Авторские материалы Не совсем секретный код: банки «решили помочь» мошенникам обмануть клиентов
Персоны
Банки сыграли на руку мошенникам. Новые правила проверки клиентов через СМС признали рискованными для обладателей карт и счетов. Их суть в том, что клиента обязывают называть сотруднику код из секретного сообщения, хотя ранее делать это категорически запрещалось. Эксперты по безопасности считают, что новые правила меняют шаблон поведения людей: однажды по невнимательности они могут выдать свои данные мошенникам. У преступников уже есть отработанные схемы. Технология подмены номера позволяет им звонить с официальных телефонов банков и даже государственных служб. Экономический обозреватель «Вестей ФМ» Валерий Емельянов продолжит тему.
Все чаще банки запрашивают секретные коды из СМС-сообщений у своих клиентов. Обычно их просят сообщить в отделении, на этапе оформления новой карты. Так банки защищаются от мошенничества со стороны сотрудников – чтобы те не выписывали финансовые продукты «мертвым душам» для получений бонусов и премий. В некоторых банках такие «не совсем секретные» СМС высылают при общении с сотрудником в интернет-чате – например, если надо отключить платную подписку. Опять же – чтобы работники не делали это без ведома клиентов.
Аналогично система действует при звонке в банк, если нужно решить какую-то мелкую проблему с настройками счета. Клиенту приходит проверочное СМС-сообщение, и он доложен зачитать его содержимое, чего раньше отделы безопасности не позволяли делать категорически. Опасность в том, что люди только-только привыкли к тому, что сообщать номера своих карт и коды из сообщений никому нельзя. И вот, оказывается, есть ситуации, при которых это нужно делать. Комментирует эксперт «Международного финансового центра» Сергей Фёдоров.
ФЁДОРОВ: Предположим, человек часто делает покупки, ему приходят СМС-сообщения, он к этому привыкает и может не заметить, что на этот раз звонят не из банка. Клиент должен быть еще внимательнее, чем прежде. Но насколько мы можем рассчитывать, что человек распознает обман? Это и есть основном негативный момент. Я бы лично сам не стал пользоваться услугами, которые предполагают, что я должен позвонить в банк и назвать код.
Банки уверяют, что этот алгоритм надежно защищен, и людям, даже не очень внимательным, ничего не угрожает. Во-первых, код запрашивают исключительно в тех случаях, когда клиент сам написал, позвонил или пришел в отделение. Если нужно что-то самому банку, он никакие данные не запрашивает – только информирует клиента. А во-вторых, в тех СМС, которые нужно зачитывать оператору, часто прямо указывается, что это – проверочный код, который сейчас в порядке исключения следует сообщить сотруднику банка. Ещё одно отличие – "секретные" СМС всегда зашифрованы цифрами, а обычные – набором букв. Впрочем, некоторые банки просто высылают пароль без объяснения – можно его кому-то его сообщать или нет. Это вредит и клиентам, и самим банкам, считает руководитель аналитического центра компании Zecurion Владимир Ульянов.
УЛЬЯНОВ: Конечно, это небезопасно. Более того, подобные средства удаленного подтверждения личности все несут в себе угрозу. Взять то же кодовое слово, которое нужно называть по телефону: это не всегда удобно, особенно если вы – в людном месте. Кто-то, в том числе и злоумышленники, может подслушать, поэтому аутентификация по телефону в любом виде создает проблемы.
В последние годы мошенники достигли совершенства при манипуляции с картами. С помощью IP-телефонии они умеют звонить с любых номеров – официальной линии банка, из налоговой, службы судебных приставов или местной администрации. А средства социальной инженерии позволяют прямо или косвенно получить все данные, необходимые для взлома счетов. И если раньше, когда сервисы банка были привязаны к компьютеру, а коды приходили на телефон, сделать это было сложно, то сегодня, в эпоху смартфонов и мобильных приложений, мошенничество процветает, добавляет Владимир Ульянов.
УЛЬЯНОВ: С точки зрения безопасности – это еще неплохо. Потому что предполагается, что одновременно узнать логин, пароль и завладеть телефоном злоумышленник не может. А сейчас, когда очень много операций проводится с одного смартфона, и туда же приходит СМС с одноразовым паролем... Если у вас заведется в устройстве программа-шпион, то она берет его под контроль и после этого может мгновенно списывать деньги со счетов и карт.
Излишняя нагрузка на телефон при хранении секретных данных рано или поздно приведет к массовым проблемам, добавляют эксперты. В качестве мер личной безопасности они советуют пользоваться немного устаревшими, но пока еще актуальными средствами аутентификации – например, чеками с одноразовыми кодами, которые можно распечатать в банкомате. В некоторых банках для этих целей используют скретч-карты с набором паролей, которые также заменяют собой секретные СМС.
Но полностью от мошенников се равно не защититься. Если у человека есть карта, на которой лежат деньги, то потерять их можно любым из десятков способов: из-за скимера в банкомате, ошибок в настройках терминала, дубликата карты, сделанного в магазине, "слива" данных через шлюзы платежных систем в Интернете и многого-многого другого.