В Эстонии масштабные фишинговые атаки (вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей, таким как логины и пароли - ред.) начались в 2019 году, когда банки отказались от карточек с паролями и перевели клиентов на Smart-ID. Воодушевленные криптографией Smart-ID, банки упустили из виду тот факт, что новая технология дает более слабую защиту от фишинговых атак по сравнению с ранее использовавшимися карточками с паролями.

Карточки с паролями имели свои слабые стороны, но для получения парольных кодов мошенники должны были звонить жертвам и спрашивать эти коды напрямую, что вызывало подозрения даже у самых неосторожных людей. Однако в случае Smart-ID мошеннику достаточно убедить жертву подтвердить запрос на ввод кода Smart-ID, и именно так и задумано функционирование этой системы. В прошлом для платежей, подтвержденных карточкой с паролями, действовал суточный лимит в несколько сотен евро, но в случае Smart-ID банки не установили подобных ограничений, несмотря на риски для безопасности, о существовании которых было известно.

Эти мошенничества также создают значительную нагрузку на правоохранительные органы, которые вынуждены заниматься последствиями проблем, которые банки решили не предотвращать.

Основная слабость Smart-ID

Основная уязвимость Smart-ID заключается в том, что защищенность этой системы полностью зависит от способности пользователя распознавать фишинговые сайты или проверить личность звонящего им абонента. Однако большинство людей не способны делать это надежно. Исследования, проводившиеся на протяжении десятилетий, показали, что способность среднестатистического пользователя распознавать фишинговые сайты близка к случайной догадке, и даже технически подкованные пользователи часто становятся жертвами хорошо оформленных мошенничеств. И все же эта реальность в значительной степени игнорируется в дискуссиях о безопасности Smart-ID.

Банки предостерегают клиентов, чтобы они не подтверждали запросы на ввод кода Smart-ID во время подозрительных звонков, в то время как их собственная служба поддержки использует точно такой же метод для идентификации клиентов. Как пользователи должны понять, почему в одном случае это приемлемо, а в другом - нет? В реальной жизни, если человек подтвердил свою личность постороннему лицу, это лицо не может выступить его представителем перед банком, но в случае Smart-ID именно это и происходит.

Для пользователей оказывается неожиданностью то, что хотя эти системы рекламируются как решения с высочайшим уровнем защищенности, пользователи все же должны сами оценивать, является ли лицо, требующее подтвердить личность пользователя, надежным и именно тем, за кого оно себя выдает. Возложение такой нагрузки на пользователя противоречит элементарным ожиданиям от безопасной аутентификации.

Разработчик Smart-ID - компания SK ID Solutions (SK) - продолжает утверждать, что Smart-ID является защищенной системой, а проблема заключается в пользователях, которые "используют ее неправильно". Однако если большинство людей не могут правильно использовать цифровой инструмент, то проблема заключается не в людях, а в инструменте. Человеческие ошибки неизбежны, и защищенность должна быть встроена в систему. Это все равно что дать ребенку острый нож, а потом обвинить его в том, что он порезался. Тот же самый принцип должен применяться и в цифровом мире.

Банки не применяют меры против фишинговых атак

На публику банки склонны представлять фишинг в одной категории с мошенничествами, которые не зависят от технологических уязвимостей, такими как инвестиционное или романтическое мошенничество, и ведут себя так, как будто они не могут ничего поделать, кроме как сочувственно выслушивать жертв и советовать им в будущем "быть более осторожными". Это не соответствует действительности.

Для начала, этот нарратив игнорирует тот факт, что каждый житель Эстонии имеет ID-карту, с которой процесс аутентификации устойчив к фишинговым атакам. В отличие от Smart-ID, аутентификация с помощью ID-карты, выполненная на фишинговой странице, не может быть повторно использована, чтобы выдать себя за пользователя этой ID-карты перед банком. Тем не менее, ни один банк не рекомендует своим клиентам отдавать предпочтение ID-карте в целях безопасности, поскольку это означало бы признать слабые стороны Smart-ID. Также стоит отметить, что банки Swedbank и SEB, доминирующие на рынке розничного банкинга в Эстонии, входят в число собственников SK, что означает наличие у них явной заинтересованности в продвижении Smart-ID и преуменьшении проблем с защищенностью этой системы.

Хотя банки заявляют на публику, что защита клиентов от мошенничества для них очень важна, стоит задаться вопросом, почему из крупных эстонских банков только LHV внедрил меру безопасности Smart-ID, которая требует от пользователя выбора правильного контрольного кода из нескольких вариантов. Причина проста: другие банки считают даже минимальные дополнительные меры безопасности недопустимым неудобством для клиентов, которое может повредить их конкурентоспособности. По сути, LHV, улучшив свою защиту, поставил себя в менее выгодное конкурентное положение.

На самом деле банки могли бы сделать гораздо больше для предотвращения и раннего выявления мошенничества. Банки обрабатывают огромные объемы данных, с помощью которых можно выявлять подозрительную деятельность в интернет-банкинге - новые устройства или необычные географические локации, изменения лимитов платежей, нетипичные операции, доступ не из той страны, где находится устройство с установленным Smart-ID, репутация IP-адресов и т. д. Однако нет открытых доказательств того, что банки действительно используют эти возможности. Да и зачем им это делать, если убытки несут клиенты, а не банки?

Согласно закону, банки не обязаны возмещать платежи, которые были совершены в результате мошенничества, если они были подтверждены способом аутентификации, согласованным с банком. В то же время банк обязан не принимать небезопасные способы аутентификации. Только банк, а не клиент, полностью понимает риски, связанные с различными средствами аутентификации, и может принять меры для защиты клиентов.

В июне прошлого года SK внедрил функцию безопасности Smart-ID+, которая требует от пользователя инициирования операции путем сканирования QR-кода. Это значительно усложняет фишинговые атаки, основанные на телефонных звонках. Более того, если аутентификация Smart-ID+ инициируется с того же мобильного устройства, на котором работает приложение Smart-ID, процесс аутентификации становится полностью защищенным от фишинга, обеспечивая безопасность на уровне ID-карты. Несмотря на это, банки не проявляют особого интереса к внедрению Smart-ID+.

Можно задаться вопросом, почему SK позволяет банкам использовать Smart-ID без введения более строгих требований безопасности. Причина проста: клиентами, которые платят SK, являются банки и поставщики услуг, а не пользователи Smart-ID. Это создает явный стимул отдавать предпочтение удобству и широкому внедрению системы в ущерб мерам безопасности, а пользователям не дают возможность самостоятельно выбрать более высокий уровень защищенности.

По сути, быстрый успех Smart-ID в значительной степени основан на страданиях жертв фишинга, которые понесли расходы, связанные с ориентированной на удобство моделью безопасности. У удобных платежных решений есть своя роль, но банки обязаны учитывать соответствующие технологические риски и применять меры защиты, как они делают в случае бесконтактных платежей, на которые распространяется лимит в размере 50 евро.

Ответственность банков за защищенность своих услуг

Говоря об ответственности, банки утверждают, что жертвы должны нести полную ответственность за подтверждение мошеннических платежных запросов кодом PIN2 своего Smart-ID, игнорируя тот факт, что взлом безопасности происходит до подтверждения операции кодом PIN2, а именно в тот момент, когда банк предоставляет мошеннику доступ к интернет-счету жертвы. Именно этот доступ и позволяет мошеннику отправить мошеннический платежный запрос кода PIN2 на устройство жертвы.

В глазах клиента подтверждение таких запросов является вполне разумным, поскольку клиенты обоснованно предполагают, что такие запросы могут инициировать только они сами или уполномоченный представитель банка. Клиенты имеют полное право ожидать, что банки используют достаточно защищенные системы, в которых третьи лица не могут получить доступ к интернет-банку и совершать операции от имени клиента.

Проблема не ограничивается одной лишь недостаточной защищенностью процесса аутентификации с помощью Smart-ID от фишинговых атак. В последнее время мошенники начали использовать также слабые места в процессе выдачи Smart-ID. Ответственность за то, чтобы электронные средства идентификации попадали только в руки их законных владельцев, лежит в первую очередь на поставщике услуг Smart-ID, то есть на компании SK.

В то же время банки должны понимать, что средства аутентификации, выдача которых не включает физическое установление личности, по самой своей сути обеспечивают более слабую защиту, и это необходимо учитывать при оценке рисков банками и применении мер защиты.

Учитывая, что клиенты банков не могут повлиять ни на защищенность банковских систем, ни на защищенность средств аутентификации, которые они используют, жертвам фишинга Smart-ID следует перестать винить себя и начать требовать от банков компенсации ущерба. Гражданская ответственность банка может вытекать не только из противоправных действий, но и из нарушения общей обязанности обеспечивать защищенность и надежность услуг.

Как показывают приведенные примеры, в действиях банков присутствовала системная халатность, заключавшаяся в том, что они не использовали имеющиеся меры для предотвращения атак с использованием Smart-ID или для ограничения их последствий.

Подводя итог, для решения этой проблемы необходимо признать, что причина успешных атак с использованием Smart-ID кроется не в людях, а в незащищенной технологии, и потребовать возложения ответственности на тех, кто ее фактически несет.

Банки очень эффективно управляют рисками, за которые они несут ответственность, и, поскольку именно они находятся в наилучшем положении для снижения этих технологических рисков, введение ответственности банков вполне оправдано. Это может быть достигнуто либо путем законодательного уточнения, либо через судебную практику, которая обяжет банки нести ответственность за защищенность своих решений и возмещать ущерб, причиненный фишинговыми атаками Smart-ID.