Эксперты компании OneSpan предупреждают, что новая версия iOS угрожает безопасности онлайн-покупок. Анонсированное в июне автозаполнение кодов подтверждения в iOS 12 может затруднить контроль списания средств и создать возможность для MitM-атак.

Компания Apple анонсировала очередную версию своей мобильной ОС месяц назад на конференции WWDC. Одна из новых функций автоматизирует ввод кода, который приходит онлайн-покупателям на телефон для подтверждения оплаты с карты.

Смартфоны на базе iOS 12 смогут распознавать цифровую комбинацию в таких SMS и автоматически предлагать ее пользователю для заполнения на странице интернет-магазина. В результате не придется переключаться между приложениями, запоминать цифры и исправлять опечатки при вводе.

По словам ИБ-экспертов, новая механика подрывает основы технологии безопасных транзакций, которая требует, чтобы клиент ознакомился с подробностями списания. Если система автоматически копирует код подтверждения, избавляя пользователя от необходимости читать SMS, невозможно удостовериться, что со счета спишется корректная сумма и что деньги уйдут по правильному адресу.

Изменение процедуры, заявляют исследователи, грозит покупателям множеством рисков — от фишинговых махинаций до подмены SMS через атаку посредника. Они также отмечают, что необходимость корректной транзакционной аутентификации прописана в отраслевых стандартах безопасного онлайн‑банкинга, в частности, европейской Второй директиве об оказании платежных услуг (Revised Payment Services Directive, PSD2).

Эксперты призывают банковские организации и интернет-магазины не торопиться с поддержкой функции автозаполнения. Для подтверждения списания средств следует использовать гарантированно надежные методы с применением биометрических технологий и push-уведомлений.

«Транзакционная аутентификация на основе SMS может [еще долго] оставаться важным элементом в онлайн-покупках, ведь [в случае некорректных операций] банки переносят ответственность на клиентов, ошибающихся при проверке платежных данных. Справедливо ли это в отношении пользователей, которые ведут себя так, как их к тому подталкивает развитие технологий — это и философский, и юридический вопрос», — заключают авторы исследования.

Россияне могут вернуть похищенные кибермошенниками средства, если обратятся в банк в течение суток после кражи. В соответствии с ФЗ «О национальной платежной системе», если клиент кредитной организации не нарушил правила использования карты (например, не хранил ее вместе с PIN‑кодом, не сообщал мошенникам код подтверждения и т. д.), то ему компенсируют потерю в срок от 30 до 60 дней.

В июле Минфин РФ разработал законопроект, который обяжет банки отчитываться обо всех киберинцидентах и блокировать подозрительные счета на срок до двух дней. Документ также содержит требования к обеспечению безопасности платежных операций — разделение сред подготовки и подтверждения платежных поручений, обязательное проведение пентестов в соответствии со стандартами ФСТЭК.

Категории: Главное, Мошенничество