Безопасны ли новые методы аутентификации клиентов банков
24 мая. Profit-Partner.RU - Сотрудники банков все чаще запрашивают по телефону у клиентов коды из отправленных им СМС-сообщений для дополнительной аутентификации рассказали "Коммерсанту" эксперты по информационной безопасности. Они всерьез обеспокоены данной практикой из-за развивающейся социальной инженерии, в том числе с подменой номера банка для введения в заблуждение клиентов. "Случаи, когда банки просят называть коды из СМС, могут изменить шаблон поведения клиента и сформировать у него понимание, что это норма, - говорит управляющий партнер экспертной группы Veta Илья Жарский. - Однако серьезные риски из-за этого появились лишь в конце прошлого года, когда мошенники начали звонить с подмененных телефонов банка". "Формируется шаблон поведения: сотрудник банка может запросить код из СМС, и это нормально - это нужно для выполнения операции", - написал один из клиентов банка. Он также отметил, что попытался обратить на данную проблему внимание банка, однако "нарвался на стену непонимания". Традиционно банки используют коды, присылаемые в СМС, для подтверждения списания денежных средств, и их нельзя называть кому-либо, в том числе и сотруднику банка. Ряд банков отправляют клиентам коды, которые им необходимо называть сотрудникам в офисе при совершении отдельных операций (например, при подключении автоплатежей, досрочном погашении кредитов, для проверки корректности номера телефона и др.) для обеспечения их дополнительной безопасности. Такая практика есть, например, в МКБ, ВТБ, "Открытии". "Когда кредитная организация просит назвать присланный код именно в офисе банка, она защищает себя от возможного мошенничества со стороны сотрудников, поскольку названный код дает возможность подтвердить, что клиент давал согласие на проведение операции", - поясняет начальник отдела по противодействию мошенничеству ЦПСБ "Инфосистемы Джет" Алексей Сизов. Однако в некоторых банках также запрашивают у клиентов коды из СМС при обращении в колл-центр или чат банка и уверены, что это безопасно. Как считают эксперты, практика запроса кодов из СМС несет в себе риски, несмотря на предупреждения, и от нее надо отказаться. По словам А.Сизова, есть риск, что отдельные граждане сочтут называние кода из СМС сотруднику банка нормой и будут делать то же самое и при звонке якобы из банка, а в реалии - от мошенников. По словам одного из собеседников "Ъ" в крупном банке, банки сами стремятся отойти от рассылки кодов в СМС из-за активного использования социальной инженерии мошенниками, но полностью отказаться от нее сложно в силу технологических и экономических ограничений. В ЦБ не ответили на запрос "Ъ" относительно рисков применения указанной практики и целесообразности ее запрета. Там лишь указали, что в Банк России не поступало жалоб на подобного рода проблемы.