Предложения банкам для улучшения безопасности.

11.07.2020 14:24 11 1 727 просмотров
Просим пользователей портала присоединиться к обсуждению данной статьи с критикой и предложениями!

В настоящее время страну захлестнуло цунами мошенничества: телефонные мошенники, звонящие от лица служб безопасности банков, фишинговые сайты, копирующие популярные сайты и платежные системы, рассылки по sms и безакцептные списание в счет услуг, которых клиенты не совершают. За первые четыре месяца 2020-го года число кибер-преступлений в десятки раз превысило сезонные показатели мошенничества (https://ria.ru/20200704/1573879862.html) и продолжает расти, о чем банки знают лучше всех остальных

В составе инициативной группы потерпевших от дистанционного мошенничества, мы узнали много тревожных фактов, касающихся безопасности денег клиентов в век технологий, безнадежной отсталости правоохранительных органов России, а также безразличия банков к жертвам преступников:

1-е, что нужно понимать: такие преступления не расследуются. Вы, наверное, не раз слышали, что телефонных мошенников ловят, часто или редко. Так вот это неправда. Мы имеем возможность следить за развитием более 15 уголовных дел, включая дела о хищениях в особо крупном размере, и ни в одном из случаев безнадежно отставшие в технологическом плане правоохранительные органы России не предвещают ничего кроме выполнения бессмысленных процедур и перекладывания бумажек.

2-е в Сбербанке постоянные утечки данных. Мы следим за отзывами в народном рейтинге в течение нескольких месяцев с момента продажи банка ЦБ Правительству и регулярно наблюдаем вот такого рода отзывы:
https://www.banki.ru/services/responses/bank/response/10388104/ - звонок после оформления дебетовой карты
https://www.banki.ru/services/responses/bank/response/10389170/ - звонок после подачи заявки на ипотеку
https://www.banki.ru/services/responses/bank/response/10385555/ - мошенники знали реквизиты новой карты
https://www.banki.ru/services/responses/bank/response/10383259/ - звонок после обновления данных
https://www.banki.ru/services/responses/bank/response/10387315/ - мошенники знали, когда клиент посещал отделение банка
https://www.banki.ru/services/responses/bank/response/10376910/ - мошенники знали детали недавней транзакции клиента
https://www.banki.ru/services/responses/bank/response/10395216/ - мошенники начали звонить сразу после открытия карты
*Обратите внимание на даты

3-ий печальный факт: банки ничего не предпринимают, видя, какими темпами усугубляется ситуация. В Сбербанке так вообще месяцами не реагируют на запросы правоохранительных органов, отвечают отписками или придирками к форме оформления, что делает любое расследование безнадежно медленным.
Иными словами после факта мошенничества жертвам в нашей стране надеяться практически не на что. Поэтому в данной статье мы обращаемся к банкам с предложениями и призывом к тому, что они могли бы предпринять для предотвращения мошенничества:

[/I]«Не оставляйте судьбы своих клиентов в руках российской полиции»

Обращение в первую очередь к Сбербанку, так как у него больше всего клиентов, а следственно жертв. Но вот, что важно сказать эффективным менеджерам всех банков. Мы вступили в такое время, когда новое появляется ежедневно. А новое – это новые возможности. Для мошенников в том числе. Внедряя что-то новое, технической стороне безопасности вы уделяете достаточно внимания, но 97 % всех актов мошенничества - это социальная инженерия (https://rg.ru/2019/11/07/cb-socialnaia-inzheneriia-ispolzuetsia-v-97-sluchaev-krazhi-deneg-s-kart.html). Может, настало то время, когда действительно надежными из вас смогут называться те банки, которые обезопасят своих клиентов и от таких рисков?

Призывая своих клиентов быть бдительными, вы делаете упор на два посыла: НИКОМУ НЕ СООБЩАЙТЕ КОД ИЗ СМС и НИКОМУ НЕ СООБЩАЙТЕ CVC-КОД С ОБРАТНОЙ СТОРОНЫ КАРТЫ.

Практика показывает: это не играет никакой роли, если мошенникам удается убедить человека, что он разговаривает с сотрудниками банка. Сотрудникам банка люди часто говорят все, а часто мошенники и не спрашивают у клиентов код, побуждая их ввести его в форму на своем фишинговом сайте.
Отсюда наше первое предложение банкам по усилению безопасности.

1. Начните, наконец, предупреждать клиентов о всех распространенных сценариях обмана.
Почему за вас это делают видео-блогеры или просто случайные неравнодушные люди?
Раздавайте памятки безопасности в отделениях, предупреждайте через сотрудников, Главное, присылайте по sms или в приложения регулярно предупреждения, о том, как действуют мошенники. Развод от лица Службы Безопасности банка стал золотой жилой для ОПГ. Предупреждая о нем, вы бы спасали сотни тысяч людей ежегодно!

Примеры текста:
«Участились случаи, когда мошенники, представляясь Службой Безопасности или Финансового мониторинга банка, сообщают ложную информацию о попытках снятия с вашего счета денег третьими лицами. Пожалуйста, будьте бдительны, при возникновении сомнений перезванивайте на номер 900».
«Перезванивайте на номер 900 - это всегда безопасно» - вот главный посыл.
В день рождения клиента в 00:00 вы можете отправить ему следующее уведомление:
«Уважаемый клиент, будьте бдительны! Сегодня вам может поступить сообщение о том, что Сбербанк дарит вам баллы Спасибо на ваш день рождения. Данное сообщение поступает от мошенников - ни в коем случае не переходите по ссылке в нем.»

Почти все приложения используют push-уведомления своим пользователям: о новом ролике на youtube, о новом подкасте, о новой публикации в чьем-то инстаграме.

Никто не отвернется от вас, если ваше приложение хоть раз в неделю начнет присылать таким образом предупреждения безопасности.
Нам хорошо понятно, почему вы не делаете такие предупреждения, ограничиваясь только техническими, хотя они могли бы спасти тысячи ваших клиентов от обмана. Вы остерегаетесь того что в клиентах угаснут чувства беспечности, надежности и доверия, которые так важны вам самим, чтобы продавать новые кредиты и услуги. И, конечно мы не собираемся апеллировать к вашей совести или доброте. Мы лишь хотим сказать, что, возможно, настало время взвесить репутационные потери и от мошенничества над вашими клиентами. Ведь даже понимая, что попались сами, жертвы, в большинстве своем субъективно все равно винят банк.
Систему безопасности Сбербанка не трудно скомпрометировать на фоне тучи вот таких сообщений об операциях без подтверждений или открытии карт на лиц без их ведома:
https://www.banki.ru/services/responses/bank/response/10396320/ - смс о заказе карты и потом просто списали
https://www.banki.ru/services/responses/bank/response/10396421/ - просто списали
https://www.banki.ru/services/responses/bank/response/10396155/ - просто списали
https://www.banki.ru/services/responses/bank/response/10394178/ - списали пока в Индии была
https://www.banki.ru/services/responses/bank/response/10389866/ - списали с новой карты, а отображена старая - 29$
https://www.banki.ru/services/responses/bank/response/10389466/ - открыли счета без ведома клиента
https://www.banki.ru/services/responses/bank/response/10389183/ - прости списали у пенсионера
https://www.banki.ru/services/responses/bank/response/10388244/ - просто списали деньги
https://www.banki.ru/services/responses/bank/response/10387390/ - просто списали деньги
https://www.banki.ru/services/responses/bank/response/10387243/ - просто деньги списались
https://www.banki.ru/services/responses/bank/response/10387333/ - просто списались деньги
https://www.banki.ru/services/responses/bank/response/10356637/- оплачивали картой транспорт
https://www.banki.ru/services/responses/bank/response/10357397/- пытались снять деньги, пока клиент в Швеции
https://www.banki.ru/services/responses/bank/response/10360084/ - тоже 29 евро списали
https://www.banki.ru/services/responses/bank/response/10360447/ - просто списали 29 евро
https://www.banki.ru/services/responses/bank/response/10364848/- просто пропали деньги со вклада
Но лучше ведь ее усилить. Предупреждайте ваших клиентов о том, как их могут обмануть. Хотя бы раз в месяц. Технических предупреждений "Никому не сообщайте код", очевидно, уже не достаточно. Сравните краткосрочные расходы на такие рассылки с долгосрочными потерями от утраты у большого количества ваших клиентов чувства защищенности.

2. Разнообразьте сообщения безопасности
Если все-таки мошенникам удается убедить человека, что с ним говорят сотрудники банка, чаще всего они пытаются побудить его назвать код из sms якобы для отмены операции или возврата денежных средств якобы «роботизированной системе» Так разнообразьте само сообщение безопасности!
Всегда приходит: «Никому не сообщайте код».

Добавляйте к этому хоть иногда:
- «Никогда не озвучивайте код вслух».
- «Данный код предназначен только для входа в личный кабинет и может быть введен только вами».
В конце концов, можно писать, что «Роботизированных систем принимающих данный код вашим голосом не существует».
Делайте это хотя бы тогда, когда ваше приложение на смартфоне клиента регистрирует, что код был запрошен во время телефонного разговора.

3. Уточнения перед переводом
Один из сценариев обмана, который используют наиболее умелые мошенники в отношении наиболее состоятельных клиентов: убедить жертву самостоятельно перевести средства. Это сценарий, при котором, мошенники, не рискуя выманить у жертвы код подтверждения, вместо этого убеждают ее в том, что на ее имя открыта новая карта, которая до заполнения документов привязана к сотруднику службы безопасности банка, и что нужно перевести на эту самую карту, на эту самую «сберегательную ячейку или счет» свои деньги, чтобы сохранить их.
Вы ведь можете предупреждать клиента перед переводом о том, что
«Переведенные средства станут собственностью лица, которому совершается перевод».
В приложении или же словами, когда клиент выполняет перевод через кассу, сообщите ему о том, что его
«Перевод не является сбережением на сберегательной ячейке»
и ничем другим кроме перевода, а деньги сейчас уйдут в собственность другого человека. Хотя бы в тех случаях, когда клиент выполняет кому-то перевод впервые. Несложно реализовать, чтобы в приложении перед переводом появлялось popup-окно с памяткой безопасности, где в конце была бы галочка «Не показывать снова». Хоть раз, но вы предупредите клиента.

4. Выделяйте sms с онлайн-сервисов
Почти всегда для убеждения жертвы в том, что с ней говорят из банка, злоумышленники используют отправку sms-сообщений с номера банка. Например, генерируют sms с номера 900 о заказе новой дебетовой карты, дистанционном резервировании или регистрации, введя номер телефона клиента Сбербанка на сайте банка или онлайн-сервисах банка, таких как "Домклик"



Не смотря на содержание, такие sms-сообщения действуют очень убедительно на жертву, введенную мошенниками в стресс.
Может, стоит отправлять подобные sms с номера отличного от основного номера банка? У клиентов Сбербанка повышенное доверие к номеру 900. И отправляйте предупреждения предосторожности хотя бы в таких автоматических sms. Добавьте в них информацию о том, каким образом они были сгенерированы:
«Данное сообщение отправлено вам потому, что вы заполнили свои данные на странице заказа дебетовой карты на сайте Сбербанка»
или же
«Данное сообщение отправлено автоматической системой сервиса Домклик, и не может служить для подтверждения статуса сотрудника Сбербанка».

Мошенники изобретают новые схемы обмана, используя ваши сервисы. Не стойте же на месте и укрепляйте обнаруженные слабые места.

5. Технические меры безопасности
С ними мы обращаемся к отделам разработки банков. Если все-таки то, что пишут пользователи на banki.ru правда, и мошенники могут подменять номера телефона и звонить клиентам с телефона банка или писать с номера банка (например, 900), то есть предложение по технической части.
Пользователям, у которых на устройстве стоит ваше приложение и даны права на sms/звонки, отправляйте в сообщениях hash-пароль, который перед отправкой записан на стороне вашего сервера. На устройстве приложение реагирует на звонок с номера банка или проверяет отправленный в sms от банка hash-пароль через Интернет. Если на стороне банка не фиксировалось, что клиенту в этот момент звонят сотрудники банка, или hash-пароль из sms не имеет совпадения с тем, что в базе, то блокируйте действия клиента, до выяснения СБ обстоятельств, или не блокируйте, а хотя бы отправляйте ему памятку безопасности. Вариантов тут много, но в любом случае таким образом удастся уберечь больше клиентов.

6. Предоставьте возможность отключать функцию дистанционной выдачи кредита клиентам без участия сотрудников банка.
Сегодня получить кредит можно несколькими кликами в приложении банка. Вам конечно выгодно держать перед глазами клиентов такой соблазн

Но на наш взгляд важнее обезопасить от рисков мошенничества тех клиентов, которые не планируют пользоваться услугами кредитования или кредит не нужен в принципе (пенсионеры, например, или студенты). По умолчанию данная услуга должна быть отключена и включаться должна только с участием сотрудника. На данный момент Сбербанк не предоставляет возможности даже по запросу отключить в личном кабинете эту безусловно удобную, но очень опасную в неопытных руках, функцию.

7. Отдельное обращение к Службе Безопасности ПАО «Сбербанк»
Вам давно уже нужно создать отдел для быстрого взаимодействия с органами следствия. А то они в оправдание своей беспомощности приводят довод о том, что на их запросы ваш банк отвечает месяцами. Мы поначалу не верили им, но к сожалению, это оказалось правдой. Примите, пожалуйста, меры. Невозможно вести следствие по делу о дистанционном мошенничестве ожидая ответов на запросы месяцами. Сделав 5 переводов со счета на счет, мошенники за 5 минут могут продлить работу следствия на полгода.

Призываем банки отреагировать на наши предложения и поднять вопросы об изменении отношения к дистанционному мошенничеству, построенному на социальной инженерии. Пока ситуация в стране такова, что Вы можете, сделать гораздо больше, чем следственные органы, на которых обманутым людям приходится полагаться после факта мошенничества.

Комментарии 11

StanislavOlllin  (StanislavOlllin)
#
Предложение пользователя Ever⚡:
Договор ДБО должен содержать конкретный перечень дистанционных банковских услуг, и клиент должен иметь право отказаться от любой из этих дистанционных услуг, с возможностью подключения ее вновь только в офисе, с паспортом.
Сейчас практически любой банк подключает потенциально опасные дистанционные сервисы без согласия клиента, и даже без уведомления.
Это и дистанционная смена логина-пароля для входа в ЛК по номеру карты, без полной идентификации клиента, и дистанционное оформление кредитов, и дистанционное досрочное закрытие вкладов, и выполнение переводов на большие суммы сторонним лицам (либо в рамках лимитов, устанавливаемых самим банком, либо вообще без возможности ограничить сумму операции лимитом, либо с увеличением лимитов на переводы без дополнительной идентификации клиента, только по смс).
Лично я на методы социальной инженерии вряд ли поведусь, да и с телефонными номерами я осторожна - нигде "банковские" телефоны сама не засвечиваю, использую для банковских смс исключительно кнопочник, мобильные приложения не устанавливаю. Но вот от утечки данных из банков, да от недобросовестных сотрудников ОпСоС никто уберечь не сможет - и в результате можно лишиться всех сбережений, если мошенник получит симкарту с вашим номером по наводке из банка.
Эта тема обсуждалась в начале года, здесь
https://www.banki.ru/forum/?PAGE_NAME=...ssage-list
StanislavOlllin  (StanislavOlllin)
#
Предложение пользователя Виктор Павлович:
По поводу реальной двухэтапной аутентификации. потому что сейчас по факту она одноэтапная.
логин/пароль+смс - хорошо. только смс - плохо.
В реальности сейчас все сводится к смс. О клиенте надо знать номер карты.
Но это еще высокая степень защиты! Есть банки, не будем показывать пальцем, так вот кроме телефона для восстановления достаточно даты рождения.

В ИБ должна быть опция выбора 1,2,3 этапной аутентификации. С предупреждением красным шрифтом, что если выбрал, отменить каждый этап можно будет только лично в банке. А кому то может зайдет только по смс. ну так пусть выбирает и велкам. Чтобы это была реально 2-3х этапность, а не профанация с оглядкой на идиотов.
StanislavOlllin  (StanislavOlllin)
#
Предложение пользователя камо

В личном кабинете ИБ/МП предоставить самому клиенту ОПЦИЮ - поставить галочку - Запрет восстановления доступа/регистрации новых мобильных устройств по номеру любой карты
Ever⚡  (Ever⚡)
#
Цитата
StanislavOlllin пишет:
Предложение пользователя камо

В личном кабинете ИБ/МП предоставить самому клиенту ОПЦИЮ - поставить галочку - Запрет восстановления доступа/регистрации новых мобильных устройств по номеру любой карты

Этого всё-таки недостаточно. Есть такие "забывчивые" люди, что после (или во время) очередного отпуска не могут вспомнить логин и пароль для входа в свой компьютер/телефон или свою эл.почту, и тем более логин/пароль к интернет-банку. Им функция дистанционного восстановления доступа жизненно необходима. И бывают ситуации, когда утрачен телефон/планшет, и человеку необходимо установить МП на новое мобильное устройство, в т.ч. - по номеру карты.
Но при этом надо обязательно проводить полную идентификацию клиента. Т.е. клиент должен иметь возможность восстановить доступ к ИБ (получить новый логин и пароль), или получить разрешение зарегистрировать мобильное приложение на новом устройстве по номеру карты, позвонив в службу поддержки, сообщив точную информацию о своем местоположении и ответив на все вопросы. Причём, вопросы д.б. не только о паспортных данных, но и личного характера из перечня, согласованного с банком при оформлении договора на ДБО. Например, имя дедушки, девичья фамилия бабушки, любимый фрукт, любимое блюдо, любимый цвет, любимая музыка и т.п.
Ну, и обязательно должна быть возможность установки максимально допустимой суммы операций в день, месяц, неделю, с возможностью увеличения лимита в отделении банка или по звонку в службу поддержки после полной идентификации клиента. Аналогично - с дистанционным досрочным закрытием вкладов и дистанционным оформлением кредитов, подключением "телефонных банков" и т.п. Должна быть возможность отключения этих дистанционных сервисов в ЛК, с возможностью повторного подключения только в офисе - или по звонку в службу поддержки, после полной идентификации клиента
StanislavOlllin  (StanislavOlllin)
#
Предложение инициативной группы: указать в Правилах Безопасности на сайте о возможности отправки клиентам автоматических sms-сообщений через онлайн-сервисы и сайты банков, и оповестить о данной возможности всех клиентов.
Например, для Сбербанка здесь, где говорится о том, с каких номеров отправляется sms банком - https://www.sberbank.ru/ru/person/dist_services/cybersecurity/cybersecurity_rules­
Ever⚡  (Ever⚡)
#
Да без разницы, какие номера для звонков и СМС используют банки!
Мошенникам доступны технологии подмены номеров, и получая СМС /отвечая на входящий звонок, никогда нельзя быть уверенным, что с вами контактирует представитель банка, а не мошенник. В любой сомнительной ситуации надо звонить в банк самостоятельно, по тем телефонам, которые указаны на банковской карте или сайте банка. Перехватывать входящие вызовы мошенники пока не могут.
StanislavOlllin  (StanislavOlllin)
#
Предложение пользователя slowpoke
Европейские банки не используют смс-коды. Не потому что они порядочнее российских банков. Просто в законодательстве ЕС выписано что СМС не предназначены для передачи конфиденциальной финансовой информации, к которой относятся коды доступа и пароли. Если для мошеннических операций использовались смс-коды, то суд автоматически примет сторону клиента, даже если клиент сам передал смс-коды мошенникам.

Поэтому вы должны адресовать ваши предложения не банкам, а законодателям. Законодатель должен так менять законодательство чтобы банкам было невыгодно использовать уязвимые технологии.
Numero Uno  (Numero Uno)
#
А тут только "Сбер" поливают? По-моему, там не самая печальная ситуация. Начните с офисов банков, там работают сплошь непрофессионалы: от рядовой маринки до руководителя. Что уж говорить о клиентах. Элементарно даже: маринки интересуются конфиденциальной информацией, а клиенты радостно озвучивают её во всеуслышание; обсудить вслух клиента после его ухода - милое дело; анкеты клиентов часто хранятся на столах в свободном доступе... А тут про какие-то "hash-пароли", ага.
StanislavOlllin  (StanislavOlllin)
#
Цитата
Numero Uno пишет:
А тут только "Сбер" поливают? По-моему, там не самая печальная ситуация. Начните с офисов банков, там работают сплошь непрофессионалы: от рядовой маринки до руководителя. Что уж говорить о клиентах. Элементарно даже: маринки интересуются конфиденциальной информацией, а клиенты радостно озвучивают её во всеуслышание; обсудить вслух клиента после его ухода - милое дело; анкеты клиентов часто хранятся на столах в свободном доступе... А тут про какие-то "hash-пароли", ага.


Все предложения, включая технические, направлены на защиту клиентов от методов социальной инженерии, фишинга, телефонного мошенничества.
Комментарии и отзывы могут оставлять только зарегистрированные пользователи.
Авторизуйтесь или зарегистрируйтесь.

Популярные сообщения

Таблица вкладов с максимальными процентами в рублях. Август 2020
Таблица приведена по состоянию на 01.08.2020 Обсуждение - на форуме в топике "Обсуждение вкладов с максимальными процентами в рублях" -------------------------------------------------------------------------
1
Авторский рейтинг надежности МФО от thinks (не аккредитован ЦБ) - август 2020
Внутрифорумный рейтинг надежности МФО от thinks (не аккредитован ЦБ) - август 2020 В рейтинге в названии МФО указана ссылка на статистику сайта МФО.
0
Почему банки так часто меняют условия бонусных программ?
Невероятно, но факт: банкиры - не благотворители, а банковское дело - это бизнес. Все эти рекламные 2-5-10% кэшбэка - наживка, невыгодная и убыточная
0
Обзор процентов по ипотеке в конце 2019 года
Возможно кому-то будет интересно, систематизировал данные из открытых источников для своего знакомого по его просьбе на оформление ипотеки. Актуальность
0
Вот и август (2020).
Время = летит ! Не успеваю облядываться.
1

Новые сообщения

Продукты Банки.ру