Все больше кредитных организаций начинают использовать мессенджеры для общения с вкладчиками. Одновременно эти «новые» средства коммуникации начинают осваивать и мошенники. Насколько новомодные средства общения безопаснее «старых добрых» СМС?
Пользователи Viber недавно снова столкнулись с волной поддельных сообщений от Сбербанка, который использует этот мессенджер для информирования абонентов. Клиенты банка получали сообщения, отправленные мошенником от имени крупнейшей кредитной организации страны. Для достижения достоверности использовалась «аватарка» с логотипом банка, а в качестве имени контакта было указано «9ОО».
«Развод» довольно стандартен: пользователю сообщают, что с использованием его банковской карты была совершена покупка или перевод денег, а чтобы опротестовать операцию, необходимо воспользоваться приведенным в конце сообщения номером службы безопасности. А уже по телефону мошенники вытягивают все необходимые для совершения перевода или оплаты услуг данные.
Внимательные читатели уже заметили, что сообщения были отправлены даже не с номера 900: во-первых, после девятки используются две буквы О, а во-вторых, настоящий номер отправителя в Viber видно только после открытия меню с полной информацией о контакте: в окне чата отображается никнейм, который каждый пользователь может изменить так, как ему будет угодно.
Однако, как показывает практика, страх перед возможностью лишиться средств часто оказывается сильнее голоса здравого смысла: вместо того чтобы проанализировать содержимое сообщения и как минимум сопоставить номер с номером горячей линии банка, абонент вступает в переговоры с мошенником. Чтобы такого не происходило, следует запомнить простое правило: в случае получения сомнительного сообщения звонить в банк необходимо по номеру службы поддержки держателей банковской карты, указанного на самой карте.
Все это очень похоже на «привычные» мошеннические сообщения по СМС. Но, если нет разницы, стоит ли вообще использовать мессенджеры? Разница отсутствует только на первый взгляд. По мнению экспертов в области информационной безопасности, по мере отказа от использования этого средства коммуникации между банком и вкладчиком будет снижаться и количество мошеннических атак.
Чем плохи СМС-сообщения? В первую очередь — своим возрастом. По сути, принципы работы этого канала коммуникации не менялись уже очень давно, и в современном мире не предоставляют никаких средств для защиты информации, передаваемых с его помощью. Злоумышленник может инициировать отправку сообщения от лица банка с помощью поддельной базовой станции, перехватить данные с помощью уязвимостей в сигнальной сети, воспользоваться результатами «трудов» вирусов, «подсаженных» на смартфон жертвы.
Мессенджеры, в отличие от текстовых сообщений, не обладающих даже шифрованием, предоставляют куда больше возможностей для защиты пользователя. Так, на сегодняшний момент все популярные средства для обмена сообщениями включили функцию оконечного шифрования, исключая, таким образом, возможность перехвата информации третьими лицами (конечно, при определенной подготовке взломать можно что угодно, но, в отличие от СМС, эта задача куда более нетривиальна).
Смещение фокуса внимания кредитных организаций с СМС на новые средства коммуникации уже происходит. Хотя бы потому, что мессенджеры предлагают гораздо более интересную функциональность. Например, чат-ботов, которые в перспективе могут заменить людей на первой линии поддержки. Но как определить, что с тобой общается непосредственно банк, а не мошенник, им притворяющийся?
По этому вопросу мессенджеры тоже могут дать фору СМС. К примеру, социальная сеть Facebook* уже давно ввела у себя функцию подтверждения аккаунтов известных лиц и организаций. «Проверенный» аккаунт отмечается специальным значком и соответствующей подписью. Соответственно, в Facebook* Messenger такой аккаунт будет также отмечен как достоверный.
Аналогичная система есть и у мессенджера Viber: пользователь может пройти процедуру верификации и таким образом обезопасить свой аккаунт от подделки. Злоумышленник может как угодно менять «никнейм», но верифицированный аккаунт изобразить не получится.
На приведенных ниже скриншотах можно увидеть отличия настоящего, верифицированного аккаунта от фейкового (выше): в списке контактов аккаунт кредитной организации отмечен зеленым значком, что означает, что он прошел верификацию. Подтверждение этому можно найти и на экране чата, где сообщается о прохождении проверки и пользователю предоставляется возможность увидеть подробную информацию. Кроме того, можно заметить, что мошенники не скопировали правильное название и не обратили внимания на прозрачность логотипа.
«Крупная компания, тем более финансовая организация, может обращаться к пользователям в мессенджерах или социальных сетях только с верифицированного аккаунта. На текущий момент это самый быстрый и простой способ понять, пишет вам компания или мошенник. При получении сообщения от неверифицированных каналов мы рекомендуем игнорировать его и поставить отметку «Пожаловаться на спам», — поясняют в пресс-службе Сбербанка.
Павел ШОШИН, Banki.ru
*Сервис/сервисы, принадлежащие Meta, признанной в РФ экстремистской организацией, деятельность которой запрещена на территории РФ
Комментарии
угу. угу.
- Айфон 6 очень плох.
- Чем же?
- Как чем? Вышел же айфон 7.
Много вы слышали о взломе смс? непосредственно самого смс, подмены номера и пр.
Не дешевки "мама, я попал в аварию кинь мне на этот номер 100500 рублей", а что бы фальшивое смс приходило с реального номера?
Я такое только читал в хакерском журнале, как "ну может быть, если пентагон подключить и АНБ".
Все остальные случаи мошенничества с помошью смс - это или дурость самого владельца телефона, когда он передает инфу сам в руки преступников или вирусы и трояны, что по сути тоже является дуростью владельца телефона.
Если троян у вас в оси в правами роот, то уже глубоко пофигу, от авторизированного участника придет сообщение или нет, его текст будет у мошенников, о чем вы узнаете только постфактум.
Потому, призыв пользоваться мессенждерами для авторизации - это как призыв покупать продажную любовь на дороге и спрашивать справку о наличии прививки от гриппа, как страховку от подцепить заразу.
Есть другой, надежный способ - называется "спиодин". И только он дает 100% безопасность. Ну 99.9999999%
Только отдельный телефон, номер которого не засвечен в соцсетях и прочих мусорках, без выхода в инет, без возможности установки на него дополнительного ПО, от ведущих брендов и старые надежные смс дает те самые заветные 99,999999%
А если хочется 99,999999999% - то только генератор случайных кодов, но увы, далеко не всякий банк его предоставляет.
А смартфоны, мессенджеры, соцсети -для сумм не более одной з/п, что бы только на чашечку кофе. Стырят -та и фиг с ним, надеюсь людям на пользу пойдет.
Вспомнилась поговорка... волков бояться в лес не ходить. Может тогда вообще стоит отказаться от всех благ цивилизации и расплачиваться кусочками золота? Ну чтобы фальшивые банкноты не попали в руки.
Однажды учитель информатики спросил - какой компьютер на 100% защищён от вирусов? Ответ - выключенный из сети, но толку от него нет.
Вы абсолютно правы!
Причем тут Айфон 6 и Айфон 7? Отличный смартфон, на который будут равняться все производители смартфоном мира! А СМС взламывать есть смысл хакерам, которые хотят сорвать большой куш - ограбить очень состоятельную знаменитость. Но рядовому гражданину это почти не грозит. Правильно сказал Le castor - Вспомнилась поговорка... волков бояться в лес не ходить. А к Америке придираться на нужно, потому что это великая страна!