Социальная инженерия - "черная дыра" безопасности DIGITAL
По информации ФинЦЕРТ Банка России, в 2018 году с ее использованием было совершено более 97 % хищений со счетов физических лиц. В 2019 году стало еще хуже – злоумышленники стали активнее использовать технологии подмены исходящего телефонного номера на банковские номера. Сейчас же, с началом «инфекционного кризиса» ситуация усугубилась — клиенты думают буквально о вопросах жизни и смерти, поэтому мошенникам стало еще проще их обманывать! По информации наших коллег в банках, сейчас наблюдается всплеск фрода. И с каждым днем это становится все опаснее.
Существует несколько наиболее массовых сценариев хищений. Самый распространённый – звонок якобы из службы безопасности банка. Причем клиент видит знакомый номер колцентра и ни о чем не подозревает. В разговоре мошенник хорошо поставленным «банковским» голосом «информирует» клиента, что его счета прямо сейчас подвергаются атаке, а для отмены операции необходимо срочно сообщить код из SMS или PUSH. И подобных схем – не один десяток. Мошенники намеренно вводят клиента в «стрессовую» ситуацию, чтобы тот продиктовал заветный код подтверждения. Почему это возможно? Во многом потому, что в одном SMS или PUSH-сообщении невозможно указать всю информацию о платеже, чтобы клиент банка мог все проверить и среагировать.
Что же банки могут сделать для решения проблемы социальной инженерии? Самый простой путь – вообще забрать у клиента возможность сообщить какой-либо код мошенникам. Одним из способов это сделать является предоставление возможности самостоятельно подтверждать транзакции мобильной электронной подписью, причем лишь после просмотра полных реквизитов платежа и только со своего смартфона. Электронная подпись «в смартфоне» работает только с конкретного устройства пользователя, не использует коды подтверждения, которые можно было бы сообщить мошеннику. Это исключает возможность подтвердить документ без желания и контроля клиентом, сохраняет юридическую значимость, обеспечивает контроль целостности и авторства. А еще это намного стабильнее и удобнее, чем SMS и PUSH.
О том, какие еще проблемы встречаются при обслуживании клиентов в удаленных каналах – поговорим в следующий раз.