Как выяснил «Ъ», сотрудники банков все чаще запрашивают по телефону у клиентов коды из отправленных им SMS-сообщений для дополнительной аутентификации. В банках считают это безопасным, поясняя, что в сообщениях указывают, какие из кодов можно называть, а какие нет. Но эксперты по информбезопасности предупреждают — при том, что мошенники все чаще звонят с подмененных номеров, привычка называть коды может обернуться для клиентов банков массовыми потерями средств.
О том, что банковские сотрудники стали чаще запрашивать у клиентов коды из присылаемых SMS-сообщений для аутентификации клиента, «Ъ» рассказали эксперты по информационной безопасности. Они всерьез обеспокоены данной практикой из-за развивающейся социальной инженерии, в том числе с подменой номера банка для введения в заблуждение клиентов. «Случаи, когда банки просят называть коды из SMS, могут изменить шаблон поведения клиента и сформировать у него понимание, что это норма, — говорит управляющий партнер экспертной группы Veta Илья Жарский.— Однако серьезные риски из-за этого появились лишь в конце прошлого года, когда мошенники начали звонить с подмененных телефонов банка».
«Формируется шаблон поведения: сотрудник банка может запросить код из SMS, и это нормально — это нужно для выполнения операции», — написал один из клиентов банка. Он также отметил, что попытался обратить на данную проблему внимание банка, однако «нарвался на стену непонимания».
Традиционно банки используют коды, присылаемые в SMS, для подтверждения списания денежных средств, и их нельзя называть кому-либо, в том числе и сотруднику банка. Ряд банков отправляют клиентам коды, которые им необходимо называть сотрудникам в офисе при совершении отдельных операций (например, при подключении автоплатежей, досрочном погашении кредитов, для проверки корректности номера телефона и др.) для обеспечения их дополнительной безопасности. Такая практика есть, например, в МКБ, ВТБ, «Открытии».
«Когда кредитная организация просит назвать присланный код именно в офисе банка, она защищает себя от возможного мошенничества со стороны сотрудников, поскольку названный код дает возможность подтвердить, что клиент давал согласие на проведение операции», — поясняет начальник отдела по противодействию мошенничеству ЦПСБ «Инфосистемы Джет» Алексей Сизов.
«Промсвязьбанк использует код из SMS как один из дополнительных параметров подтверждения личности клиента, звонящего в контакт-центр, — сообщили в пресс-службе банка. — В тексте такого сообщения говорится, что его нужно назвать сотруднику банка». Почта-банк запрашивает код подтверждения той или иной операции или услуги по инициативе клиента — звонке, визите в отделение или в банковском чате. «Следует различать коды подтверждения, приходящие в SMS от банка, — отметили в пресс-службе Почта-банка.— Код, используемый в качестве простой электронной подписи, приходит клиенту только при его входящем обращении в банк и в непосредственном контакте с сотрудником банка, что делает операцию максимально защищенной». При этом в банке добавили, что, когда отправляют SMS от банка с кодом подтверждения списания средств, в нем всегда содержится пометка, что этот секретный код не следует сообщать никому.
В Тинькофф-банке сотрудник банка запрашивает код из SMS при обращении клиента в чат поддержки только для подключения или активации услуги. «Такие SMS-текстовки спутать невозможно, в самой SMS содержатся ее определенное назначение и предупреждения для противодействия социальной инженерии», — сообщили в банке. Там также отметили, что, по «внутренней статистике, основанной на анализе собранных за годы работы данных, вероятность того, что клиент расскажет SMS-код мошенникам, если в сообщении есть фраза 'Никому не говорите код', зависит преимущественно от социально-демографических факторов, которые учитываются в системах антифрода» банка.
По словам господина Сизова, есть риск, что отдельные граждане сочтут называние кода из SMS сотруднику банка нормой и будут делать то же самое и при звонке якобы из банка, а в реалии — от мошенников. По словам одного из собеседников «Ъ» в крупном банке, банки сами стремятся отойти от рассылки кодов в SMS из-за активного использования социальной инженерии мошенниками, но полностью отказаться от нее сложно в силу технологических и экономических ограничений.
В ЦБ не ответили на запрос «Ъ» относительно рисков применения указанной практики и целесообразности ее запрета. Там лишь указали, что в Банк России не поступало жалоб на подобного рода проблемы.
Светлана Самусева, Вероника Горячева
Читайте также: