«Денег не видел, а платить придётся»
Как обезопасить себя от мошенников, и так ли удобны мобильные банки
«Добрый день, вас беспокоят из службы безопасности банка» — сколько раз в неделю вам приходят такие звонки? Про уловки мошенников уже не раз писали банки, специалисты по безопасности предупреждают, что не нужно говорить свои данные неизвестным. Но некоторые до сих пор ведутся на это и попадают на уловки.
Сейчас стало ещё сложнее обезопасить себя: всё больше банковских услуг можно получить онлайн: банки присылают код в смс и оформляют кредиты дистанционно. Стало проще, но и проще стало попасться на уловки мошенников.
Вместе с экспертом цифровых сервисов для банков и специалистом по безопасности мы обсудили, чем опасен смс-код в банковских операциях, и как клиентам и банкам обезопасить себя от мошенников, испорченной репутации и потерянных денег.
Что такое смс-код?
По данным Центробанка, во втором квартале 2022 года 50% всех мошеннических схем проходили по сценарию: позвонил мошенник и попросил назвать код.
СМС-код, который вы получаете от банка с предупреждением «не сообщайте никому», является простой электронной подписью (ПЭП). Вы могли встретиться с ПЭП, когда оплачивали покупки в интернет-магазине.
ПЭП является одним из видов электронной подписи и по закону позволяет подписывать документы. Этот тип выбирают из-за его простаты – ввёл смс и готово, ничего устанавливать не надо.
«Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определённым лицом», — ФЗ-63 ст. 5 п. 2.
Но у такого типа подписи низкий уровень безопасности — непонятно, на что согласился клиент этой подписью. А ещё смс легко перехватить.
Чтобы понять, чем вы рискуете, вводя 4 цифры и как смс может испортить репутацию банку, переместимся на 4 года назад.
Чем опасны смс-коды?
«Я вообще не знал, что подписал»: как из-за смс-кода у банка может упасть рейтинг, а у клиента увеличится платёж по договору
В 2019 году на портале Банки.ру клиенты оставляли жалобы на банк, в котором подписали кредитный договор. Всех этих клиентов объединяло одно — они подписали договор на кредит с помощью кода из смс (той самой ПЭП).
В сообщении не было видно условий договора — просто текст «Код подтверждения 1357. Платёж по кредиту 5000 руб., комиссия 0 руб.» заёмщик называл сотруднику код и подписывался.
И вместе с кредитом получили дополнительные услуги, о которых не догадывались: страховка, юридическая защита, индивидуальный консультант.
Было бы славно, если бы это был подарок. Но клиенты платили за эти услуги, просто узнавали об этом через месяц. Когда вносили платёж за кредит.
Некоторые банки перед отправкой смс-кода на подписание печатают договор и дают ознакомиться с документом. Но называя код из смс, вы не можете быть уверены, что это именно тот договор, который вы прочитали.
Используя смс, вы обычно не видите документ в сообщении, который собираетесь подписать, и не можете определить, соглашаетесь вы только на кредит или берёте ещё и подписку на платные рассылки. А может быть оформляете кредит на машину для какого-то Гриши из Саратова.
«Назовите код из смс»: перехват смс и жертвы телефонных мошенников
Вернёмся в 2023 год, недавно вышла новость, что мошенники с помощью двух смс оформили кредит на 200 000 рублей. Клиент обратился в суд, теперь смс могут признать недействительным для заключения кредитного договора.
Код подтверждения легко можно перехватить или узнать у клиента банка. В итоге и клиент, и банк потеряют деньги.
На данный момент законодательно Центральный Банк РФ уже запретил использование смс и push-кодов при совершении транзакций, чтобы защитить клиентов и сами банки. Однако данное постановление пока не касается документов на оформление банковского продукта. Но всё впереди.
Смс-код знают банк, оператор сотовой связи, другие смс-агрегаторы, и только потом клиент, на чьё устройство пришёл код. Код может быть перехвачен на любом из этапов пути, даже у самого клиента с телефона, а самое простое — через звонок мошенников.
Хоть законодательство пока ещё формально позволяет получать кредит по смс, необходимо не пренебрегать логикой и информационной безопасностью. Кредитные договоры являются одними из самых высокорисковых для банка и для клиента, поэтому их нельзя подписывать кодом из смс.
Высокорисковые операции нужно подписывать только тем средством электронной подписи, которое обеспечивает контроль целостности и авторства и хранится у самого клиента.
Сейчас таким средством является неквалифицированная электронная подпись (НЭП). Её можно выпустить на мобильный телефон и подписывать документы в телефоне. Мобильную подпись невозможно перехватить и воспроизвести на другом устройстве, ей всегда владеет сам человек. А заставить человека самостоятельно нажать на кнопку телефонному мошеннику гораздо сложнее, чем просто назвать код — это психология
Как банку и клиенту защититься от мошенников?
Способы защиты от мошенников для клиентов
Мошенники могут перехватить не только смс, но и номер карты, три цифры с оборота, логины и пароли от вашего онлайн-банка и других приложений.
Чтобы избежать инцидентов стоит придерживаться нескольких правил:
- Устанавливайте сложные пароли в приложениях. Со строчными и прописными буквами, цифрами и символами. Лучше использовать разные пароли: для соцсети один пароль, для банка — другой.
Ненадёжный пароль: 123098
Надёжный пароль: 9PEIIp-8
- Не оставляйте в интернете ваш номер телефона, к которому привязан банковский счёт.
- Проверяйте адрес сайтов, на которых совершаете оплату
Мошенники часто используют фишинговые сайты с целью заполучить ваши учётные данные или номера карт. Адреса таких сайтов очень похожи на настоящие, но имеют какие-то незначительные ошибки.
Правильный URL-адрес: https://www.sberbank.ru/
Подозрительный URL-адрес: https://www.sberbamk.ru/
- Никому не сообщать коды подтверждения.
- Не скачивайте программы с подозрительных сайтов. Если сайт «vzlom.У» предлагает вам скачать Kaspersky бесплатно, лучше его пропустить и скачать антивирус на официальном сайте.
- Если вам пишет знакомый и просит скинуть ему денег, постарайтесь связаться с ним через другой мессенджер, позвоните ему.
- Выбирайте банки, которые предлагают альтернативные или дополнительные методы подтверждения волеизъявления в цифровых каналах. Например, оформление документа идёт в приложении банка и кнопка «Подписать» становится активна, только после того, как вы подтвердили, что ознакомились с документом.
Способ защиты клиентов от мошенников для банков
Используйте для подписания документов более защищённые электронные подписи
Например, неквалифицированную электронную подпись.
Неквалифицированная электронная подпись позволяет определить: кто, когда, с какого устройства подписал документ. А текст документа можно прочитать до подписания на экране своего смартфона или планшета банка. Так вы будете уверены, что подписываете. НЭП можно выпустить в смартфоне и подписывать через приложение документы с банком.
А если у вас, клиента банка, есть КЭП — то некоторые сервисы электронного документооборота для банка поддерживают такой вид подписи и даже выпускают её.
Например, в Nopaper Office — сервисе электронного документооборота для банков, можно выпустить все виды подписи: смс —подпись, НЭП, КЭП. Мы рекомендуем подписывать большинство банковских документов НЭП.
Теоретически, использовать код из смс можно только в низкорисковых для банка и клиента операциях. Например, открытие вклада в офисе, поскольку деньги остаются в банке. а человек и так находится перед вами.
Иные операции, связанные с получением кредита, переводом денежных средств и даже открытием расчётного счёта, особенно без посещение офиса не рекомендуется подтверждать таким способом. Тем более, что есть другие, не менее удобные и более безопасные