Код противоречия. Зачем банки ввели рискованный способ аутентификации?

Абонент неизвестен

Вопрос с аутентификацией стал актуален в последнее время, когда среди мошенников распространилась технология подмены исходящего номера. Многие клиенты банков с этим уже столкнулись: им звонят мошенники якобы с телефона банка и говорят о подозрительных операциях, а потом просят назвать данные карты. Вот только не все знают, что с тем же успехом мошенники звонят и в сами банки.

«Мошенник звонит клиенту и говорит, допустим, что он сотрудник банка. Если ему не скажут код, то карточку заблокируют. Клиент не верит, тогда мошенник перезванивает в банк (с подмененного номера клиента — прим.) и просит карту заблокировать, потому что он ее потерял. Банк блокирует карточку. Мошенник опять звонит клиенту, говорит: „Вот видите, ваша карта заблокирована. Если хотите ее разблокировать, скажите мне код, который мы вам сейчас пришлем“», — рассказал «360» сотрудник департамента защиты информации коммерческого банка Николай Пятиизбянцев.

Поэтому некоторые банки, чтобы не отказываться от удаленного предоставления услуг, решили ввести новый способ проверки личности клиента. Раньше эту роль выполняло кодовое слово.

«Самый простой пример — клиент может позвонить в банк и попросить снять какие-то ограничения с карты. Допустим, разблокировать карту. Если перед этим она была заблокирована, значит, с картой что-то ненормально, значит, разблокировать ее, скорее всего, хочет мошенник. Чтобы не дать возможность мошеннику разблокировать карту и похитить деньги, банк должен каким-то образом его идентифицировать либо отказать ему. Если мы отказываем, а это был не мошенник, значит, клиент не может воспользоваться карточкой, потому что она у него заблокирована», — добавил Пятиизбянцев.

Он уверен, что баланса между удобством и безопасностью пока достичь не удалось. Каждый банк самостоятельно выбирает, в какую сторону делать перекос.

Много знаний не бывает

С одной стороны, удаленная возможность разблокировать карту, запросить забытый PIN-код или выполнить еще какие-то действия, не посещая отделение, вещь удобная. Да и банки уверяют, что код, который присылается для подтверждения финансовой операции, никому называть не надо, причем об этом специально написано в SMS. Вот только мошенники тоже могут написать SMS. А еще, назвав код один раз, клиент может запомнить, что это нормально, и не смутиться, когда ему позвонит и попросит о том же самом вовсе не банковский работник. Меняется психология, а преступники как раз используют методы социальной инженерии для обмана.

По его мнению, такой способ аутентификации годится только для дисконтных карт. Банковский код должны знать только система и клиент. Чем меньше промежуточных ступеней между системой и клиентом, тем безопаснее.

Шерстобитов посоветовал заранее узнать у банка все способы проверки еще при открытии счета или карты. Если вопрос с подтверждением кода через SMS не оговаривался заранее, это должно насторожить клиента. А еще, если речь идет о подозрительной операции, которую, по словам представителя банка, нужно отменить, вам должна была прийти SMS.

«Вам может позвонить банк и уточнить, была ли такая операция, но отменить эту операцию, если вы уже получили SMS, банк уже не может. Если вам начинают рассказывать, что мы сейчас куда-переведем ваши деньги, что мы сможем вам их вернуть, только скажите нам код. Это обман, такого быть не может», — подчеркнул Пятиизбянцев.

Не «Алло»

Все эксперты, опрошенные «360», подтвердили, что мошенничество со звонками по телефону сейчас является одним из самых распространенных способов обмана.

«Сейчас есть возможность подменять номера телефона. Вы принимаете звонок, и номер входящего отображается как номер банка. Это, конечно, сильно повышает доверие, потому что человек видит, что звонят как будто из банка. Пытаются получить информацию, которая может быть использована злоумышленниками. Здесь тоже нужно быть аккуратными. Моя рекомендация — сделать встречный звонок. При этом ваш звонок попадет уже по нужному назначению», — отметил Шерстобитов.

Специалист по работе с VIP-клиентами одного из ведущих российских банков рассказал «360», что сейчас почти каждый второй звонок, который они с коллегами принимают, поступает от клиента, столкнувшегося с телефонным мошенничеством. Один из первых признаков обмана, по его словам, — упоминание об ограниченном времени. Используются фразы «в течение 30 минут», «срочно», «если не поторопиться, все потеряете». Человек начинает паниковать и называет номер карты, срок ее действия, CVV\CVC-код, которые по правилам банка запрещено говорить вслух. И даже если в сообщении написано, что код нельзя называть, из-за давления мошенников человек может растеряться.

Если же мошенничество уже произошло, нужно как можно скорее провести блокировку и обратиться в правоохранительные органы. «К сожалению, у банков нет основания к возврату средств, если клиент назвал те данные, которые, в общем, защищали его финансы, так как в правилах указан запрет на предоставление этих данных третьим лицам. Всех пострадавших клиентов очень жаль, и поможет избежать таких случаев повышение финансовой грамотности», — подытожил собеседник.

Грамотно и без помех

Специалисты советуют обращать внимание на номер телефона, с которого совершается звонок. Если мошенники звонят с мобильного, нужно сразу положить трубку и внести номер в черный список. При желании этот номер можно сообщить в полицию. Если звонок идет с городского, то принадлежность номера нужно проверить по интернету или сравнить с номером на оборотной стороне карты.

Важно, что работник банка всегда перед началом разговора делает верификацию клиента, проверяет, что разговаривает с нужным человеком. Мошенник этот этап может пропустить и сразу начать рассказ о попытке вывести средств. Еще нужно обратить внимание на грамотность речи говорящего, качество связи. Если человек звонит из банка, никаких помех быть не может.

Обезопасить карты поможет и более грамотное их использование: отказ от проведения платежей на сомнительных сайтах, установки программного обеспечения из небезопасных источников, использования банкоматов на улице или в общественных местах. Ведь в них могут быть установлены устройства, считывающие данные.

А еще желательно прочитать правила использования карт, которые выдаются банком при их открытии. Тогда и деньги останутся в безопасности, и претензий ни к кому не будет.