Germaniya banklari bir martalik SMS-kod autentifikatsiyasini qo‘llab-quvvatlashni to‘xtatdi.
Evropa Ittifoqining yangi qonunchiligi tufayli bir martalik SMS autentifikatsiya usullari o’tmishda qoladi.
Bir nechta nemis banklari avtorizatsiya va tranzaksiyani tasdiqlash usuli sifatida bir martalik SMS parollarini bosqichma-bosqich bekor qilish rejalarini e’lon qilishdi. Bu harakatga 2019-yil 14-sentabrda to‘liq kuchga kiruvchi Yevropa Ittifoqining yangi qonunchiligi sabab bo‘lmoqda.
Handelsblatt xabar berishicha, Postbank avgust oyida SMS bir martalik parollarni qo’llab-quvvatlashni to’xtatadi, Raiffeisen Bank va Volksbank kuzda, Consorsbank esa yil oxirigacha buni amalga oshiradi. Deutsche Bank va Commerzbank ham qo’llab-quvvatlashni to’xtatishni rejalashtirmoqda, ammo hozircha vaqt jadvalini e’lon qilmagan. DKB va N26 kabi boshqa banklar bu texnologiyadan hech qachon foydalanmagan va ING hali o’z rejalari haqida hech qanday bayonot bermagan.
2015-yilda Yevropa Ittifoqi 2007-yilgi toʻlov xizmatlari boʻyicha direktivani (Yevropa Ittifoqida onlayn toʻlovlarni tartibga soluvchi qoidalar toʻplami) qayta koʻrib chiqdi va mijozlarni autentifikatsiya qilishning mustahkam mexanizmlarini joriy qilishni talab qiluvchi yangilangan PSD 2 versiyasini chiqardi. O’tgan iyun oyida PSD2 uchun texnik standartlarni e’lon qilgan Yevropa bank boshqarmasi (EBA) ma’lumotlariga ko’ra, bir martalik SMS kodini avtorizatsiya qilish mexanizmlarining joriy tatbiqlari yangi talablarga mos kelmaydi.
So‘nggi bir necha yil ichida firibgarga aloqa operatorini aldab, foydalanuvchining telefon raqamini boshqa SIM-kartaga o‘tkazish, banklar va kriptovalyuta birjalaridagi foydalanuvchining onlayn hisoblariga kirish imkonini beruvchi “SIM-karta almashtirish” usuli yordamida hujumlar ko‘paydi.
Kiberxavfsizlik bo’yicha mutaxassislar bir necha yillardan buyon bir martalik SMS-parollardan foydalanishdan ogohlantirmoqda, ammo SIM-kartalarni almashtirish hujumlari tufayli emas. Muammo butun dunyo bo’ylab ko’pgina telefon stantsiyalarini sozlash uchun ishlatiladigan SS7 protokolidagi o’ziga xos va tuzatilmagan kamchiliklardan kelib chiqadi. Ushbu protokoldagi zaifliklar tajovuzkorlarga foydalanuvchining telefon raqamini, hatto provayderning xabarisiz ham yashirincha o‘g‘irlash imkonini beradi, bu esa ularning egasini kuzatish va onlayn to‘lovlar yoki tizimga kirish so‘rovlariga ruxsat berish imkonini beradi.
Kiberxavfsizlik boʻyicha mutaxassislar SMS-ga asoslangan autentifikatsiya oʻrniga autentifikatsiya qiluvchi ilovalar yoki apparat tokenlaridan foydalanishni tavsiya etadilar.
Yevropa bank idorasi (EBA) Yevropa Ittifoqining (EI) mustaqil organi boʻlib, Yevropa bank sektorini prudensial tartibga solish va nazoratini amalga oshiradi. EBAning maqsadi Yevropa Ittifoqida moliyaviy barqarorlikni saqlash va bank sektorining yaxlitligi, samaradorligi va tartibliligini ta’minlashdan iborat.
