PayPal отказывается от SMS для многофакторной аутентификации, сигнализируя об отказе от устаревшего метода. Однако компания не называет сроков и оставляет SMS как резервный вариант. Эксперты отмечают риски незашифрованных SMS и призывают к использованию более безопасных методов. — csoonline.com
Когда в этом месяце PayPal начал рассылать клиентам электронные письма о том, что отказывается от незашифрованных SMS для многофакторной аутентификации (MFA) при входе в систему, это было сделано с типичным для избегания проблем подходом.
Финансовый гигант дал понять, что переворачивает страницу и отказывается от этой крайне непопулярной методы аутентификации, в то же время не указывая сроков и уверяя клиентов, что SMS полностью не исчезнет — любопытная стратегия, которая может помочь сгладить отток клиентов.
SMS имеет долгую историю противодействия со стороны руководителей по безопасности, в основном из-за того, насколько легко ее можно перехватить и подвергнуть атакам «человек посередине», среди прочих. В результате Google отказался от SMS, как и Microsoft, Cisco, и даже Центральный банк Объединенных Арабских Эмиратов.
«SMS как фактор аутентификации — это порождение дьявола, и его следует запретить законом Конгресса», — говорит Гэри Лонгсайн, генеральный директор IllumineX, выражая разочарование многих специалистов по безопасности.
Тем не менее, SMS остается, в основном из-за удобства, учитывая, что многие бизнес-руководители опасаются, что любое изменение процессов MFA будет рассматриваться как неудобство, которое может привести к потере клиентов или снижению вовлеченности.
«Они не хотят терять пользователей, которые не будут использовать ничего, кроме SMS в качестве второго фактора», — говорит консультант по кибербезопасности Брайан Левин, бывший федеральный прокурор, который сегодня является исполнительным директором FormerGov. «Хотя MFA на основе приложений обычно считается более безопасным, чем MFA на основе SMS, не все пользователи готовы потратить время на настройку MFA на основе приложений, поэтому требование полного перехода к ней обычно приводит к меньшему количеству конверсий».
Гаррет Грейджек, генеральный директор компании по сертификации доступа YouAttest, сам сталкивался с таким противодействием со стороны бизнес-подразделений.
«Мы разработали очень надежный механизм аутентификации, и CISO был в восторге, но команды безопасности не хотели идти против запросов пользователей» на незашифрованные SMS, говорит он, добавляя, что руководитель бизнес-подразделения утверждал, что повышение безопасности «будет стоить нам денег».
«Мне жаль PayPal, потому что они [являются жертвой] борьбы между бизнес-подразделениями и безопасностью. И безопасность не всегда побеждает», — добавляет он.
Неуклюжие усилия, противоречивые сообщения
Флавио Вилланустре, CISO группы LexisNexis Risk Solutions, говорит, что ему «всегда казалось странным», что PayPal по-прежнему поддерживает SMS в качестве основного вторичного фактора аутентификации.
«Все в сфере финансовых услуг и государственного управления отказались от нее, так как она недостаточно безопасна, и переходят на аутентификацию, устойчивую даже к фишингу, такую как passkeys, Yubikeys», — объясняет он.
Сдвиг PayPal был объявлен по электронной почте, отправленной некоторым клиентам ранее в этом месяце. «Начиная с марта 2026 года, мы начнем удалять SMS-коды [для MFA при входе], но они по-прежнему будут доступны в рамках наших стандартных проверок безопасности», — говорится в сообщении PayPal.
Упоминание PayPal о стандартных проверках безопасности относится к случаю, когда система компании, используя поведенческую аналитику, помечает взаимодействие с клиентом как потенциально мошенническое на основе таких факторов, как размер транзакции или отклонение от обычных шаблонов.
Тем не менее, Грейджек считает решение PayPal продолжать использовать SMS для проверки на мошенничество странным. Когда система выявляет потенциальную проблему, говорит он, «вам нужен более высокий уровень [аутентификации]. Зачем снижать уровень [до более низкого уровня аутентификации]?»
PayPal отказался комментировать официально для этой статьи, но представитель PayPal обсудил элементы решения компании относительно SMS при условии анонимности.
В электронном письме клиентам PayPal говорилось, что компания «начнет удалять» SMS в марте, но непонятно, сколько времени займет этот процесс. Логистика является одним из факторов, поскольку эти сообщения отправляются глобальной клиентской базе, насчитывающей около 439 миллионов человек и предприятий. «Мы будем делать это постепенно в течение длительного времени», — заявил представитель PayPal.
PayPal, вероятно, также оценит реакцию клиентов, оставив себе гибкость, не устанавливая твердую дату окончания.
В электронном письме PayPal клиентам было предложено сменить метод MFA на приложение-аутентификатор или брелок, выдающий одноразовые пароли, например, совместимый с ключами безопасности FIDO2. Как ни странно, в письме пользователям ключей безопасности было предложено «Вставьте устройство в USB-порт, и вы готовы», несмотря на то, что мобильные устройства обмениваются данными с ключами через NFC или мобильные разъемы, а не через USB-порты, и большинство пользователей взаимодействуют с PayPal через мобильные устройства.
В электронном письме PayPal также было предложено клиентам «обновить метод верификации на paypal.com. Войдите в свою учетную запись и используйте значок шестеренки, чтобы перейти в настройки безопасности и обновить двухэтапную верификацию». Проблема? Когда было получено письмо, на странице безопасности не было прямого способа внести изменения.
Служба поддержки предложила клиентам полностью деактивировать MFA, а затем снова активировать ее. Этот не самый безопасный вариант сработал, и пользователь смог внести изменения. Дальнейшее тестирование показало, что пользователь мог нажать кнопку «добавить новое устройство», даже если он не собирался добавлять новое устройство. На экране также появилась возможность изменить метод MFA.
Мелоди Брю, главный аналитик Moor Insights & Strategy, говорит, что использование SMS все еще может быть полезным в некоторых изолированных случаях, но PayPal, похоже, пытается получить все сразу.
«Мне кажется, они пытаются смягчить удар, говоря: «SMS недостаточно безопасны». Они говорят, что вы не можете использовать ее для подтверждения личности, если мы не беспокоимся, что это не вы», — говорит Брю. «Они явно активно отказываются от SMS. Им приходится это делать. Им нужно соответствовать новым стандартам. В сфере финансовых услуг даже не стоит связываться» с SMS.
Финансовые затраты на SMS могут стать последней каплей
Но Брю также упомянула другую причину, по которой PayPal может отказаться от аутентификации через SMS: сокращение расходов. Отправка SMS-сообщений влечет за собой прямые расходы для PayPal, в то время как предложение клиентам аутентифицироваться с помощью ключа FIDO2 или приложения-аутентификатора бесплатно для компании.
Стоимость отдельных SMS-сообщений невелика — например, AWS взимает ничтожную долю цента за каждое сообщение. Но учитывая, что PayPal обрабатывает около 25 миллиардов транзакций в год, эти доли быстро складываются.
Кроме того, злоумышленники регулярно тестируют системы PayPal, «и они могут генерировать миллионы SMS-кодов», — добавляет Брю. «Для компании, под новым руководством и особенно чувствительной к марже прямо сейчас, отправка миллионов кодов ботам, которые не нужны? Это легкая статья расходов, которую можно сократить, и это выигрыш в операционных расходах (OPEX)».
Джастин Грейс, генеральный директор консалтинговой фирмы Acceligence и бывший глава направления кибербезопасности в McKinsey в Северной Америке, говорит, что его основная озабоченность по поводу аутентификации через SMS — это «подмена SIM-карты, угон SIM-карты — мы наблюдаем рост этого».
«PayPal — одна из самых часто подделываемых и спам-рассылаемых электронных почт», — добавляет он.
Стивен Эрик Фишер, независимый консультант по кибербезопасности и управлению рисками, который работал директором по кибербезопасности, рискам и соответствию в Walmart до августа 2025 года, согласен с многочисленными недостатками SMS для аутентификации, называя SMS «очень низким уровнем защиты». Но он менее оптимистичен, чем большинство, относительно приложений-аутентификаторов.
«Приложения-аутентификаторы «лишь незначительно лучше SMS. Каждое имеет свои недостатки», — говорит Фишер. «FIDO2 — лучший вариант с точки зрения безопасности, но принятие конечными пользователями может замедлиться, потому что клиенту приходится платить за каждое устройство FIDO2, а также [испытывать трудности при] регистрации и использовании».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Evan Schuman