PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Минкомсвязи РФ: аутентификация пользователей по SMS представляет угрозу для банков

По мнению экспертов, аутентификация пользователей по SMS представляет угрозу для банков.Для аутентификации своих клиентов банкам стоит использовать более безопасные способы, чем введение кодов, присланных в SMS. В качестве альтернативы Минкомсвязи предлагает применять генераторы одноразовых паролей (TOTP) с дополнительной защитой при помощи шифрования.

Для создания одноразовых паролей можно использовать сервисы наподобие «Яндекс.Ключ» или Google Authenticator. Пользователю нужно установить на свой планшет или смартфон соответствующую программу. Она подключается к сайту и генерирует одноразовые пароли с ограниченным сроком действия. При авторизации пользователю нужно будет вводить не старый, а новый одноразовый пароль.

Как пояснила руководитель управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева, уязвимость представляет не сама технология формирования кода, а SMS-канал, по которому он доставляется от банка пользователю.

«Существует несколько способов компрометации такого канала передачи информации», - соглашается с Дегтевой Эльман Бейбутов из Solar Security. К примеру, злоумышленники могут заразить устройство пользователя трояном, способным перехватывать SMS с кодами. По словам эксперта, таким образом со счетов россиян ежегодно похищается более 50 млн руб.

Мошенники также могут перевыпустить SIM-карту с номером жертвы, воспользовавшись поддельным удостоверением личности.«Это недорого – порядка 50 тыс. рублей на черном рынке за одну SIM-карту», - поясняет Бейбутов. Злоумышленники активируют дубликат карты в сети оператора и переводят все деньги со счета жертвы на свои собственные. Далее похищенные средства обналичиваются в банкоматах.

Автор: Анна Воробьева
Источник: ib-bank.ru

КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры