Вчера произошла странная ситуация, мне позвонил человек и представился работником службы безопасности Тиньков Банка. Начал задавать мне странные вопросы, не оставлял ли я заявку на выпуск дебетовой карты с другого номера телефона и назвал последние четыре цифры. Я ответил нет, никаких заявок я не делал, тем более с других номеров. Также сказал что такого номера я не знаю.
Как выяснилось позже звонил настоящий сотрудник СБ, ситуация оказалась реальной. Кто-то хотел получить доступ к моему счету. В ТБ у меня есть дебетовая карта, на ней была на тот момент приличная сумма для снятия.
Суть проблемы. Общение с сотрудником было для меня подозрительным, я не охотно отвечал на его вопросы, так как стиль его общения казался мне как бы это смешно не звучало "мошенническим", будто он с меня тянул информацию и были некие неловкие паузы в разгворе из-за того что я не охотно разговаривал. Но наверное вина тут не сотрудника, у него другой тип работы в отличии от сотрудников Колл-центра
Наверное в этом нет ничего страшного, но если бы я мог его хоть как-то идетифициорвать как реального представителя, то было бы более тесное сотрудничество. Конечно звонили с номера 88007751010, но живем в такое время что это ничего не значит
Приехав домой набрал 8 800 555-77-78 для уточнения был ли этот звонок реальным . Ответил парень, посмотрел что-то там в заявках и звонках и подтвердил мне что это был реальный сотрудник банка, но на мне никаких заявок не числится. Я сказал спасибо и положил трубку.
После того как положил трубку подумал, а почему на мне ничего не числится? Неплохо бы узнать это и по каким моим данным была заказана новая карта, но с другого телефона. Ведь какие-то данные утекли, а я даже не знаю какие и откуда.
Звоню берет трубку оператор девушка я излагаю ситуацию. В ответ она мне отвечает что вам звонили мошенники игнорируйте. Интересный сюжет подумал я. Но ведь я же сам звонил в банк, а значит это были не мошенники. Объясняю ей что я знаю что это из банка звонили, так как я уточнял уже. Она уходит искать, возвращается и говорит "да действительно" вам звонили из банка и была заявка на выпуск карты.
Прошу ее посмтреть по возможности какие данные были предоставлены. Она говорит что не может мне сказать, так как не видит. Плохо, но ок, буду жить в неведении. Про меня знают кто я, что на счету есть деньги, а я даже не знаю какие мои данные им предоставили.
На этом моменте я подумал что надо перенести деньги в другой банк. О написании поста и не думал до определенного момента.
Сегодня утром звонит телефон, беру трубку и меня ошарашивает. Мне снова звонит оператор банка и уточняет оставлял ли я заявку на карту, давайте сверим данные и отправим. И тут у меня назревавет вопрос. Почему заявка, которую пресекли в СБ банка ушла дальше? А что будет если оператор схалтурит не позвонит или же заявка на выпуск уйдет дальше и мошенники всетаки получат карту?
8-800? Ничего себе! Обычно Тинькофф звонит с левых мобильных и их вообще никак не опознать по номеру.
Приветствуем. Это не совсем так, поскольку на практике мы обычно звоним с номера 8-800 и с других номеров, которые есть, к примеру, на нашем сайте - https://www.tinkoff.ru/contacts/.
Предлагаю внедрить для безопасности так называемый call-back:
- клиенту нужно будет позвонить самому на официальный номер 8800 и в тоновом наборе ввести 5-6 цифр, которые ему предварительно высылают в смс или push
- клиента соединяют со специалистом, который пытался с ним связаться
- уровень доверия к такому звонку будет 100%
- относительно легко реализуется с современными системами телефонии
А как быть, если в "предварительном смс" будет указан номер 8800 с небольшим отличием или ссылка? И это смс будет не от банка?))
В смс предполагается посылать только код-ключ, звонить предлагается на официальный номер компании (написан например на пластиковых банковских картах и рекомендуется к внесению в записную книгу телефона). В этом случае клиент будет уверен что он звонит точно в банк, и оператор будет видеть данные CallerID плюс на входе в колл-центр будет введён код-ключ.
Алгоритм не нов, в эпоху аналоговых модемов похожая схема была для секьюрности, цитата из википедии:
Modem security
A modem allows one computer (the client) to establish a connection to another (the server) by dialing the server's telephone number. This is sometimes viewed as being insecure because there is no authentication of the call originator. One way to increase security is to enforce a modem callback protocol, which usually proceeds as a series of steps:
- The client computer calls the server computer.
- After a greeting the client identifies itself, usually with a user name.
- The server then disconnects the call.
- Based upon the user name and a list of users' phone numbers, the server will then establish a second call back to the client computer.
- The client computer, expecting this returned call, will then answer and communications between the two computers will proceed normally.
Вопрос в реакции на подложные смс клиентов, не столь глубоко разбирающихся в ИБ, которые и будут основной целью мошенников.
Ну а какая сейчас реакция?
В данной статье поднимается проблема, что непонятно кто звонит - фрод-мошенник с левого или поддельного номера, или официальный сотрудник, да ещё потом операторы вводят в заблуждение.
При системе call-back будет 100% уверенность в том что разговаривает абонент номера и сотрудник банка, у обоих сторон будет уверенность.
Проблема в первую очередь во внутренних коммуникациях банка и может быть решена административно. Вы в качестве решения предлагаете открыть дополнительную дыру мошенникам.
Проблема не может быть решена административно, обратный телефонный номер мошенники могут подделывать. В данном случае автор статьи не мог быть уверен что разговаривает с сотрудником. При наличии сомнений у клиента и функции call-back сотрудник мог предложить клиенту "перезвонить на официальный номер банка и ввести код из смс". Этот код - это временный внутренний номер рабочего телефона сотрудника банка, поэтому клиент попадёт именно на него при повторном обратном звонке в банк. Или, если так угодно, можно это назвать "тикет для обращения в банк".
Теперь скажите, в чём выражается "дополнительность" дыры? Смс и звонки и сейчас могут поступать на номер абонента, как от банка, так и от мошенников, с любым содержимым.
С точки зрения удобства для клиентов вариант такой себе. Большая часть людей будут недовольны.
+ Если у тебя украли карту или потерял - что делаем?
Тут скорость реакции страдает, а она и может оказаться ключевой.
Скорость реакции для клиента это сутки. А реакция у самих банков всё равно хуже, чем у подушки. Но такая вещь, по крайней мере, сможет оградить от левых кредитов и переписываний номеров по паспортным данным не отвечая на кодовые вопросы. Точнее, проще будет доказать, что не верблюд.