SMS-коды больше не защищают: эксперт назвал альтернативу бизнесу

142

OTP авторизация через SMS — это процесс, при котором пользователь получает одноразовый код на свой мобильный телефон для подтверждения личности. Она используется многими компаниями — от банков до маркетплейсов.

Эта функция позволяет значительно снизить риск кражи аккаунтов, ведь даже если кто-то получит доступ к вашему постоянному паролю, он не сможет осуществить авторизацию без OTP. Такой подход также называют A2P — Application-to-Peer авторизацией.

Сегодня SMS-коды остаются наиболее распространенным методом авторизации, но вместе с этим становятся все более проблемными.

Об этом Finance.ua рассказал Андрей Коновальский, основатель компании LoopMessage, в прошлом также имевший опыт работы в monobank, e-commerce проектах «Аптека24» и аптека «Подорожник».

По его словам, среди преимуществ авторизации посредством SMS: универсальность (у большинства людей в мире есть мобильные телефоны) и независимость от интернета (чтобы получить SMS, не нужно быть подключенным к сети).

Вместе с тем мошенники все чаще генерируют фейковые OTP запросы на случайные телефонные номера, что приводит к значительным финансовым затратам в бизнесе. Особенно это актуально для международных компаний, где расходы на сообщения могут значительно возрасти.

Крупные компании уже ощутили на себе масштабы проблемы:

● Twitter /X сообщал о более $60 млн ежегодных потерь из-за мошенничества с SMS-трафиком;

● Согласно данным мессенджера Signal, в 2023 году они тратили 14 миллионов долларов в год. В случае Telegram, в 2021 году были опубликованы данные, что 25% всех затрат также приходится на OTP авторизацию.

Эксперты по кибербезопасности отмечают, что SMS уязвимы к SIM-swap атакам, перехватам и задержкам в роуминге. А также возможному перехвату кода в результате социального инжиниринга, когда человеку отправляют код на телефон и пытаются заставить получателя поделиться этим кодом со злоумышленниками.

Операторы или SMS агрегаторы часто хранят данные о получателях и могут делиться или продавать их сторонним компаниям.

Например, в 2024 году три крупнейших мобильных оператора США (AT&T, T-Mobile, Verizon. — Ред.) были оштрафованы на $200 млн за то, что позволяли собирать данные о геолокации пользователей сторонним компаниям.

«То, что еще несколько лет назад было стандартом безопасности, сегодня превратилось в головную боль для бизнеса. SMS-OTP стали слишком дорогими и уязвимыми», — говорит Коновальский.

Как IT-специалисты пытались решить проблему

В последние годы ведущие игроки пытались найти баланс между удобством и безопасностью. Среди подходов:

● ограничение SMS авторизации (Twitter оставил эту опцию только для платных аккаунтов);

● переход на приложения-аутентификаторы (Google Authenticator, Microsoft Authenticator);

● введение Passkeys от Apple, Google и Microsoft;

● использование альтернативных каналов — email, flash-call, мессенджеры;

● технические антипампинговые фильтры.

Однако эти решения решали проблему лишь частично. Они либо сокращали количество SMS, либо усложняли жизнь пользователю. Вместе с тем, не меняли экономику процесса.

P2A — новый подход к авторизации

Коновальский отмечает, что интересной альтернативой выглядит P2A (peer-to-application)-авторизация.

P2A работает наоборот. Сервер генерирует короткий код и специальную ссылку (например, imessage:// или whatsapp://). Такой вид ссылки еще называют deep link. Пользователь открывает его или приложение автоматически перенаправляет пользователя — и в мессенджере автоматически формируется готовое сообщение с кодом. Ему остается нажать «Отправить».

В этой модели код не отправляется пользователю, а формируется в сервисе, после чего пользователь сам отправляет подтверждение через мессенджер (WhatsApp, Viber, iMessage и т. п.).

Подобная реализация требует произвести некоторые изменения на стороне приложения или веб-сайта. В мобильном приложении это можно будет интегрировать, просто применяя пользовательский редирект по специально сгенерированной ссылке.

В случае с desktop-оборудованием пока решение будет генерировать QR-код, который можно будет отсканировать и он сразу перенесет вас на сгенерированный URL.

Если это macOS, можно использовать deep link. Если пользователь установил нужный мессенджер в качестве приложения, то он также откроется и можно будет отправить сообщение.

Результаты

Андрей Коновальский говорит, что при исследовании этого метода сразу выделились интересные результаты:

● простой UX. Пользователь только нажимает на ссылку и отправляет готовое сообщение. Нет необходимости в запросе номера телефона;

● метод не позволяет злоумышленникам генерировать убытки, вызывая фейковые запросы. Фактически пользователю следует сделать шаг отправки сообщения. Это потребует значительных ресурсов от злоумышленников (нужно поддерживать большую «ферму» устройств, с которых будут отправлять фейковые сообщения);

● невозможно собирать персональные данные. Все потому, что почти все мессенджеры используют шифрование;

● отсутствие зависимости от роуминга. Поскольку авторизация полностью работает через Интернет и не требует покрытия оператора. Если пользователь инициирует авторизацию с мобильного устройства, то, скорее всего, у устройства точно есть подключение к Интернету;

● метод уменьшает затраты более чем на 90% по сравнению с классическими SMS. Модель оплаты в мессенджерах часто выгоднее SMS. Например, у официального WhatsApp Cloud API входящие сообщения с 2024 года бесплатны.

«P2A фактически переворачивает логику кибербезопасности. Бизнес не платит за каждую SMS, мошенники не могут накручивать фейковые запросы, а пользователи получают простое и безопасное взаимодействие», — утверждает Коновальский.