Як технології допомагають захистити фінансові дані та позбавляють шахраїв заробітку

Однак, цей процес має і свою ціну. Великі бізнеси не рідко витрачають значні суми на надання послуг SMS авторизації, а також отримують збитки на фейкових OTP запитах. Зловмисники часто ініціюють масові або випадкові запити. В результаті, бізнеси втрачають значні кошти через таку неефективність, що змушує їх шукати нові способи боротьби з фейковими запитами і оптимізації процесу перевірки користувачів.

Сьогодні ми зібрали думки та аналітику, щоб краще зрозуміти, з якими саме проблемами стикаються організації котрі використовують SMS аутентифікацію і які є хороші альтернативи для цього.

Нашим співрозмовником стане експерт у фінтех і e-commerce сфері Андрій Коновальський. Сьогодні він поділиться практичним досвідом та розповість, наскільки великі ці витрати для банків та чи є майбутнє для альтернативних методів авторизації. Андрій колишній розробник із monobank, котрий зараз розвиває свій власний продукт LoopMessage.

Для тих, хто не знайомий з цією технологією, поясніть, що таке OTP авторизація і чому вона важлива

OTP авторизація — це процес, коли користувач отримує одноразовий пароль для підтвердження своєї особи. Замість того, щоб використовувати постійний пароль, OTP забезпечує тимчасовий код, який діє лише кілька хвилин. Це значно знижує ризики зламу облікових записів, оскільки навіть якщо хтось отримує доступ до вашого паролю, без OTP він не зможе здійснити авторизацію. В SMS-системах OTP є особливо популярним методом завдяки своїй зручності та поширеності мобільних пристроїв.

Ви згадали SMS як один з методів для передачі OTP. Чому саме SMS використовується так часто? Які його переваги?

SMS має кілька ключових переваг, які роблять його ідеальним для передачі OTP. По-перше, більшість користувачів мають мобільний телефон, який завжди під рукою, тому отримання SMS-коду є дуже зручним способом підтвердження. По-друге, SMS не потребує наявності інтернет-з'єднання — це важливо для користувачів в регіонах, де доступ до інтернету може бути обмежений. Хоча в більшості випадків це не критична проблема, бо у більшості випадків коли користувач запитує OTP код, скоріш за все він підключений до інтернету.

Однак SMS не завжди вважається абсолютно безпечним методом. Які існують потенційні уразливості і їх можна мінімізувати?

Дійсно, SMS має деякі уразливості, зокрема через можливість перехоплення повідомлень або атак типу SIM swapping. Або що ще частіше буває, то це коли викрадають телефон і починають використовувати SIM карту щоб отримувати OTP коди він банківських застосунків. Щоб уникнути таких неприємностей, найкращим рішенням буде використовувати eSIM, це сім карта котра буде зберігатись на вашому пристрої і її неможливо буде витягти фізично з вашого телефону.

Які основні тенденції ви спостерігаєте в SMS та OTP авторизації на сьогоднішній день? Як змінюється ця індустрія?

Однією з головних тенденцій є перехід на більш комплексні системи багатофакторної автентифікації, де OTP є лише одним із елементів. Розвиток технологій, таких як біометрія (відбитки пальців, розпізнавання обличчя), дозволяє створювати ще більш надійні та зручні рішення для користувачів. Зараз спостерігається збільшення використання мобільних додатків для генерації OTP замість традиційних SMS, що дозволяє знизити залежність від мережі та зробити процес ще більш безпечним.

Також бізнеси частіше починають використовувати доставку OTP кодів через месенджери, такі як WhatsApp, Viber і т.п. Це справді стає все більш популярним рішенням. Основною перевагою доставки OTP через месенджери є те, що вони забезпечують більш швидку та надійну доставку повідомлень, оскільки месенджери використовують інтернет-з'єднання, що може бути більш стабільним та доступним порівняно з мобільними мережами для SMS, особливо коли треба отримати підтвердження що повідомлення було точно доставлено. Крім того, багато користувачів вже активно користуються месенджерами, тому отримання OTP в таких платформах може бути зручнішим і менш нав'язливим. Ще однією перевагою є можливість використання додаткових функцій месенджерів, таких як шифрування повідомлень, що підвищує рівень безпеки.

Які зараз є недоліки для бізнесу в використанні OTP кодів для авторизації?

Одним із недоліків OTP авторизації є те, що компанії можуть зазнавати збитків через фейкові OTP запити. Часто зловмисники перехоплюють запит на сервер котрий використовується для авторизації і просто генерують фейкові авторизації на рандомні номери телефонів. Боротися з таким доволі складно, тому що якщо бізнес працює лише в одній країні, то іноді може бути важко відрізнити де фейковий запит, а де справжній. У таких випадках частіш за все намагаються обмежити кількість запитів на одну IP адресу, або не дозволяти викликати дуже часто таки запити з IP адресою із іншої країни. Але у випадку масових атак зловмисники все одно час від часу можуть іноді обходити такі обмеження.

Я знаю випадки коли деякі українські організації втрачали по кілька тисяч доларів на тиждень на таких фейкових запитах. І це тільки у випадках коли користувачі лише з однієї країни. У випадку якщо бізнес міжнародний, ці втрати будуть набагато більшими.

Чи є якісь ще способи як можна спробувати позбавитись таких втрат?

Так, це саме те над чим ми зараз працюємо у LoopMessage. Ми намагаємось розробити продукт де буде змінений підхід до OTP авторизації. Замість того, що компанія відправляє OTP код користувачу, зробити навпаки, щоб користувач відправляв код бізнесу. Тобто такий підхід зняв би ці витрати на повідомлення із плечей бізнесу і переклав би їх на користувачів. Раніше, у випадку з використанням SMS це було доволі складно реалізувати.Тому що часто тарифні плани можуть бути з лімітованою кількістю SMS повідомлень і тому користувач не завжди може відправити повідомлення. А у випадку якщо у бізнесу закордонний номер, то користувач ще може заплатити за це як за міжнародне повідомлення. Тому зазвичай бізнеси ніколи не використовували такий підхід. Але із розвитком месенджерів, це вже може змінитись. Тому що у месенджерах повідомлення безкоштовні і немає різниці чи він пише повідомлення на номер в іншій країні.

В нашій розробці ми плануємо зробити так, що бізнес платить тільки коли користувач відправив повідомлення зі свого номеру через месенджер (наприклад як WhatsApp або iMessage) і ми це підтвердили. В такому випадку це вирішує всі описані вище проблеми. Зловмисники можуть генерувати тисячі запитів на хвилину що вони хочуть відправити OTP код, але їм точно буде важко зареєструвати тисячі акаунтів в кожному із месенджерів, підтримувати їх, а потім відправити з них повідомлення.

Наскільки складним буде такий спосіб авторизації для звичайного користувача?

Ми плануємо це зробити максимально спрощеним як для користувачів, так і для бізнесу. Компанії достатньо буде розмістити посилання у кнопці на сайті. При натисканні на посилання генерується унікальний код і користувача переведе в месенджер де буде вже наперед заповнений текст повідомлення з цим кодом. Користувачу буде достатньо натиснути «Відправити». Після цього ми отримуємо це повідомлення порівнюємо що код там вірний і відправляємо сповіщення на сервер компанії що користувач з конкретним номером телефона із месенджеру підтвердив свою авторизацію. Вже на цьому етапі можна вважати що користувач був перевірений і компанія готова буде заплатити за успішне підтвердження коду у конкретного номеру телефону.