Клиенты банков зачитались СМС Новый метод аутентификации может оказать

Клиенты банков зачитались СМС

Новый метод аутентификации может оказаться небезопасным

Газета "Коммерсантъ" №88 от 24.05.2019, стр. 1

[b]Как выяснил “Ъ”, сотрудники банков все чаще запрашивают по телефону у клиентов коды из отправленных им СМС-сообщений для дополнительной аутентификации. В банках считают это безопасным, поясняя, что в сообщениях указывают, какие из кодов можно называть, а какие нет. Но эксперты по информбезопасности предупреждают — при том, что мошенники все чаще звонят с подмененных номеров, привычка называть коды может обернуться для клиентов банков массовыми потерями средств.[/b]

О том, что банковские сотрудники стали чаще запрашивать у клиентов коды из присылаемых СМС-сообщений для аутентификации клиента, “Ъ” рассказали эксперты по информационной безопасности. Они всерьез обеспокоены данной практикой из-за развивающейся социальной инженерии, в том числе с подменой номера банка для введения в заблуждение клиентов. «Случаи, когда банки просят называть коды из СМС, могут изменить шаблон поведения клиента и сформировать у него понимание, что это норма,— говорит управляющий партнер экспертной группы Veta Илья Жарский.— Однако серьезные риски из-за этого появились лишь в конце прошлого года, когда мошенники начали звонить с подмененных телефонов банка».

На специализированных форумах также появились мнения клиентов банков, что это «формирует у пользователей шаблоны поведения, используемые мошенниками». «Формируется шаблон поведения: сотрудник банка может запросить код из СМС, и это нормально — это нужно для выполнения операции»,— написал один из клиентов банка. Он также отметил, что попытался обратить на данную проблему внимание банка, однако «нарвался на стену непонимания».

Традиционно банки используют коды, присылаемые в СМС, для подтверждения списания денежных средств, и их нельзя называть кому-либо, в том числе и сотруднику банка. Ряд банков отправляют клиентам коды, которые им необходимо называть сотрудникам в офисе при совершении отдельных операций (например, при подключении автоплатежей, досрочном погашении кредитов, для проверки корректности номера телефона и др.) для обеспечения их дополнительной безопасности. Такая практика есть, например, в МКБ, ВТБ, «Открытии».

«Когда кредитная организация просит назвать присланный код именно в офисе банка, она защищает себя от возможного мошенничества со стороны сотрудников, поскольку названный код дает возможность подтвердить, что клиент давал согласие на проведение операции»,— поясняет начальник отдела по противодействию мошенничеству ЦПСБ «Инфосистемы Джет» Алексей Сизов.

Однако в некоторых банках также запрашивают у клиентов коды из СМС при обращении в колл-центр или чат банка и уверены, что это безопасно. «Промсвязьбанк использует код из СМС как один из дополнительных параметров подтверждения личности клиента, звонящего в контакт-центр,— сообщили в пресс-службе банка.— В тексте такого сообщения говорится, что его нужно назвать сотруднику банка». Почта-банк запрашивает код подтверждения той или иной операции или услуги по инициативе клиента — звонке, визите в отделение или в банковском чате. «Следует различать коды подтверждения, приходящие в СМС от банка,— отметили в пресс-службе Почта-банка.— Код, используемый в качестве простой электронной подписи, приходит клиенту только при его входящем обращении в банк и в непосредственном контакте с сотрудником банка, что делает операцию максимально защищенной». При этом в банке добавили, что, когда отправляют СМС от банка с кодом подтверждения списания средств, в нем всегда содержится пометка, что этот секретный код не следует сообщать никому. В Тинькофф-банке сотрудник банка запрашивает код из СМС при обращении клиента в чат поддержки только для подключения или активации услуги. «Такие СМС-текстовки спутать невозможно, в самой СМС содержатся ее определенное назначение и предупреждения для противодействия социальной инженерии»,— сообщили в банке. Там также отметили, что, по «внутренней статистике, основанной на анализе собранных за годы работы данных, вероятность того, что клиент расскажет СМС-код мошенникам, если в сообщении есть фраза "Никому не говорите код", зависит преимущественно от социально-демографических факторов, которые учитываются в системах антифрода» банка.

Однако эксперты уверены, что практика запроса кодов из СМС несет в себе риски, несмотря на предупреждения, и от нее надо отказаться. По словам господина Сизова, есть риск, что отдельные граждане сочтут называние кода из СМС сотруднику банка нормой и будут делать то же самое и при звонке якобы из банка, а в реалии — от мошенников. По словам одного из собеседников “Ъ” в крупном банке, банки сами стремятся отойти от рассылки кодов в СМС из-за активного использования социальной инженерии мошенниками, но полностью отказаться от нее сложно в силу технологических и экономических ограничений.

В ЦБ не ответили на запрос “Ъ” относительно рисков применения указанной практики и целесообразности ее запрета. Там лишь указали, что в Банк России не поступало жалоб на подобного рода проблемы.

Светлана Самусева, Вероника Горячева

https://www.kommersant.ru/doc/3977491

Не стоит никому сообщать по телефону коды СМС. Даже сотрудникам банков

Не исключено, что вы можете стать объектом мошенничества. Хотя в самих кредитных организациях пока такую опасность отрицают

Фото: depositphotos.com

Сотрудники банков стали чаще запрашивать у клиентов коды из СМС. Об этом сообщает «Коммерсантъ» со ссылкой на экспертов по информационной безопасности. Чаще всего код спрашивают в отделениях банка при визите туда клиента. Но ряд банков практикуют и запросы кодов при звонке клиента в кол-центр, пишет издание.

Business FM попросила банки разъяснить ситуацию. В ВТБ ответили, что при проведении удаленных операций или через чат сотрудник никогда не запрашивает код из СМС. Исключением является проведение операций в отделении банка. Однако в этом случае в СМС указано, что этот код клиент должен сообщить сотруднику. При этом ВТБ никогда не запрашивает коды из СМС для блокировки карт, счетов или мобильного банка.

В МКБ рассказали, что банк запрашивает у клиентов одноразовые пароли только в случае подключения автоплатежа в офисе финансовой организации. Практику, когда коды из СМС запрашиваются дистанционно, например, по телефону, МКБ считает опасной.

В «Промсвязьбанке» заверили, что такой практики у них нет. Кроме того, в банке отметили, что при звонке банка клиенту сотрудники никогда не запрашивают данные карты и не просят подтвердить финансовую операцию кодом.

Даже если коды, которые просят назвать сотрудники, предназначены для других целей, не связанных с переводом денег, такие случаи могут выработать у клиентов шаблон поведения, что называть код сотруднику банка безопасно, говорит руководитель отдела информационной безопасности Cross Technologies Алексей Даньков.

Алексей Даньков
руководитель отдела информационной безопасности Cross Technologies

«Банки и ряд организаций в настоящее время действительно спрашивают такие короткие коды, которые приходят в СМС у пользователей в отделениях, когда необходимо, например, подтвердить операцию. Например, в почте это делается при получении посылок «Алиэкспресс». СМС, которые отправляются пользователям в случае удаленного обслуживания, например, с использованием каких-то интернет-ресурсов, либо через кол-центры, то здесь очевидны риски, связанные с мошенническими действиями. Действительно, когда мы говорим пользователям, что ни в коем случае короткие коды из СМС не сообщайте, это формирует определенный стиль поведения. Он уже десять раз подумает, прежде чем кому-то его сообщить, даже в отделении банка. А когда такие вещи становятся достаточно регулярными, пользователь может расслабиться и совершить ошибку, например, при обслуживании дистанционным способом, назвав такой код».

Коды нужны для того, чтобы подтвердить, что пользователь, который авторизовался в системе и заявил номер телефона, является именно тем человеком, которому этот номер принадлежит. В таких СМС всегда есть указание, что код нельзя сообщать никому, даже сотруднику банка.

https://www.bfm.ru/news/415037