Противодействие атакам социальных инженеров не является вопросом исключительно службы ИБ банка

Недавно стало известно о случае, когда Верховный суд выступил на стороне клиентки в споре с банком в отношении кредита, оформленного дистанционно по коду из SMS вследствие действий мошенников. По мнению заместителя председателя комиссии по цифровым финансовым технологиям Торгово-промышленной палаты РФ Тимура Аитова это знаковый прецедент для всей банковской отрасли.

Клиентка одного из банков сообщила третьим лицам по телефону два кода из SMS, на основе которых финансовая организация заключила договор страхования и одобрила кредит на сумму больше 200 тысяч рублей почти под 19% годовых. Клиентка не признала договор действительным , настаивая на том, что сделку заключила не она, а коды подтвердила мошенникам «машинально». Пройдя несколько судебных инстанций, выступивших на стороне кредитной организации, она дошла до Верховного суда, который посчитал уместным отправить это дело на повторное рассмотрение.

«Можно предположить, что после обсуждаемого прецедента, банки начнут опасаться будущих спорных случаев и последующих решений судов в пользу клиентов априори, если в отношении спорной транзакции нет подтверждения средствами УКЭП или собственноручной подписью клиента», — высказывает свое мнение Тимур Аитов.

По его словам, для снижения рисков банкам придётся перестраивать системы ДБО, а это уже существенно удорожит обслуживание, и не просто удорожит, а сделает его просто невозможным  для широкой прослойки технически неграмотных граждан, для которых полноценная ЭП практически недоступна. Особенно, если станет обязательным ещё и формально правильное требование самостоятельной генерации ключей, объясняет эксперт.

Однако с другой стороны, нет сомнений, что репутация и надёжность банка стоит дороже, считает он.

«На самом деле противодействие атаке социальных инженеров не является вопросом исключительно службы информационной безопасности. Системы ИБ  как правило в банке работают надёжно, а клиент, передавая коды злоумышленникам, нарушает условия пользования платёжным инструментом, однако, обычно клиент не подозревает что его действия приведут к перечисление средств», — отмечает Тимур Аитов.

Хотя, конечно, есть и те, кто перечисляет средства добровольно, добавляет он.

Отвечая на вопрос, что же нужно делать банку со своей стороны, чтобы предотвратить хищения, эксперт предполагает, что здесь необходимо говорить о совершенствовании системы информационной безопасности банка. 

«Все эти СМС и "нажимания" на клавиши для отправки подтверждения на совершение той или иной операции должны быть в большей мере аутентифицированы, — считает он. — Должно быть надёжно установлено (включая возможно не только ЭП, но и средства биометрии), что указание давал именно клиент и что клиент знал и хотел перевести деньги со своего счёта на другой.  Подобные системы уже имеются, но банками чаще в целях экономии используют обычные СМС-сообщения».

Появится и ещё одна задача при рассмотрении будущих споров в суде, предупреждает Тимур Аитов. Кроме аутентификации нужно будет еще и обеспечить доказательность целостности и авторства сообщения. Иначе клиент может согласиться с авторством, но заявить, что сообщение было изменено банком, говорит он.

«Следует ожидать, что подобные проблемы появятся не только у банков в ДБО, но и в иных видах цифрового бизнеса», — резюмирует эксперт.

26 января, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

21.05.2024
Запись звонков в режиме реального времени граничит с нарушением неприкосновенности частной жизни
21.05.2024
Банк России рекомендовал финорганизациям усилить контроль за своими платёжными агентами
20.05.2024
«Инициативно на связь ЦБ не выходит». Безопасник — о скамерской нетленке
20.05.2024
В «Тинькофф Банке» рассказали о новой схеме обмана пожилых людей
20.05.2024
Учёные изучили сетевое воздержание на примере президентских выборов
20.05.2024
Servicepipe: Боты приходят из регионов
20.05.2024
Роскомнадзор корректирует курс «суверенного рунета»
20.05.2024
IaaS и SaaS упомянут в законодательстве — c целью инвентаризации ИТ-ресурсов
19.05.2024
На ЦИПР-2024 пройдёт фиджитал-фестиваль по цифровым спортивным дисциплинам и турниры по хоккею
17.05.2024
ЛК: Нежелание персонала соблюдать правила ИБ открывает дверь хакерам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных