Немного о СБП
Система быстрых платежей, она же СБП — ответ Центробанка переводам «Сбербанк Онлайн». «Зеленый» банк лидирует на рынке переводов, писал «Коммерсантъ». В его приложении можно ввести номер телефона и перевести нужную сумму независимо от того, есть у получателя карта «Сбербанка» или нет.
ЦБ теснит монополиста ради «развития конкуренции и доступности финансовых услуг для россиян» и запустил масштабную систему переводов по номеру телефона. К ней подключились 23 банка, от ВТБ до «Рокетбанка». Велика вероятность, что в приложении вашего банка уже появилось эта опция.
СБП похожа на «Сбербанк Онлайн», за исключением выдачи денег наличкой — этой опции нет. Скачивать ничего не надо, все встроено в приложения банков как дополнительная опция. Ее можно найти рядом с переводами по номеру карты и номеру счета. При заходе в эту форму ваш номер появляется в системе, с него и на него можно переводить суммы до нескольких миллионов рублей (лимит зависит от банка).
На сайте системы указано, что списание и зачисление средств мгновенное, а комиссия за переводы СБП существенно меньше по сравнению с другими способами. При переводе из «Райффайзенбанка», к примеру, комиссии нет вообще, а из «Альфа Банка» она совсем невелика.
Уязвимость открывает данные пользователей
В QIWI объясняют, что СБП — инфраструктура для межбанковского взаимодействия, в рамках которой можно запросить данные клиента банка по номеру телефона.
«Банк-отправитель решает, какую информацию увидит запрашивающая сторона, — признается Андрей Протопопов, генеральный директор АО “КИВИ”. — В целях упрощения клиентского пути банки показывают весь перечень доступных банков с именем, отчеством и маскированной фамилией для данного номера телефона».
Данные открыты не у всех банков. Где-то предлагают выбрать банк адресата из 25 организаций, а где-то сразу указывают банк абонента. В «Тинькофф Банке» можно вбить номер и посмотреть, в каких банках обслуживается этот абонент. А в «Рокетбанке» — увидеть номер его счета, по которому вполне реально определить банк с помощью специальных программ.
«Такое решение — следствие компромисса между удобством и безопасностью и может привести к утечке информации», — поясняет Протопопов. В самой СБП не ответили на запрос Hi-Tech Mail.ru об этой уязвимости и о том, планируют ли ее закрывать.
Как происходит обман
На апрель этого года 90% операций в СБП были неудачными — клиенты пытались сделать перевод человеку в банк, где у того нет счета, сообщал «Коммерсантъ». Это может быть связано и с тем, что пользователи еще не привыкли к новой услуге. Но по мнению ЦПСБ «Инфосистемы Джет» Алексея Сизова показатель настораживает и может указывать на злоумышленников. C помощью системы мошенники, пользуясь открытыми данными, «пробивают» абонентов на предмет наличия счета абонента в банке.
Дальше все просто: злоумышленник звонит клиенту, представляется службой безопасности этого банка и выспрашивает коды и пароли, чтобы получить доступ к личному кабинету жертвы. Как это бывает, мы уже рассказывали здесь. Для достоверности мошенники могут даже подделать номер банка. Поэтому им и важно убедиться, что жертва имеет там счет.
Источник в одном из банков замечает, что злоумышленники получают данные (ФИО и номера кредиток) через разные каналы: базы налоговых, ГИБДД. СБП — новый способ найти данные, но не самый быстрый. В «Росбанке» напоминают, что к системе уже подключены более 20 банков, и метод «перебора» банков по номеру телефона потребует от мошенников значительных трудозатрат.
По словам источника, от этого перебора предусмотрена защита. Мы зашли в приложение «Тинькофф Банка» и проверили. На первых четырех попытках выбрать банк получателя появлялась информация, что он не клиент выбранного банка. А на следующих попытках данные были уже недоступны. Блокировка держится несколько часов, а то и весь день. При этом, переводы делать можно, но нужно точно знать банк получателя.
Как защититься от мошенников
«В приложениях ряда банков уже сейчас можно установить запрет на осуществление переводов через СБП», — говорит Виктория Рыбалко, адвокат «Щеглов и Партнеры». Если переводы по номеру телефона вам не очень нужны, то это лучший выход. Если хочется пользоваться опцией или банк не дает отказаться, то применяйте следующие меры предосторожности:
- Не вступайте в диалог по входящим звонкам со странной информацией. Нужно положить трубку и перезвонить по правильному номеру телефона в официальный колл-центр банка. Такие рекомендации дает Нина Култышева, эксперт Национального центра финансовой грамотности.
- «Лучше привязывать счет к отдельному номеру телефона. Я так делаю для защиты своего аккаунта в Инстаграме. Раскрученные аккаунты тоже часто пытаются украсть. Этот номер телефона я не указываю на визитках. Он стоит у меня в телефоне второй симкой и используется для запасного интернета и системы быстрых платежей».
- Установите ежедневный лимит на списание по счету. Мошенники не смогут опустошить весь ваш счет, даже если получат к нему доступ.
Пока система нова, события могут развиваться как угодно. По словам адвоката Виктории Рыбалко, мошенники могут начать использовать специальное программное обеспечение для автоматического выявления банков, в которых открыты счета у физических лиц.
«Но и ЦБ не сидит сложа руки, — замечает Рыбалко. — Например, прорабатывается вопрос об обязательном получении согласия от клиентов банков на осуществление в их пользу денежных переводов через СБП». Возможно, это частично решит проблему. Остается ждать.
Будет полезно узнать:
