защите прав потребителей", где его 16-я статья запрещает в обязательном порядке приобретать другие услуги при приобретении одних.