Андрей Федоров — автор статьи и популярного телеграм-канала о маркетинге и бизнесе.
В последнее время в интернете участились описания случаев мошенничества, когда у клиентов банков уводят деньги, и почти всегда это связано с дистанционным обслуживанием. Еще 5 лет назад мы сделали сервис, который мог быть решить эту проблему хотя бы частично, поэтому пришлось вникнуть в тему и получилось извлечь определенные уроки. Расскажу эту историю и напишу рекомендации, как снизить риск потери своих денег.
В 2017 году меня пригласили поучаствовать в проекте, который был нацелен на снижение банковского мошенничества, в роли сооснователя и руководителя маркетинга. Тогда, да и сейчас, банки полагались на мобильный номер клиента как идентификатор. Проблема в том, что мошенники могут делать с банковским счетом (почти) что угодно, если получат доступ к мобильному номеру и/или устройству клиента.
У нас была гипотеза, что можно снизить объемы мошенничества, если отслеживать различного рода «странности» («аномалии» по-дата-сайентистки), происходящие с SIM-картой и устройством пользователя.
Как воруют деньги со счетов
Общее место большого количества случаев — подмена личности , то есть когда мошенники выдают себя за клиента банка, от имени клиента совершают переводы, подтверждают операции и т.д.
Еще есть масса случаев, когда клиенты сами переводят деньги мошенникам, но это отдельная история — не буду ее сейчас касаться.
Подменить личность можно разными способами, но сейчас мы говорим о дистанционном обслуживании, и такая подмена становится возможной, когда:
- Идентификатором клиента выступает номер телефона.
- Номер телефона или мобильное устройство используются для подтверждения операций.
Простыми словами, банк видит не вас — он видит ваш номер телефона (определяемый SIM-картой) и ваше устройство (телефон) . По ним банк определяет, вы это или не вы; коммуникация с вами ведется по этим каналам, операции подтверждаются по ним же.
Если вы потеряли доступ к своей SIM-карте, номеру телефона, устройству, кто-то перехватывает ваши SMS с помощью троянов, переадресации или уязвимостей сотовых сетей — дело плохо.
Таким образом, задача банка (в теории) — понять, действительно ли вы совершаете банковскую операцию или это делает мошенник, получивший доступ к вашим средствам идентификации, аутентификации и авторизации, которыми выступают логин/пароль, номер телефона, одноразовые коды из SMS и так далее.
Как банки могли бы не допускать воровство (или хотя бы снизить количество случаев)
Ниже привожу ситуации, связанные с финансовым мошенничеством и которые можно отлавливать. Если есть такое желание, конечно.
- Перевыпуск SIM.
- SIM переставлена в другой телефон.
- Перехват SMS с помощью трояна на телефоне жертвы.
- Перехват SMS через уязвимости сотовой сети.
- Привязка (подозрительного) номера к счету.
- Перевод на (подозрительный) номер.
- Нетипичное поведение клиента: геолокация, сотовая сеть, время совершения операций и т.д.
- Резкая смена определенных параметров, например, быстрое перемещение клиента в роуминг (и десятки других).
- Получение доступа к SMS-кодам методами социальной инженерии и фишинга.
Как защитить свои деньги в банке
Спасение утопающих — дело рук самих утопающих. Если банки не всегда могут нас защитить, придется это делать самим.
Помним, что наша основная задача — защитить средства удаленного доступа к банковскому аккаунту . Это логины/пароли и все, что связано с номером телефона и самим телефоном. Про логины/пароли сказано уже миллион раз, и про это не буду повторяться, поговорим о телефоне.
- Обязательно установите PIN на SIM. Почему-то сейчас сотовые операторы его по умолчанию отключают или ставят дефолтный 0000. Не знаете, как установить — зайдите в салон оператора или задайте вопрос в поддержке. Вот прямо сейчас сделайте, не откладывайте — у меня перед глазами два случая, когда люди отложили вопрос, а потом сильно пожалели. Поставили код 1111 или 9999 или типа того? До свидания, денежки.
- Обязательно установите PIN для блокировки телефона. Еще раз, вдруг вы не знаете разницы: есть код на доступ к телефону — он блокирует телефон. А в предыдущем пункте описан пин-код SIM-карты — он блокирует SIM. Это разные вещи, работающие независимо друг от друга. Установите оба. Поставили код 0000, 1111 или 9999 или типа того? До свидания, денежки.
- Если у вашего телефона есть распознавание отпечатка пальца или лица, используйте и их. Преимущества перед PIN: ни палец, ни лицо нельзя подобрать или подсмотреть, заглянув через плечо.
- Отключите показ содержания SMS и пушей на заблокированном экране. Думаю, тут все понятно: нет никакого смысла защищать телефон, если все и так видно даже на заблокированном устройстве.
- Защитите приложения банков и сотовых операторов PIN-кодом, а еще лучше отпечатком пальца или лицом. Обратите внимание: не только банков, но и сотовых операторов. Если мошенник зайдет в приложение оператора и получит через него PUK-код (я проверял у одного оператора — получилось), то сможет сменить PIN на сим-карте и переставить ее в другой телефон.
- По возможности не используйте двухфакторную аутентификацию через SMS. Лучше использовать Google Authenticator или аналог. Сохраните в надежном месте бэкап-коды от них, иначе при утере устройства вы сами не сможете получить доступ к аккаунтам.
- Сходите в салон своего оператора и напишите заявление на запрет замены SIM по доверенности.
- Деньги храните в банке, к которому не привязан номер телефона.
От всех возможных ситуаций защититься не получится, но, сделав указанное выше, вы серьезно снизите риски потерять деньги. Если рекомендации вам кажутся очевидными, отлично, но проверьте родителей — сделано ли у них.
***