Смс-коды: надёжны без интернета, но зависят от мобильной сети
Что происходит под капотом. После нажатия Оплатить платёжный шлюз банка создаёт одноразовый пароль — обычно шесть цифр, сформированных по алгоритму HMAC-OTP: берётся секретный ключ клиента и счётчик операции, на выходе получается уникальная комбинация, действительная 3–5 минут. Код вместе с суммой и номером карты кладётся в сообщение ISO 8583 и уходит через защищённый канал к SMS-центру оператора (SMPP-пакет). Дальше:
- SMS-центр ищет ваш номер в базе HLR и определяет ближайшую базовую станцию.
- Код переходит в радиосигнал GSM, телефон принимает его даже при 2G.
- Смартфон или кнопочный аппарат показывает обычное текстовое смс: шесть цифр и короткое пояснение банка.
Плюсы
- Работает офлайн. Нужен только голосовой сигнал; интернет, Wi-Fi и приложение банко не требуются.
- Совместимо с любым устройством. Подтверждать покупки может даже кнопочный телефон, что удобно для пользователей, не использующих смартфон.
- Физическое разделение SIM. Если вынести банковскую SIM в отдельную трубку, коды останутся недоступны при краже основного телефона с приложением банка.
Минусы
- Задержки передачи. Код проходит через несколько узлов сети — при высокой нагрузке или в роуминге задержка достигает 30–60 секунд.
- Кража SIM. Утерянный телефон с активной картой сразу показывает все входящие смс, включая пароли от банка.
- SIM-swap. Мошенник оформляет дубликат SIM: старый аппарат внезапно теряет сеть, а коды начинают приходить преступнику.
Как работает расширенная атака. Злоумышленник подаёт заявку на перевыпуск SIM по поддельному паспорту или через подкуп сотрудника салона. После активации новой карты внутренняя база HLR переназначает маршрут, и все смс-коды идут на телефон мошенника. Продвинутый вариант — эксплуатация протокола SS7: в момент международного роуминга трафик смс перенаправляется на ложевый узел, а пользователь этого не замечает.
Как усилить защиту. Храните банковскую SIM в недорогом запасном телефоне без доступа к интернету, запишите PIN-код на включение карты и держите аппарат дома. Даже если смартфон с интернет-банком потеряется, коды останутся на резервной трубке, а злоумышленник не сможет их увидеть без физического доступа.
Пуши: прилетают мгновенно, но требуют интернет и хорошую защиту
После нажатия кнопки оплатить мобильный банк создаёт запрос на сервер. Там формируется одноразовый пароль, который оборачивается в JSON-уведомление и отсылается в сервис мгновенных сообщений Google FCM (для Android) или Apple APNs (для iOS). Сервис «толкает» пакет к смартфону по зашифрованному каналу TLS. Приложение-получатель расшифровывает его и выводит баннер с кнопкой подтвердить. Весь путь — от сервера банка до экрана — обычно занимает меньше секунды.
Плюсы
- Почти нулевая задержка. Пароль появляется через доли секунды после нажатия оплатить, потому что уведомление идёт напрямую от облака Apple или Google.
- Контекст на экране. Баннер показывает сумму, валюту и иногда последние цифры карты, поэтому легче заметить ошибку или подозрительное списание.
- Независимость от смс-центров. Если у оператора сбой с текстовыми сообщениями, пуш-канал продолжит работать по мобильной передаче данных или Wi-Fi.
Минусы
- Полная зависимость от интернета. Без Wi-Fi и мобильных данных баннер не придёт, а транзакция зависнет до появления сети.
- Пароль и приложение на одном устройстве. При краже разблокированного смартфона злоумышленник получает сразу и банк, и коды.
- Уязвимость уведомлений. Вредоносные программы просят доступ к службе чтения уведомлений и тихо пересылают содержимое баннеров автору атаки.
Дополнительный нюанс. Часть банков показывает код в превью уведомления ещё до разблокировки экрана. Достаточно сфотографировать чужой телефон — и пароль в руках злоумышленника. Обязательно выключите отображение текста на заблокированном дисплее.
Как свести риски к минимуму
- Включите биометрический вход в приложение и настройте автоматическую блокировку экрана через 30 секунд простоя.
- Отключите доступ сторонних программ к уведомлениям: Настройки → Конфиденциальность → Доступ к уведомлениям.
- Скрывайте содержимое баннеров на заблокированном экране: Настройки → Уведомления → На заблокированном экране → Не показывать содержимое.
Что надёжнее при потере телефона
Если смартфон уехал в неизвестном направлении, оба способа оказываются в равном положении: коды приходят туда, где лежит SIM или установлено приложение. Заводить второй телефон для смс готовы не все, а пуш-уведомления на украденном аппарате — подарок для мошенника. Значит, выбирать стоит по удобству и скорости.
Краткое сравнение
| Критерий | Смс-код | Пуш-код |
|---|---|---|
| Интернет не нужен | Да | Нет |
| Скорость доставки | 1-30 сек. | Мгновенно |
| Уязвимость к краже телефона | Высокая, если SIM в том же аппарате | Высокая, если нет блокировки экрана |
| Отдельный «резервный» телефон возможен | Да | Нет |
| Риск SIM-swap | Есть | Нет |
Что выбрать: рекомендации в двух сценариях
- Если часто бываете без интернета (поездки, дача, слабый 4G) — оставляйте смс-коды. Задержка в пару секунд лучше, чем невозможность подтвердить платёж.
- Если всегда онлайн и цените скорость — используйте пуши, но включите биометрию и настройте блокировку экрана через 30 секунд бездействия.
При желании можно подключить оба канала: у многих банков смс работает как резерв, если приложение не доставило пуш за 60 секунд.
Дополнительные советы
- Поставьте лимит на онлайн-покупки: даже украденный код не позволит вывести крупную сумму.
- Обновляйте банковское приложение — в новых версиях чаще улучшают защиту пуш-уведомлений.
- Не держите все счета на одной карте: заведите вторую для разовых покупок в интернете.
- Заблокируйте SIM-карту сразу после кражи телефона — звонок в кол-центр займёт пару минут.
- Храните PIN-код карты и CVC отдельно от телефона — без них даже украденный код не поможет злоумышленнику.
Итог
Пуши побеждают по скорости, смс — по автономности. При краже телефона риски сравниваются, поэтому главный критерий — удобство лично для вас. Добавьте биометрию, лимиты и здоровую настороженность — и подтвердить платёж станет так же просто, как сказать «да», а вот мошеннику придётся искать другую жертву.
