Кто из банков просит код из смс в 2025 году
Примерно с 2018 года некоторые банки начали запрашивать код из смс. Обычно это требовалось для подтверждения личности клиента банка при обращении в колл-центр. В 2025 году я задался вопросом –, а какие банки так делают до сих пор? Прежде чем поделиться результатами своих исследований, давайте попробуем понять откуда взялись эти коды из смс.
Немного теории
Код из смс это есть ни что иное как одноразовый пароль (он же one-time password или otp). Подразумевается, что он выдается один раз и используется тоже один раз. Я уже не первый год участвую в разработке opensource фрэймворка spring security — платформы для построения систем авторизации и аутентификации. В процессе работы над задачами часто приходится общаться с участниками сообщества, в том числе с опытными специалистами по веб-безопасности мирового уровня, такими как Роб Уинч и Джо Гранджа. Обсуждения на тему безопасности одноразовых паролей уже являются моветоном, так как в целом все сходятся во мнении, что их безопасность оставляет желать лучшего.
Но гораздо более важен другой аспект — даже если коды из смс технически безопасны и их невозможно перехватить, взломать либо каким то образом скомпрометировать, сам факт того, что кто-то их просит у пользователя это уже нехороший признак. Пользователь настраивается на определенный паттерн в своем поведении и начинает считать, что это нормально. Как только сотрудники контактных центров крупных банков начали запрашивать коды из смс при общее с клиентами, это тут же стало модным трендом. При этом руки мошенников развязались, и они быстро начали эксплуатировать этот момент.
Лично меня, как разработчика, больше интересует другой вопрос — как так получается, что код из смс превращается в «открывашку» для банковских продуктов клиента? Ведь в большинстве случаев мошенники просят назвать только код, никто не просит назвать пароль, либо какую-нибудь другую конфиденциальную информацию. Достаточно четырех либо шести цифр, и с их помощью мошенники получают все что им нужно.
Одноразовые пароли в основном используются для многофакторной аутентификации — когда помимо пароля (либо чего-то еще) используется еще один дополнительный способ аутентификации. Помимо второго фактора, коды из смс могут использоваться для так называемой strong customer authentication — это когда платежную операцию нужно дополнительно как-то подтвердить. Начиная с 2019 все европейские банки обязали подтверждать все финансовые операции с помощью дополнительного фактора. Директива получила название PSD2. Нам всем это знакомо — в большей части банковских приложений при определенных условиях с нас могут потребовать ввести код из смс или push-уведомления. Как так получилось, что появился еще и третий случай использования otp — это подтверждение личности клиента при обращении в службу поддержки — для меня загадка. Возможно это произошло из-за незнания Ouath 2.0/OpenID Connect — там есть отдельный процесс, который называется Client-Initiated Backchannel Authentication Flow. И это явно более надежно и безопасно, чем попытка изобрести свои методы безопасности.
Эксперимент
Я выбрал пять банков:
При общении со службой поддержки клиентов этих банков у меня были разные легенды: проблемы со входом в приложение, не отображается список счетов, приходят странные уведомления и т.д. При этом я не могу гарантировать, что нет случаев, которые могут дать другой результат. Некоторые из участников нашего эксперимента утверждают, что сотрудники банка никогда не просят код из смс — например ВТБ утверждает, что работники банка «Не требуют коды из СМС для отмены якобы совершенных «мошеннических операций», нечто подобное утверждает и сбер. А вот Т-Банк предупреждает, что «иногда их может запросить сотрудник банка, но только если клиент позвонил в банк сам», что изначально добавило некоторую предвзятость с моей стороны.
Честно говоря, я ожидал худшего, но оказалось, что Сбер, Т-Банк, Ozon Банк и ВТБ больше так не делают — сотрудники службы поддержки клиентов этих банков не стали просить у меня никаких кодов из смс. Опять-таки, возможно мои легенды были «слабыми» и в каких-то случаях такое действительно возможно. Было бы хорошо узнать про такие случаи. Отличился только Райффайзенбанк — сначала сотрудник колл-центра попросил меня назвать кодовое слово, которое, разумеется, я не помню. После чего последовала просьба назвать код из push-уведомления. Да, в 2025 году есть как минимум один банк, который упорно продолжает просить коды из смс у своих клиентов.
Выводы
Несмотря на то, что ситуация значительно улучшилась, системы безопасности многих банков вызывают много вопросов. Часто они построены не на базе IT-стандартов безопасности. Я не берусь утверждать, что такие системы априори небезопасны, тут ситуация иная — нет никаких гарантий, что они безопасно, в то время как стандарты RFC, которые разрабатывают крупные IT-гиганты, имеют гораздо более высокий уровень безопасности и надежности.
Друзья, подписывайтесь на мой телеграм-канал. Интересный контент из мира IT-технологий, нейросетей, информационной безопасности. Также я публикую свое мнение, как разработчика технологии веб-секьюрити. Буду рад каждому подписчику, присоединяйтесь!
