Эксперты по информационной безопасности считают дополнительную аутентификацию клиентов банков с использованием СМС-кодов небезопасным методом, сообщает «Коммерсант».
Сотрудники банков все чаще запрашивают по телефону у клиентов коды из отправленных им СМС-сообщений для дополнительной аутентификации, рассказали изданию эксперты по информбезопасности. Они обеспокоены данной практикой из-за развивающейся социальной инженерии, в том числе с подменой номера банка для введения в заблуждение клиентов. «Случаи, когда банки просят называть коды из СМС, могут изменить шаблон поведения клиента и сформировать у него понимание, что это норма, — говорит управляющий партнер экспертной группы Veta Илья Жарский. — Однако серьезные риски из-за этого появились лишь в конце прошлого года, когда мошенники начали звонить с подмененных телефонов банка».
Традиционно банки используют коды, присылаемые в СМС, для подтверждения списания денежных средств, и их нельзя называть кому-либо, в том числе и сотруднику банка. Ряд банков отправляют клиентам коды, которые им необходимо называть сотрудникам в офисе при совершении отдельных операций для обеспечения их дополнительной безопасности.
Однако в некоторых банках также запрашивают у клиентов коды из СМС при обращении в кол-центр или чат банка и уверены, что это безопасно.
Почта Банк запрашивает код подтверждения той или иной операции или услуги по инициативе клиента — звонке, визите в отделение или в банковском чате. «Следует различать коды подтверждения, приходящие в СМС от банка, — отметили в пресс-службе банка.— Код, используемый в качестве простой электронной подписи, приходит клиенту только при его входящем обращении в банк и в непосредственном контакте с сотрудником банка, что делает операцию максимально защищенной». При этом в банке добавили, что отправляемые банком СМС с кодом подтверждения списания средств всегда содержат пометку, что этот секретный код не следует сообщать никому.
В Тинькофф Банке сотрудник банка запрашивает код из СМС при обращении клиента в чат поддержки только для подключения или активации услуги. «Такие СМС-текстовки спутать невозможно, в самой СМС содержатся ее определенное назначение и предупреждения для противодействия социальной инженерии», — сообщили в банке. Там также отметили, что, по «внутренней статистике, основанной на анализе собранных за годы работы данных, вероятность того, что клиент расскажет СМС-код мошенникам, если в сообщении есть фраза «Никому не говорите код», зависит преимущественно от социально-демографических факторов, которые учитываются в системах антифрода».
Однако эксперты уверены, что практика запроса кодов из СМС несет в себе риски, несмотря на предупреждения, и от нее надо отказаться. По словам начальника отдела по противодействию мошенничеству ЦПСБ «Инфосистемы Джет» Алексея Сизова, есть риск, что отдельные граждане сочтут называние кода из СМС сотруднику банка нормой и будут делать то же самое и при звонке якобы из банка, а в реалии — от мошенников.
Комментарии
Давайте разбираться:
1. Например Сбербанк никогда не запрашивает код из СМС, для этих случаев у Сбера есть такое понятие как "кодовое слово", которое можно сменить (но только при посещении отделения банка). А уж кому вы это слово сболтнули (кроме моментов когда Вы звоните в Сбер - сам Сбер НИКОГДА НЕ ЗВОНИТ, а если ЗВОНИТ, то НИКОГДА НЕ ЗАПРАШИВАЕТ КОДОВОЕ СЛОВО, а если это произошло всегда можно перезвонить самому в Банк и точно быть уверенным что звонишь в Банк) - это ваши проблемы!
2. У меня 2 телефона - смартфон со всеми банковскими продуктами и простой сотовый телефон, на котором стоит СИМ-ка оператора на номер которого приходят все подтверждения. Т.е. даже если мне на смарт попадет вредоносное ПО и попытается в фоновом режиме запросить СМС с кодом для каких либо операций в Банке, то СМС придет на мой обычный телефон и я буду знать, что на смарте то кто-то хулиганит. В любом случае без моего ведома операцию провести не получится.
3. Я всегда внимательно читаю текст СМС с кодами - дело привычки. Многие не читают - типа некогда, меня торопили, хотя сидеть в соц.сетях время находят и раздувать щеки что они самые продвинутые тоже!
А вообще надоело это соплежуйство с бестолковыми несознательными ленивыми гражданами. которые, к слову, себя таковыми не считают и готовы облить грязью банки, ИТ службы и всех и вся лишь бы оправдать свою невнимательность и тупость!
Ведь правила довольно простые:
1. Не держите на карте все средства. У того же Сбера можно открыть сберегательный счет, скрыть его для отображения в банкоматах, а на карте держать до 2-5 т.р. в зависимости от ваших трат. При краже карты в банкомате ваш "тайный" счет точно не смогут выпотрошить и потери будут в пределах тех 2-5 т.р.
2. Для покупок в интернете заведите себе виртуальную карту или доп. карту вашего банка и опять же деньги на этой карте держите в соответствии с п.1 см выше (а лучше вообще пополняйте только в момент покупки). Тот факт что вы ввели хоть в какой защищенной сети № карты и все ее атрибуты включая 3-значный код уже говорит о том что карта скомпрометирована и рано или поздно есть вероятность получить СМС только уже с информацией что вашей картой оплатили что-то явно не ваше!
3. Сейчас почти у всех более 1 сим карты. Ну купите себе обычный махонький телефончик с кнопочками и вставьте туда симку для получения СМС кодов и голова перестанет болеть о том, что на ваш любимый смартфончик кто-то поместит недобрый троянчик и попытается что-то украсть. Опять же отключите всякого рода мобильные переводы и быстрые платежи - не верю я что есть граждане у которых в день более 5 переводов - максимум 50 в месяц, а это все можно делать спокойно, дома за чашечкой чая или кофе.
Ну и наконец для самых параноидных можно посоветовать открыть счет в банке, завести карту в этом банке, деньги распределять как в п.1, счет пополнять только в отделении банка, отключить все автоплатежи и всякие быстрые услуги по оплате и выводу средств (кроме card2card и СБП), карту уничтожить а реквизиты выучить наизусть
Он часто ходит в каске? А то есть риск, что и метеорит на голову упадёт. Начальник всё же и уметь оценить его должен. Отдельные граждане и к банкоматам бегают, и руками в них средства переводят мошенникам, в графе "сумма" указывая якобы код отмены операции...
Нужно просто различать входящие и исходящие вызовы. Так-то и кодовое слово при входящем звонке называть небезопасно, но никто из экспертов почему-то не чесался заявить об этом риске.
У того же Сбера - доступ к мобильному банку подразумевает доступ ко всем счетам/картам.
В результате вы можете потерять абсолютно все сбережения.