Банки Сингапура и Passkeys: на смену SMS OTP

Денежно-кредитное управление Сингапура (MAS) объявило, что все крупные розничные банки страны должны в течение следующих трех месяцев отказаться от OTP и заменить их «цифровыми токенами». Эта мера, разработанная в сотрудничестве с Ассоциацией банков Сингапура (ABS), направлена на защиту потребителей от фишинга и других видов мошенничества, из-за которых в 2023 году было потеряно более 14 миллионов долларов. В этой статье мы обсудим:

• Отказ от OTP: Почему MAS уделяет первостепенное внимание отказу от OTP?
• Цифровые токены: Что это такое и почему они безопаснее?
• Passkeys: Могут ли Passkeys помочь выполнить новые требования?

Давайте начнем с более подробного рассмотрения заявления Денежно-кредитного управления Сингапура (MAS) «Банки Сингапура усилят устойчивость к фишинговым аферам».

9 июля 2024 года Денежно-кредитное управление Сингапура (MAS) и Ассоциация банков Сингапура (ABS) объявили о значительном шаге по повышению безопасности цифрового банкинга путем поэтапного отказа от использования одноразовых паролей (OTP). Этот переход будет происходить постепенно в течение следующих трех месяцев и направлен на то, чтобы лучше защитить потребителей от фишинговых афер, которые стали главной угрозой в цифровом банкинге. Хотя в заявлении упоминаются только «одноразовые пароли» и OTP, оно нацелено именно на SMS OTP.

Клиенты, активировавшие свои цифровые токены на мобильных устройствах, теперь должны будут использовать эти токены для входа в свои банковские счета через браузеры или мобильные банковские приложения. Цифровой токен будет аутентифицировать входы клиентов без необходимости в OTP, которые мошенники могут украсть или обманом заставить клиентов раскрыть. В следующей главе мы подробнее расскажем, что такое цифровые токены.

Технологические достижения и изощренные методы фишинга превзошли тот уровень безопасности, который когда-то обеспечивали SMS OTP. Мошенники теперь создают поддельные банковские веб-сайты, которые очень похожи на настоящие, заманивая клиентов вводить свои OTP и другие учетные данные. Переход на устойчивые к фишингу факторы аутентификации усиливает безопасность, значительно усложняя мошенникам получение несанкционированного доступа к счету клиента.

Фишинговые аферы остаются постоянной проблемой в Сингапуре. Банки продолжают тесно сотрудничать с MAS и полицией Сингапура для разработки и внедрения мер, которые укрепляют коллективное сопротивление меняющемуся ландшафту мошенничества. Г-жа Онг-Анг Ай Бун, директор ABS, подчеркнула, что, хотя новая мера может доставить некоторые неудобства, это необходимый шаг для предотвращения мошенничества и защиты клиентов.

Г-жа Лу Сью Йи, помощник управляющего директора (Политика, Платежи и Финансовые преступления) в MAS, отметила, что MAS стремится тесно сотрудничать с банками для защиты потребителей от мошенничества в цифровом банкинге. Она подчеркнула, что эта последняя мера дополнит правила кибергигиены, которым клиенты должны продолжать следовать, например, защищать свои банковские учетные данные.

Эта мера со стороны MAS и ABS демонстрирует их приверженность повышению безопасности цифрового банкинга путем обязательного использования цифровых токенов. Чего не хватает в заявлении, так это четкого описания требований к цифровым токенам в смысле аутентификации. Давайте рассмотрим это подробнее в следующем разделе.

Цифровые токены представляют собой шаг вперед в области онлайн-безопасности, предоставляя более надежную альтернативу традиционным одноразовым паролям из SMS (OTP). В отличие от SMS OTP, которые передаются по SMS (или электронной почте) и могут быть перехвачены или украдены с помощью фишинга, цифровые токены привязаны к конкретному устройству, обычно к мобильному телефону, что гарантирует, что только владелец устройства может генерировать необходимые коды аутентификации.

Цифровые токены могут работать по-разному:

• Цифровой токен на основе времени (менее безопасный): Эти токены представляют собой динамические коды на основе времени, которые используются для аутентификации личности пользователя. Они создаются нативным приложением на мобильном устройстве пользователя, например, собственным приложением банка. В большинстве реализаций сам код больше не отображается, а пользователю приходит push-уведомление с деталями транзакции, которое он должен подтвердить, после чего ответ передается на сервер банка.
• Криптографический цифровой токен (более безопасный): Криптографический цифровой токен представляет собой еще более безопасный метод аутентификации по сравнению с токенами на основе времени. Он использует пару из открытого и закрытого ключей, хранящуюся в приложении или в secure enclave мобильного телефона. Во время процесса аутентификации сервер банка отправляет запрос (challenge) на устройство пользователя. Устройство использует свой закрытый ключ для подписи этого запроса, и подписанный ответ отправляется обратно на сервер. Сервер проверяет подпись с помощью соответствующего открытого ключа. Этот метод гарантирует, что даже если злоумышленник перехватит коммуникацию, он не сможет воспроизвести процесс аутентификации без доступа к закрытому ключу пользователя, который надежно хранится на устройстве.

Безопасность цифровых токенов выше благодаря нескольким ключевым особенностям:

1. Привязка к устройству: Токен привязан к конкретному устройству, что означает, что коды аутентификации могут быть сгенерированы только этим устройством. Эта привязка к устройству чрезвычайно затрудняет злоумышленникам копирование или перенос токена на другое устройство.
2. Многофакторная настройка: Первоначальная настройка цифрового токена часто включает использование OTP, отправленных по SMS и электронной почте, для проверки личности пользователя в дополнение к банковскому PIN-коду (некоторые банки таким образом выводят из обращения и физические токены. В этом случае можно использовать физический OTP-токен). После активации токен становится основным методом аутентификации, устраняя необходимость в будущих OTP и связанных с ними уязвимостях. Например, DBS Bank использует комбинацию SMS и email OTP во время первоначальной настройки цифрового токена, после чего текущая аутентификация полагается исключительно на токен.
3. Защита на основе времени или криптографии: Цифровые токены используют сильные криптографические алгоритмы или алгоритмы на основе времени (TOTP) для генерации кодов аутентификации, гарантируя, что даже если коммуникация между устройством и сервером аутентификации будет перехвачена, коды не могут быть легко расшифрованы или подделаны.

DBS Bank, крупное финансовое учреждение в Сингапуре, успешно внедрил цифровые токены для повышения безопасности своих клиентов. Банк запрашивает:

• То, что пользователь знает: PIN-код
• То, чем пользователь владеет: SMS OTP (доступ к телефону, привязанному к номеру)
• То, чем пользователь владеет: email OTP (доступ к электронной почте, привязанной к аккаунту)

для настройки цифрового токена на мобильном устройстве клиента. После настройки цифровой токен становится единственным методом аутентификации входов в систему и транзакций, эффективно снижая риск фишинговых атак, нацеленных на OTP.

В случае, если привязанный адрес электронной почты не актуален и физический токен недоступен, пользователь может настроить цифровой токен с помощью резервных вариантов:

Резервные варианты включают цифровую идентификацию с помощью Singpass, использование видеотерминала (VTM) в ближайшем отделении банка или запрос регистрационного кода, который будет отправлен по почте в течение 3-5 дней.

Переход от OTP к цифровым токенам устраняет несколько уязвимостей, связанных с традиционными методами аутентификации:

• Частичная устойчивость к фишингу: Поскольку цифровые токены генерируются и используются непосредственно на устройстве пользователя, нет риска их перехвата через фишинг. Даже если мошенник обманом заставит пользователя предоставить данные для входа, он не сможет сгенерировать необходимый код аутентификации без физического доступа к устройству.
• Уменьшенная поверхность атаки: Устраняя необходимость в SMS и электронной почте как каналах передачи кодов аутентификации, цифровые токены уменьшают поверхность атаки, которую могут использовать мошенники.
• Удобство для пользователя: Хотя первоначальная настройка может потребовать дополнительных шагов, постоянное использование цифровых токенов является простым и удобным для пользователей. Им больше не нужно ждать прибытия OTP по SMS или электронной почте, что иногда может задерживаться или блокироваться.

Хотя ситуация с фишингом частично улучшилась, новый риск заключается в том, что клиенты станут жертвами MFA fatigue-атак, поскольку они привыкают к постоянным запросам на аутентификацию с помощью цифрового токена, и злоумышленник может воспользоваться этим, отправив такой запрос с фишинговой страницы.

Именно по этой причине крупные технологические компании (например, Google и Microsoft), столкнувшиеся с множеством взломов, начали вводить в такие push-уведомления дополнительные проверки, например, выбор правильного числа для защиты клиентов.

Цифровые токены предлагают более безопасный метод аутентификации в сфере цифрового банкинга, но не устраняют риск фишинга полностью. Злоумышленник все еще может обманом заставить жертву аутентифицировать его доступ, убедив ее подтвердить запросы цифрового токена. Пример внедрения DBS Bank показал, что можно легко перевести клиентов на другую форму аутентификации, используя существующие факторы в комбинации. Возникает вопрос: почему в таком случае MAS и DBS Bank не внедряют Passkeys? Давайте разберемся.

Как мы видели, цифровые токены представляют собой шаг вперед в обеспечении безопасности транзакций в цифровом банкинге по сравнению с традиционными SMS OTP. Однако, хотя цифровые токены обеспечивают улучшенные функции безопасности, они не являются полностью устойчивыми к фишингу. Злоумышленник все еще может обманом заставить жертву аутентифицировать мошеннический запрос, убедив ее подтвердить запросы цифрового токена. Эта сохраняющаяся уязвимость говорит о том, что цифровые токены, хотя и являются улучшением, не представляют собой достаточно смелый шаг к обеспечению безопасности онлайн-банкинга.

Passkeys предлагают по-настоящему устойчивый к фишингу метод аутентификации. В отличие от цифровых токенов, Passkeys по своей природе устойчивы к фишинговым атакам, поскольку их можно использовать только на правильном веб-сайте или в приложении. Это гарантирует, что пользователей нельзя обманом заставить ввести свои учетные данные на мошенническом сайте. Passkeys основаны на криптографии с открытым и закрытым ключами, где закрытый ключ надежно хранится на устройстве пользователя и безопасно зашифрован в облаке привязанной операционной системы. Открытый ключ передается аутентифицирующему сервису.

Вот как Passkeys повышают безопасность:

1. Устойчивость к фишингу: Passkeys устраняют риск ввода данных аутентификации на поддельных веб-сайтах. Поскольку процесс аутентификации может проходить только на легитимном сайте, который выдал запрос, попытки фишинга становятся неэффективными. Технически невозможно использовать Passkey на неправильной странице, а также для среднего потребителя невозможно экспортировать Passkey третьей стороне.
2. Поддержка нескольких устройств: В отличие от цифровых токенов, которые часто привязаны к одному устройству, Passkeys могут безопасно синхронизироваться между аутентифицированными устройствами в рамках одного облака или менеджера паролей. Это обеспечивает гибкость и удобство для пользователей, которые получают доступ к своим банковским услугам с различных устройств.
3. Надежная защита устройства: Passkeys требуют, чтобы была активирована 2FA в экосистемах мобильных телефонов (таких как iOS или Android). Этот дополнительный уровень безопасности гарантирует, что даже если устройство будет скомпрометировано, злоумышленнику потребуется обойти 2FA устройства, чтобы получить доступ к Passkeys. Мы уже подробно останавливались на деталях, объясняя требования SCA/PSD2 к Passkeys и почему синхронизируемые Passkeys можно использовать в банковской сфере.

Австралия признала важность устойчивой к фишингу аутентификации в своем стандарте Essential Eight, который определяет лучшие практики в области кибербезопасности. В стандарте особо отмечается необходимость технических требований, снижающих риски фишинга, что делает Австралию лидером в области кибербезопасности в Азиатско-Тихоокеанском регионе. Сингапур, с его передовой цифровой инфраструктурой, должен последовать примеру Австралии, интегрировав Passkeys в свои стандарты и рекомендации для предприятий. Это не только укрепит безопасность, но и приведет Сингапур в соответствие с мировыми лучшими практиками в области цифровой безопасности.

Банковская отрасль ожидает четких нормативных указаний, которые бы прямо разрешили использование синхронизируемых Passkeys в банковской сфере. Такой шаг дал бы банкам уверенность в принятии этой передовой технологии и предложил бы их клиентам по-настояшему безопасный и удобный метод аутентификации. У Денежно-кредитного управления Сингапура (MAS) есть возможность установить новый стандарт в безопасности цифрового банкинга, одобрив использование Passkeys. Сделав это, MAS продемонстрирует свою приверженность внедрению передовых мер безопасности, гарантируя, что Сингапур останется на переднем крае инноваций в цифровом банкинге.

Перевод пользователей на более безопасные цифровые токены — это значительный шаг к повышению безопасности онлайн-банкинга в Сингапуре. Однако, заглядывая в будущее, банкам необходимо начать внедрение Passkeys, которые станут стандартом де-факто для веб-аутентификации. Вот несколько ключевых рекомендаций для банков Сингапура, чтобы обеспечить будущее своей инфраструктуры безопасности:

1. Начинайте собирать Passkeys заранее: Во время перехода на цифровые токены банкам следует также начать процесс сбора Passkeys у пользователей. Этот проактивный подход подготовит банки к плавному переходу, как только Passkeys станут широко принятыми и распространенными. Интегрируя сбор Passkeys в текущие процессы регистрации и аутентификации, банки могут постепенно создавать безопасную базу данных Passkeys.
2. Замените PIN-коды на Passkeys: Практичным и немедленным шагом к внедрению Passkeys является замена традиционных PIN-кодов на Passkeys. Passkeys предлагают более безопасную и удобную альтернативу PIN-кодам, используя криптографию с открытым и закрытым ключами. Внедрив Passkeys в качестве основного метода аутентификации, банки могут повысить безопасность, обеспечивая при этом более удобный пользовательский опыт.
3. Используйте Passkeys как первый фактор или дополнительную меру оценки риска: Passkeys можно использовать как первый фактор аутентификации или как дополнительную меру риска в системах многофакторной аутентификации (MFA). Включение Passkeys в процесс аутентификации обеспечит дополнительный уровень безопасности, что значительно усложнит злоумышленникам компрометацию учетных записей пользователей. Банки могут начать с предложения Passkeys в качестве дополнительной функции безопасности и постепенно сделать их стандартной частью процесса аутентификации.
4. Информируйте клиентов о Passkeys: Успешное внедрение Passkeys требует осведомленности и принятия со стороны клиентов. Банкам следует инвестировать в образовательные кампании, чтобы информировать клиентов о преимуществах и функциях безопасности Passkeys. Четкое объяснение того, как работают Passkeys и какова их роль в защите от фишинговых атак, побудит больше клиентов принять эту технологию.
5. Сотрудничайте с регуляторами и коллегами по отрасли: Банкам следует активно сотрудничать с регулирующими органами, такими как Денежно-кредитное управление Сингапура (MAS), и коллегами по отрасли для разработки стандартизированных руководств по внедрению Passkeys. Совместные усилия обеспечат последовательный и безопасный подход во всем банковском секторе, повышая общую безопасность цифрового банкинга в Сингапуре.
6. Инвестируйте в инфраструктуру и системы поддержки: Внедрение Passkeys требует надежной инфраструктуры и систем поддержки. Банкам следует инвестировать в необходимые технологии и ресурсы для поддержки аутентификации с помощью Passkeys, включая безопасные системы управления ключами и интеграцию с существующими системами аутентификации. Обеспечение плавного и безопасного пользовательского опыта будет иметь решающее значение для широкого внедрения.
7. Отслеживайте и адаптируйтесь к новым угрозам: Регулярный мониторинг ландшафта угроз и соответствующее обновление мер безопасности помогут банкам опережать потенциальные риски. Passkeys в сочетании с постоянными улучшениями безопасности обеспечат надежную защиту от новых тактик фишинга и мошенничества.

Следуя этим рекомендациям, безопасность аутентификации в банковской отрасли Сингапура может еще больше возрасти, а также найти свое отражение в нормативных базах и стандартах, таких как Safe App Standard, в котором в настоящее время отсутствует упоминание Passkeys как технологии аутентификации.

Подводя итог, можно сказать, что заявление Денежно-кредитного управления Сингапура (MAS) о поэтапном отказе от SMS OTP и переходе на цифровые токены знаменует собой решающий шаг в укреплении безопасности цифрового банкинга. Эта мера направлена на борьбу с растущей угрозой фишинговых афер, которые значительно повлияли на потребителей и банковский сектор.

• Почему отказываются от OTP: MAS уделяет первостепенное внимание отказу от OTP из-за их подверженности фишингу и перехвату. Мошенники использовали уязвимости SMS OTP, что вызвало необходимость в более безопасных методах аутентификации.
• Что такое цифровые токены: Цифровые токены обеспечивают повышенную безопасность благодаря привязке к устройству и использованию сильных криптографических алгоритмов. Это делает их более устойчивыми к фишинговым атакам по сравнению с традиционными OTP. Они также предлагают удобство и уменьшают поверхность атаки, устраняя необходимость в кодах аутентификации на основе SMS или электронной почты.
• Могут ли Passkeys помочь банковской сфере Сингапура: Passkeys являются превосходной альтернативой, предлагая надежную, устойчивую к фишингу аутентификацию. Используя криптографию с открытым и закрытым ключами, Passkeys гарантируют, что аутентификация может происходить только на легитимных сайтах, что значительно снижает риски фишинга. Их поддержка нескольких устройств и надежная защита устройства еще больше повышают их привлекательность.

Изучив преимущества цифровых токенов, мы отметили их ограничения в полном устранении рисков фишинга. Passkeys, с другой стороны, предоставляют комплексное решение, соответствующее международным лучшим практикам в области цифровой безопасности. Хотя переход на цифровые токены является шагом вперед, конечной целью должно стать внедрение Passkeys в качестве будущего стандарта для аутентификации в цифровом банкинге.