Чем опасны банковские СМС
Сотрудники банков все чаще запрашивают по телефону у клиентов коды из отправленных им СМС-сообщений для дополнительной аутентификации. В банках считают это безопасным, поясняя, что в сообщениях указывают, какие из кодов можно называть, а какие нет.
Но эксперты по информбезопасности предупреждают - при том, что мошенники все чаще звонят с подмененных номеров, привычка называть коды может обернуться для клиентов банков массовыми потерями средств.
Они всерьез обеспокоены данной практикой из-за развивающейся социальной инженерии, в том числе с подменой номера банка для введения в заблуждение клиентов. «Случаи, когда банки просят называть коды из СМС, могут изменить шаблон поведения клиента и сформировать у него понимание, что это норма. Однако серьезные риски из-за этого появились лишь в конце прошлого года, когда мошенники начали звонить с подмененных телефонов банка», рассказал «Коммерсанту» управляющий партнер экспертной группы Veta Илья Жарский.
Традиционно банки используют коды, присылаемые в СМС, для подтверждения списания денежных средств, и их нельзя называть кому-либо, в том числе и сотруднику банка. Ряд банков отправляют клиентам коды, которые им необходимо называть сотрудникам в офисе при совершении отдельных операций (например, при подключении автоплатежей, досрочном погашении кредитов, для проверки корректности номера телефона и др.) для обеспечения их дополнительной безопасности. Такая практика есть, например, в МКБ, ВТБ, «Открытии».
«Когда кредитная организация просит назвать присланный код именно в офисе банка, она защищает себя от возможного мошенничества со стороны сотрудников, поскольку названный код дает возможность подтвердить, что клиент давал согласие на проведение операции», - поясняет начальник отдела по противодействию мошенничеству ЦПСБ «Инфосистемы Джет» Алексей Сизов.
Однако в некоторых банках также запрашивают у клиентов коды из СМС при обращении в колл-центр или чат банка и уверены, что это безопасно.
«Промсвязьбанк использует код из СМС как один из дополнительных параметров подтверждения личности клиента, звонящего в контакт-центр, - сообщили в пресс-службе банка.- В тексте такого сообщения говорится, что его нужно назвать сотруднику банка». Почта-банк запрашивает код подтверждения той или иной операции или услуги по инициативе клиента - звонке, визите в отделение или в банковском чате.
«Следует различать коды подтверждения, приходящие в СМС от банка, - отметили в пресс-службе Почта-банк. - Код, используемый в качестве простой электронной подписи, приходит клиенту только при его входящем обращении в банк и в непосредственном контакте с сотрудником банка, что делает операцию максимально защищенной». При этом в банке добавили, что, когда отправляют СМС от банка с кодом подтверждения списания средств, в нем всегда содержится пометка, что этот секретный код не следует сообщать никому.
По словам господина Сизова, есть риск, что отдельные граждане сочтут называние кода из СМС сотруднику банка нормой и будут делать то же самое и при звонке якобы из банка, а в реалии - от мошенников. По словам одного из собеседников «Ъ» в крупном банке, банки сами стремятся отойти от рассылки кодов в СМС из-за активного использования социальной инженерии мошенниками, но полностью отказаться от нее сложно в силу технологических и экономических ограничений.
Мы в социальных сетях