Как показало новое исследование, применение паролей при пользовании SMS-банкингом не защитит клиентов от мошенничества.
Сотрудники Технологического Университета Квинсленда (Queensland University of Technology, QUT) создали модель онлайн-банка и попросили участников провести транзакцию с использованием кода авторизации, полученного в SMS-сообщении.
По утверждению представителя Института Информационной Безопасности (Information Security Institute) QUT Мохаммеда АльЗомаи (Mohammed AlZomai), одна из пяти онлайн-операций подверглась очевидным атакам, несмотря на усиленную защиту с помощью SMS-пароля.
Г-н АльЗомаи пояснил, что многие банки в настоящий момент применяют SMS-пароли, когда на телефон клиента для каждой транзакции отправляют одноразовый код, который пользователь вручную вводит в компьютер.
Но клиенты не обратили внимания на то, что номер банковского счета в SMS-сообщении не совпадал с номером их счета, отметил г-н АльЗомаи. По его мнению, если такое происходит, это означает, что хакеры явно проникли в систему.
Г-н АльЗомаи рассказал, что он смоделировал два типа атаки: явную атаку, когда в номере счета были изменены пять или более цифр, и неявную атаку с изменением лишь одной цифры.
Явные атаки стали успешными в 21% случаев, а путем скрытых удалось обмануть 61% пользователей, добавил он.
"Такие результаты явно указывают на уязвимость метода SMS-авторизации, - подчеркнул он. – По данным нашего исследования, лишь 79% пользователей смогли бы избежать реальных атак, но такой уровень безопасности онлайн-банкинга не является надежным".
По словам г-на АльЗомаи, данное исследование демонстрирует клиентам необходимость сохранять бдительность при использовании онлайн-банкинга. Но он также убежден, что и банки ответственны перед своими клиентами.
"Мы надеемся, что данное исследование позволит онлайн-банкам и другим поставщикам онлайн-услуг лучше подготовиться к таким рискам", - заключил он.
