SMS-коди більше не захищають: експерт назвав альтернативу для бізнесу

142

OTP авторизація через SMS — це процес, при якому користувач отримує одноразовий код на свій мобільний телефон для підтвердження особи. Вона використовується багатьма компаніями — від банків до маркетплейсів.

Ця функція дозволяє значно знизити ризик крадіжки облікових записів, адже навіть якщо хтось отримає доступ до вашого постійного пароля, він не зможе здійснити авторизацію без OTP. Такий підхід також називають A2P — Application-to-Peer авторизацією.

Сьогодні SMS-коди залишаються найпоширенішим методом авторизації, але разом з цим стають все більш проблемними.

Про це Finance.ua розповів Андрій Коновальський, засновник компанії LoopMessage, який в минулому також мав досвід роботи у monobank, e-commerce проєктах «Аптека24» і аптека «Подорожник».

З його слів, серед переваг авторизації за допомогою SMS: універсальність (більшість людей у світі мають мобільні телефони) і незалежність від інтернету (щоб отримати SMS, не потрібно бути підключеним до мережі).

Разом з тим шахраї все частіше генерують фейкові OTP запити на випадкові номери телефонів, що призводить до значних фінансових витрат у бізнесу. Особливо це актуально для міжнародних компаній, де витрати на повідомлення можуть значно зрости.

Великі компанії вже відчули на собі масштаби проблеми:

● Twitter/X повідомляв про понад $60 млн щорічних втрат через шахрайство з SMS-трафіком;

● Згідно з даними месенджера Signal, у 2023 році вони витрачали 14 мільйонів доларів на рік. У випадку Telegram, у 2021 були опубліковані дані, що 25% всіх витрат також приходиться на OTP авторизацію.

Експерти з кібербезпеки відзначають, що SMS вразливі до SIM-swap атак, перехоплень і затримок у роумінгу. А також можливого перехоплення коду внаслідок соціального інжинірингу, коли людині надсилають код на телефон і намагаються змусити отримувача поділитись цим кодом зі зловмисниками.

Оператори чи SMS агрегатори часто зберігають дані про отримувачів і можуть ділитися або продавати їх стороннім компаніям.

Наприклад у 2024 році три найбільшіх мобільні оператори США (AT&T, T-Mobile, Verizon. — Ред.) були оштрафовані на $200 млн за те, що дозволяли збирати дані про геолокацію користувачів стороннім компаніям.

«Те, що ще кілька років тому було стандартом безпеки, сьогодні перетворилось на головний біль для бізнесу. SMS-OTP стали занадто дорогими та вразливими», — каже Коновальський.

Як IT-спеціалісти намагались розв’язати проблему

Протягом останніх років провідні гравці намагалися знайти баланс між зручністю та безпекою. Серед підходів:

● обмеження SMS авторизації (Twitter залишив цю опцію лише для платних акаунтів);

● перехід на застосунки-автентифікатори (Google Authenticator, Microsoft Authenticator);

● запровадження Passkeys від Apple, Google та Microsoft;

● використання альтернативних каналів — email, flash-call, месенджери;

● технічні антипампінгові фільтри.

Однак, ці рішення розв’язували проблему лише частково. Вони або скорочували кількість SMS, або ускладнювали життя користувачу. Разом з тим не змінювали економіку процесу.

P2A — новий підхід до авторизації

Коновальський зазначає, що цікавою альтернативою виглядає P2A (peer-to-application)-авторизація.

P2A працює навпаки. Сервер генерує короткий код і спеціальне посилання (наприклад, imessage:// або whatsapp://). Такий вид посилання ще називають deep link. Користувач відкриває його або додаток автоматично перенаправляє користувача — і в месенджері автоматично формується готове повідомлення з кодом. Йому лишається натиснути «Надіслати».

У цій моделі код не надсилається користувачу, а формується у сервісі, після чого користувач сам відправляє підтвердження назад через месенджер (WhatsApp, Viber, iMessage тощо).

Подібна реалізація вимагає зробити деякі зміни на стороні додатка чи вебсайту. У мобільному додатку це можна буде інтегрувати, просто застосовуючи редірект користувача за спеціально згенерованим посиланням.

У випадку з desktop-обладнанням поки що рішенням буде генерування QR-коду, який можна буде відсканувати й він одразу перенесе вас на згенерований URL.

Якщо це macOS, можна одразу використати deep link. Якщо о користувача встановлено потрібний месенджер як додаток, то він також відкриється і можна буде відправити повідомлення.

Результати

Андрій Коновальський каже, що при дослідженні цього методу одразу виокремилися цікаві результати:

● простий UX. Користувач лише натискає посилання і відправляє готове повідомлення. Немає потреби у запиті щодо номера телефона;

● метод не дозволяє зловмисникам генерувати збитки, викликаючи фейкові запити. Фактично користувачу потрібно зробити крок відправки повідомлення. Це буде вимагати значних ресурсів від зловмисників (потрібно підтримувати велику «ферму» пристроїв, якими будуть відправляти фейкові повідомлення);

● неможливо збирати персональні дані. Все тому, що майже всі месенджери використовують шифрування;

● відсутність залежності від роумінгу. Оскільки авторизація повністю працює через інтернет і не вимагає покриття оператора. Якщо користувач ініціює авторизацію з мобільного пристрою, то, швидше за все, у пристрою точно є підключення до інтернету;

● метод зменшує витрати більше ніж на 90% порівняно з класичними SMS. Модель оплати у месенджерах часто вигідніша за SMS. Наприклад, в офіційного WhatsApp Cloud API вхідні повідомлення з 2024 року безкоштовні.

«P2A фактично перевертає логіку кібербезпеки. Бізнес не платить за кожну SMS, шахраї не можуть накручувати фейкові запити, а користувачі отримують просту й безпечну взаємодію», — стверджує Коновальський.