Безопасны ли новые методы аутентификации клиентов банков

24 мая. FINMARKET.RU — Сотрудники банков все чаще запрашивают по телефону у клиентов коды из отправленных им СМС-сообщений для дополнительной аутентификации рассказали «Коммерсанту» эксперты по информационной безопасности. Они всерьез обеспокоены данной практикой из-за развивающейся социальной инженерии, в том числе с подменой номера банка для введения в заблуждение клиентов. «Случаи, когда банки просят называть коды из СМС, могут изменить шаблон поведения клиента и сформировать у него понимание, что это норма, — говорит управляющий партнер экспертной группы Veta Илья Жарский. — Однако серьезные риски из-за этого появились лишь в конце прошлого года, когда мошенники начали звонить с подмененных телефонов банка». «Формируется шаблон поведения: сотрудник банка может запросить код из СМС, и это нормально — это нужно для выполнения операции», — написал один из клиентов банка. Он также отметил, что попытался обратить на данную проблему внимание банка, однако «нарвался на стену непонимания». Традиционно банки используют коды, присылаемые в СМС, для подтверждения списания денежных средств, и их нельзя называть кому-либо, в том числе и сотруднику банка. Ряд банков отправляют клиентам коды, которые им необходимо называть сотрудникам в офисе при совершении отдельных операций (например, при подключении автоплатежей, досрочном погашении кредитов, для проверки корректности номера телефона и др.) для обеспечения их дополнительной безопасности. Такая практика есть, например, в МКБ, ВТБ, «Открытии». «Когда кредитная организация просит назвать присланный код именно в офисе банка, она защищает себя от возможного мошенничества со стороны сотрудников, поскольку названный код дает возможность подтвердить, что клиент давал согласие на проведение операции», — поясняет начальник отдела по противодействию мошенничеству ЦПСБ «Инфосистемы Джет» Алексей Сизов. Однако в некоторых банках также запрашивают у клиентов коды из СМС при обращении в колл-центр или чат банка и уверены, что это безопасно. Как считают эксперты, практика запроса кодов из СМС несет в себе риски, несмотря на предупреждения, и от нее надо отказаться. По словам А.Сизова, есть риск, что отдельные граждане сочтут называние кода из СМС сотруднику банка нормой и будут делать то же самое и при звонке якобы из банка, а в реалии — от мошенников. По словам одного из собеседников «Ъ» в крупном банке, банки сами стремятся отойти от рассылки кодов в СМС из-за активного использования социальной инженерии мошенниками, но полностью отказаться от нее сложно в силу технологических и экономических ограничений. В ЦБ не ответили на запрос «Ъ» относительно рисков применения указанной практики и целесообразности ее запрета. Там лишь указали, что в Банк России не поступало жалоб на подобного рода проблемы. Источник: Финмаркет