Банки без обязательного MFA оставляют счета открытыми для воров

Обозреватель The Register, пишущий о безопасности, рассказал о том, как профессиональные мошенники получили доступ к счетам его 84-летней матери и украли $30 тысяч. Воры обошли защиту несколькими способами: они использовали повторное использование пароля (мать использовала один пароль на нескольких сервисах), взломали её Gmail, создали фильтры спама чтобы скрыть уведомления от банков, и аккуратно вывели деньги, зная дневные лимиты снятия. Эта кража была полностью предотвратима, если бы банк и Google требовали двухфакторную аутентификацию, но большинство финучреждений ставят её опциональной в угоду удобству. PNC требует MFA, но Chase, Bank of America, Capital One, Citibank и Google оставляют это на усмотрение пользователя. Статья рассматривает эффективность MFA: Microsoft заявляет, что MFA блокирует 99.9% атак, однако эксперты подвергают это критике, указывая на социальную инженерию и фишинг. одноразовые коды (OTP) через SMS или email легко перехватываются (особенно через SIM-swap); правильное решение, passkeys (криптографические ключи, привязанные к устройству, невосприимчивые к фишингу). Некоторые банки уже развёртывают passkeys (Wells Fargo, US Bank, BoA), но многие остаются на OTP или предлагают биометрию только в мобильных приложениях. Статья критикует подход, когда безопасность опциональна: если большинство людей её не включит, воры выберут путь наименьшего сопротивления.
Ключевые факты
- Матери автора украли $30 000 из учётных записей, которые не защищены обязательным MFA
- Крупные банки (Chase, BoA, Citi) и Google держат двухфакторную аутентификацию опциональной в угоду удобству
- SMS и email OTP легко перехватываются; правильное решение, passkeys, которые невозможно получить фишингом
- Microsoft заявляет, что MFA блокирует 99.9% атак, но эксперты указывают на социальную инженерию и истощение кодов
- Если безопасность опциональна, большинство пользователей её не включит, и воры выберут эти счета как цели
Почему это важно
Хищение произошло потому, что ни один из критических сервисов (банк, Gmail, счет пенсионных сбережений) не требовал второго фактора аутентификации. Банки знают о рисках, они не позволяют транзакции без пароля и выдают карты с ПИН-кодом. Однако когда дело доходит до онлайн-доступа, многие жертвуют безопасностью для удобства, боясь потерять клиентов из-за трения при входе. Как отметил CEO FIDO Alliance: разные слои населения внедряют технологии с разной скоростью, и банки опасаются отсечь менее технически подкованных пользователей.
Кому это важно
Прежде всего, потребителям, особенно пожилым и нетехнически подкованным, которые чаще становятся жертвами. Статья отмечает, что мать автора одна потратила часы в телефонной очереди на оспаривание транзакций. Но это также критично для самих банков: Закон о защите потребителей (CFPB) дает клиентам 60 дней на оспаривание, банк имеет 45 дней на расследование, но банк может отказать в возмещении, и тогда клиент вынужден нанимать адвоката. В результате банки несут прямые убытки на возмещениях.
Как это применить
Пользователи должны включать MFA везде, где она доступна. Лучший способ, passkeys, которые привязаны к устройству через криптографические пары ключей и требуют PIN, отпечатка пальца или физического ключа (типа Yubikey). Passkeys невозможно перехватить или получить фишингом. Если доступны только SMS или email OTP, то это лучше, чем ничего, но нужно защищать номер телефона (SIM-swap риск) и почту. Банкам нужно делать MFA обязательной по умолчанию на ВСЕХ каналах доступа (веб и мобиль) и активнее внедрять passkeys как стандарт.
Можно ли доверять
История полностью проверяема: это реальный кейс от колумниста The Register с именем, датой (май 2026) и конкретными суммами. Цитируются признанные эксперты: CEO FIDO Alliance, CEO финтех-компании, источники включают Microsoft и примеры реальных банков. Статья основана на опубликованной информации CFPB о правах потребителей при фрауде. Это серьёзный аналитический материал, а не сатира (хотя The Register публикует сатиру, это не она).
Риски и подводные камни
OTP через SMS уязвимы к SIM-swap атакам (социальная инженерия оператора сети). Email OTP подвергается риску, если сама почта некорректно защищена. Фишеры могут создать поддельную страницу входа, чтобы заставить пользователя раскрыть OTP. Некоторые банки предлагают биометрию только в приложении, но не на веб-сайте, воры будут атаковать веб. Если MFA опциональна, большинство не включит её, и те, кто включит, могут быть целенаправленно пропущены для более лёгких мишеней. Passkeys требуют поддержки браузеров и устройств (ещё не повсеместная), и переход может быть длительным.
«OTP, это просто ещё один пароль, просто более короткоживущий. Но это действительно просто ещё один пароль. К тому же есть проблемы удобства. Вы жонглируете между мобильным и рабочим столом. Это небезопасно, неэффективно и очень плохой пользовательский опыт.»
— Andrew Shikiar, CEO FIDO Alliance