В последние дни по интернету разлетелась новость:
Банки всё чаще спрашивают у клиентов коды, отправляемые по SMS. Это может привести к массовым потерям средств.
Началось всё с издания Коммерсант, где опубликовали статью с подзаголовком «Новый метод аутентификации может оказаться небезопасным».
Уже после прочтения подзаголовка у меня возник вопрос, с каких пор SMS-подтверждение операций стало чем-то новым? Технологии 3-D Secure скоро исполнится 10 лет, а значит «эсэмэски» в целях подтверждения операций используются уже очень давно.
Давайте разберёмся, когда банки запрашивают коды по телефону, и какие риски могут быть в каждом случае.
В каких случаях банки подтверждают операции с помощью кодов, отправленных по SMS
Обновление информации в досье клиента
На каждого клиента в банке заведено электронное досье. Там указываются номера телефонов, которые клиент сообщил банку: домашний, рабочий и мобильный.
Некоторые банки проверяют номера мобильных телефонов при помощи SMS. Делается это для того, чтобы быть уверенным, что информация (в т.ч. финансовая) будет отправляться именно этому клиенту.
Если номер не проверять, то могут быть ситуации, когда какие-то SMS-уведомления будут отправляться кому-то другому. Увы, иногда сотрудники банк ошибаются при вводе номера телефона.
После того, как банк убедился, что номер телефона принадлежит вам, он может спокойно присылать вам важную информацию на этот номер. Например, в одном из банков, где у меня есть карта, мне не нужно было отдельно подключать мобильный банк — всё решилось онлайн. Подтверждение того, что я — это я, происходило посредством отправки кода по SMS.
Подача заявки на кредит или кредитную карту
В анкете, которую заполняет потенциальный заёмщик, обязательно есть пункт — номер мобильного телефона. SMS — самый простой способ проверить, что этот номер действующий и действительно находится в руках у клиента.
Остальные номера, указанные в анкете, могут проверяться позднее посредством обычного прозвона.
Банку важно убедиться, что клиент не пытается обмануть банк и сообщил в анкете верные данные.
Именно поэтому, во многих банках, проверка номера телефона по SMS при подаче кредита появилась раньше, чем в прочих ситуациях.
Подтверждение безналичных операций
SMS-подтверждение операций сейчас стало практически нормой и для платежей, совершаемых с помощью интернет-банка и с помощью банковских карт.
Во втором случае, речь идёт о технологии 3-D Secure, которая предполагает, что для совершения операции необходимо указать не только реквизиты карты, но и дополнительный код, который чаще всего отправляют по SMS.
Использование таких кодов значительно повышает безопасность онлайн-платежей.
Двухфакторная авторизация в системах онлайн-банк
Мне кажется, тут не может быть сомнений в том, что двухфакторная авторизация нужна. На практике это выглядит так:
При входе в систему интернет-банк, клиент указывает имя и пароль, после чего у него запрашивается код, который банк отправил ему по SMS.
Если кто-то узнает имя и пароль, он всё равно не сможет войти в систему — код, отправляемый по SMS, каждый раз будет разным.
Подтверждение личности при обращении клиента по телефону
Используется, когда вы звоните в банк. Подчеркну, в такой именно вы являетесь инициатором звонка, и банк хочет убедиться, что ему звонит именно клиент, а не кто-то посторонний.
Вообще, обычно в таких случаях часто используется заранее определённое кодовое слово. Но в некоторых банках запрашиваются коды, которые были отправлены по SMS. Такие коды не обязательно отправляют в процессе разговора, например в одном банке мне отправили код при первом обращении, пару лет назад. А когда я звоню в колл-центр, то меня просят назвать определенные цифры из и него. Так и говорят «назовите вторую, третью и пятую цифру из кода».
Подтверждение различных операций в самом банке
В некоторых банках так понравилась система авторизаций операций с помощью SMS-уведомления, что они начали присылать коды, даже если клиент находится в банке, а операцию выполняет непосредственно сотрудник банка.
Например, в одном банке у меня запрашивали код, когда я попросил распечатать выписку.
На мой взгляд, здесь банк немного перестраховывается. С одной стороны он контролирует своих сотрудников, и клиент может быть уверен, что из праздного любопытства никто по его счетам выписки запрашивать не будет. С другой стороны, я не знаю, чтобы произошло, если бы у меня не было с собой телефона, если бы у него разрядился аккумулятор и т.д.
Чем опасно широкое распространение SMS-кодов (по версии СМИ)
Эксперт, с которым поговорили журналисты Коммерсанта, видит угрозу в том, что «отдельные граждане сочтут называние кода из СМС сотруднику банка нормой и будут делать то же самое и при звонке якобы из банка, а в реалии — от мошенников».
Мне кажется, что ключевое определение тут «отдельные граждане». Безусловно, такие найдутся, и они находятся: сообщают при звонке мошенника, представившегося службой безопасности банка, любую информацию. И привычка называть код из SMS тут не причём.
Рекомендую прочитать
Почему нужно отключать SMS-уведомления по картам
5 мифов об оплате бесконтактными картами, один из которых не совсем миф
