Противодействие атакам социальных инженеров не является вопросом исключительно службы ИБ банка

Недавно стало известно о случае, когда Верховный суд выступил на стороне клиентки в споре с банком в отношении кредита, оформленного дистанционно по коду из SMS вследствие действий мошенников. По мнению заместителя председателя комиссии по цифровым финансовым технологиям Торгово-промышленной палаты РФ Тимура Аитова это знаковый прецедент для всей банковской отрасли.

Клиентка одного из банков сообщила третьим лицам по телефону два кода из SMS, на основе которых финансовая организация заключила договор страхования и одобрила кредит на сумму больше 200 тысяч рублей почти под 19% годовых. Клиентка не признала договор действительным , настаивая на том, что сделку заключила не она, а коды подтвердила мошенникам «машинально». Пройдя несколько судебных инстанций, выступивших на стороне кредитной организации, она дошла до Верховного суда, который посчитал уместным отправить это дело на повторное рассмотрение.

«Можно предположить, что после обсуждаемого прецедента, банки начнут опасаться будущих спорных случаев и последующих решений судов в пользу клиентов априори, если в отношении спорной транзакции нет подтверждения средствами УКЭП или собственноручной подписью клиента», — высказывает свое мнение Тимур Аитов.

По его словам, для снижения рисков банкам придётся перестраивать системы ДБО, а это уже существенно удорожит обслуживание, и не просто удорожит, а сделает его просто невозможным  для широкой прослойки технически неграмотных граждан, для которых полноценная ЭП практически недоступна. Особенно, если станет обязательным ещё и формально правильное требование самостоятельной генерации ключей, объясняет эксперт.

Однако с другой стороны, нет сомнений, что репутация и надёжность банка стоит дороже, считает он.

«На самом деле противодействие атаке социальных инженеров не является вопросом исключительно службы информационной безопасности. Системы ИБ  как правило в банке работают надёжно, а клиент, передавая коды злоумышленникам, нарушает условия пользования платёжным инструментом, однако, обычно клиент не подозревает что его действия приведут к перечисление средств», — отмечает Тимур Аитов.

Хотя, конечно, есть и те, кто перечисляет средства добровольно, добавляет он.

Отвечая на вопрос, что же нужно делать банку со своей стороны, чтобы предотвратить хищения, эксперт предполагает, что здесь необходимо говорить о совершенствовании системы информационной безопасности банка. 

«Все эти СМС и "нажимания" на клавиши для отправки подтверждения на совершение той или иной операции должны быть в большей мере аутентифицированы, — считает он. — Должно быть надёжно установлено (включая возможно не только ЭП, но и средства биометрии), что указание давал именно клиент и что клиент знал и хотел перевести деньги со своего счёта на другой.  Подобные системы уже имеются, но банками чаще в целях экономии используют обычные СМС-сообщения».

Появится и ещё одна задача при рассмотрении будущих споров в суде, предупреждает Тимур Аитов. Кроме аутентификации нужно будет еще и обеспечить доказательность целостности и авторства сообщения. Иначе клиент может согласиться с авторством, но заявить, что сообщение было изменено банком, говорит он.

«Следует ожидать, что подобные проблемы появятся не только у банков в ДБО, но и в иных видах цифрового бизнеса», — резюмирует эксперт.

26 января, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

20.03.2023
Важно соблюсти баланс между обеспечением ИБ и производительностью сотрудников
20.03.2023
Мошенники активно звонят через мессенджеры, потому что могут изменить профиль звонящего
20.03.2023
Хакеры из KillNet бьют по американской отрасли здравоохранения
20.03.2023
Банкирам запретят использовать зарубежные сервисы при переводах по России
20.03.2023
67% ритейлеров столкнулись с утечками информации в 2022 году
17.03.2023
Молод, чист и не судим, активный пользователь Интернета
17.03.2023
«Уралсиб» подвергся хакерской атаке
17.03.2023
«Лаборатория Касперского»: Продажи в даркнете снова набирают обороты
17.03.2023
Пришла очередь Google Play. Какие российские банки пропали из маркетплейса ПО
17.03.2023
«В комплексе эта ситуация может увеличить риски рецессии»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных