Банкам нужно уйти от концепции отправки клиентам одноразовых SMS и Push-кодов

Всё чаще в новостях появляется информация о новых мошеннических схемах, нацеленных на кражу персональных данных и средств со счетов клиентов банков. Например, на прошлой неделе ВТБ, Сбербанк и Росбанк заявили, что злоумышленники стали прикрываются банками, чтобы «помочь» клиентам оформить QR-коды, необходимые для перемещения по Москве и области в период пандемии коронавируса. 

Вместе с тем Банк России каждую неделю вводит новые регуляторные послабления для кредитных организаций. Одной из таких мер, например, стало смягчение подхода в части идентификации клиентов в целях организации дистанционной работы — теперь открыть счёт в банке или заключить договор по ипотеке можно без личного присутствия клиента. Это сильно повлияло на систему идентификации клиентов, а также подняло вопрос безопасности данных. 

Что именно нужно поменять в работе банков с клиентами на период карантина, чтобы минимизировать хищение средств и количество атак? По мнению эксперта BIS Journal Дениса Калемберга, независимо от того, находимся мы на карантине или нет, наибольшей проблемой всей банковской системы (не только российской, а мировой), является социальная инженерия. Сейчас же, с началом «инфекционного кризиса» ситуация усугубилась — клиенты думают буквально о вопросах жизни и смерти, поэтому мошенникам стало ещё проще их обманывать. 

«Подавляющего числа инцидентов можно было бы избежать, уйдя от концепции отправки клиентам одноразовых SMS и Push-кодов. Ведь большая часть людей не читает внимательно содержание короткого сообщения в «выпадающей шторке» уведомлений смартфона. Это приводит к тому, что клиент не ассоциирует код с реальным содержанием операции и без «задней мысли» диктует его мошеннику», — сказал Денис Калемберг. 

По его словам, проблему уже осознали во многих странах, выпущены соответствующие директивы, например PSD2 в Европе, есть аналогичные регулирующие документы в Турции и т.д. В России банки тоже начали двигаться в сторону технологий подтверждения транзакций, позволяющих клиентам при помощи смартфона полноценно проверять реквизиты документов и подписывать их с контролем авторства и целостности, без использования одноразовых кодов. А если нет кода – нечего сообщить мошеннику.

Денис Калемберг, эксперт BIS Journal
21 апреля, 2020