Код подтверждения в MAX: удобство или новый риск в телефоне мошенника?

Когда Национальный совет финансового рынка (НСФР) предлагает дублировать SMS-коды подтверждения через пуш-уведомления в MAX, это выглядит как забота о пользователе. Мол, SMS может не прийти, а уведомление в популярном мессенджере — всегда под рукой. Но давайте остановимся и зададим простой вопрос: а не пытаемся ли мы тушить пожар, подливая в него бензин другой марки?

Идея, на первый взгляд, логична. MAX — это супер-приложение, которое есть у миллионов. Но в этой кажущейся простоте скрываются глубинные противоречия и новые, возможно, ещё более опасные уязвимости. Давайте разложим это предложение по полочкам.

Зачем это нужно? Проблема с SMS — реальна, но…

Аргумент «SMS может не прийти» — не выдумка. Проблемы есть:

• Плохой сигнал.
• Перегрузка операторов.
• SIM-карта в другом телефоне (после кражи).
• Мошенники, использующие услугу «подмена номера» или атаки на SS7-протоколы операторов связи.

Кажется, что дополнительный канал должен повысить надёжность. Но здесь мы сталкиваемся с классической ловушкой: увеличивая количество дверей, мы увеличиваем и количество точек для взлома.

Почему MAX — это не панацея, а новая головная боль?

1. MAX — это не защищённый канал, это мессенджер. Его архитектура и приоритеты — это удобство и скорость коммуникации, а не банковская безопасность. Уровень защиты данных в нём принципиально иной, чем в специализированных банковских системах. Внедрять в него критически важную финансовую функцию — всё равно что хранить ключи от сейфа на крючке в прихожей.
2. Единая точка отказа и атаки. Если у злоумышленника есть доступ к вашему телефону (украден, взломан через вредоносное ПО) или к аккаунту MAX (подобрал пароль, фишинг), он получает все коды подтверждения разом. Вместо того чтобы защищать два независимых канала (телефон для SMS и, например, отдельный токен), мы сводим всё к одной взламываемой платформе.
3. Вопрос доверия к платформе. MAX — продукт частной компании (VK). Передавать ей на обработку (даже в виде push-уведомлений) ключевой элемент финансовых операций миллионов людей — это колоссальный риск концентрации и зависимость от чужой ИТ-политики. Готово ли государство и ЦБ делегировать такой уровень ответственности?
4. «Удобство для мошенника». Представьте: мошенник обманным путем получает доступ к телефону жертвы. Раньше ему нужно было перевыпустить SIM-карту (что сложно и заметно). Теперь, если в MAX приходят все коды, ему достаточно оставаться в том же мессенджере, чтобы полностью контролировать финансовые потоки жертвы. Мы упрощаем жизнь не только пользователям.

Что предлагает НСФР на самом деле? Не альтернатива, а дублирование

И вот здесь — ключевой момент. НСФР предлагает не замену, а одновременную рассылку по двум каналам. Это худший из миров:

1. Удорожание. Банки будут платить и за SMS, и за интеграцию/использование API MAX. Эти расходы неизбежно переложат на клиентов через скрытые комиссии или повышение стоимости услуг.
2. Снижение удобства. Вместо одного кода в одном месте, клиент будет получать два уведомления. Какое из них настоящее, если они вдруг разойдутся (из-за задержки)? Где искать нужный код? Это создаёт путаницу, которой могут воспользоваться мошенники в социальной инженерии («Проигнорируйте SMS, это сбой, введите код из MAX»).
3. Иллюзия безопасности. Два одинаковых, уязвимых канала не дают двойной защиты. Они дают двойную нагрузку на внимание пользователя и двойную точку для потенциального взлома.

Какое решение было бы умнее? Принцип «разделения рисков»

Вместо дублирования уязвимых каналов, следовало бы развивать разнородные и независимые способы подтверждения:

1. Аппаратные токены или отдельные защищённые приложения. Ключ, физически или логически отделённый от основного устройства и мессенджеров.
2. Push-уведомления в собственных, «тяжёлых» банковских приложениях, где выше уровень защиты (двухфакторный вход по биометрии, защищённое хранилище).
3. Развитие технологии FIDO2/WebAuthn (безпарольная аутентификация через физические ключи), которую уже поддерживают многие сервисы.
4. Усиление самого канала SMS через внедрение технологий защиты от подмены номера (например, сертифицированные SMS от операторов).

Главный принцип безопасности: не класть все яйца в одну корзину. А предложение НСФР, по сути, предлагает сложить все яйца в две корзины, но поставить их на одно хлипкое основание — смартфон с популярным мессенджером.

Итог: Борьба с мошенничеством не должна превращаться в игру в «испорченный телефон»

Инициатива НСФР — это симптом. Симптом погони за быстрыми, поверхностными решениями вместо фундаментального пересмотра архитектуры безопасности.

Она пытается решить проблему доставки кода, игнорируя проблемы целостности канала и независимости факторов аутентификации.

Пока регуляторы и ассоциации будут предлагать «заклеить дыры» новыми заплатками из популярных приложений, мошенники будут находить способы красть не SMS, а сессии в мессенджерах, взламывать аккаунты и использовать социальную инженерию уже на новом поле.

Безопасность — это не про добавление ещё одного звонка. Это про построение цепочки, где каждое следующее звено защищено независимо от предыдущего. Предложение же НСФР лишь удлиняет цепь, но делает её более хрупкой по всей длине. И это тревожный сигнал о том, в каком направлении мы движемся.

Источник