Добавить в корзинуПозвонить
Найти в Дзене
Строчу как хочу
22 подписчика

«Код из SMS»: как банки приучили нас к уязвимости

4
3 мин
Однажды вы получаете звонок. Голос уверенный, представляется сотрудником банка: «Мы зафиксировали подозрительную активность. Сейчас отправим вам код для подтверждения личности». Код приходит. Вы озвучиваете. А потом — минус 100 000 рублей. Что вы сделали не так? С точки зрения банка — всё. Вы сами сообщили код. С точки зрения здравого смысла — вас обманули. Но если копнуть глубже, виноваты не вы — виновата система. Нас приучили озвучивать коды. В банке. Легально. В отделении банка сотрудник оформляет что-то на своём компьютере. Вам приходит SMS-код. Он говорит: «Продиктуйте, пожалуйста, я введу». И вы диктуете. Потому что: Так повторяется десятки раз. И вот ваш мозг закрепляет условный рефлекс: приходит код → кто-то просит → называю. А потом приходит мошенник. И делает всё то же самое. Он не кричит, не ломает дверь, не хакерит ваш телефон. Он просто воспроизводит привычный вам сценарий: И вы — автоматом — называете. А потом: «Это была верификация через “Сбер ID” в стороннем прилож

Однажды вы получаете звонок. Голос уверенный, представляется сотрудником банка:

«Мы зафиксировали подозрительную активность. Сейчас отправим вам код для подтверждения личности».

Код приходит. Вы озвучиваете. А потом — минус 100 000 рублей.

Что вы сделали не так?

С точки зрения банка — всё. Вы сами сообщили код. С точки зрения здравого смысла — вас обманули. Но если копнуть глубже, виноваты не вы — виновата система.

Нас приучили озвучивать коды. В банке. Легально. В отделении банка сотрудник оформляет что-то на своём компьютере. Вам приходит SMS-код.

Он говорит:

«Продиктуйте, пожалуйста, я введу».

И вы диктуете. Потому что:

  • У него бейдж.
  • Он в белой рубашке.
  • Он сидит в банке — значит, можно.

Так повторяется десятки раз. И вот ваш мозг закрепляет условный рефлекс: приходит код → кто-то просит → называю.

А потом приходит мошенник. И делает всё то же самое. Он не кричит, не ломает дверь, не хакерит ваш телефон. Он просто воспроизводит привычный вам сценарий:

  • Звонит.
  • Уверенно говорит.
  • Просит продиктовать код.

И вы — автоматом — называете.

А потом:

«Это была верификация через “Сбер ID” в стороннем приложении. Деньги списаны. Вы сами подтвердили. До свидания».

Система небезопасна по умолчанию

Вот простая истина:

Если человек подтверждает операцию, которую он не может сам проверить — это не безопасность, а её имитация.

В банке:

  • Вы не видите, что именно сотрудник вводит.
  • Не имеете доступа к системе.
  • Не можете ввести код сами — только озвучить.

Получается, вы доверяете на слово. И если сотрудник ошибётся или окажется не тем, кем кажется — вы ничего не докажете.

Простой пример:

Вы приходите открыть карту. Сотрудник оформляет что-то на своём экране и говорит:

«Сейчас придёт код, продиктуйте — это для активации карты».

Код действительно приходит — из банка, по SMS. Всё выглядит правдоподобно. Но фактически — этот код может подтверждать:

  • оформление кредита на ваше имя,
  • подключение платной страховки,
  • согласие на передачу данных третьим лицам.

Вы не можете это проверить.

Вы не можете сказать:

«Пустите меня в вашу служебную программу — я посмотрю, что именно вы оформляете».

Сотрудник просто ответит:

«Извините, по регламенту банка это запрещено».

Немного терминологии

В сфере информационной безопасности есть простое правило:

1-е лицо — это вы, владелец данных.

2-е лицо — это система, с которой вы взаимодействуете (например, банк).

3-е лицо — это любой, кто просит у вас доступ или информацию, но сам системой не является.

То есть любой человек, который просит у вас CVV, ПИН или код из SMS — это третье лицо.

Разные страны — разная логика доверия

Интересно сравнить, как с этим обстоят дела в других странах:

Узбекистан: доверие — часть культуры

В кафе, магазинах, банках — норма:

клиент сообщает вслух ПИН-код от карты, а продавец сам его вводит.

Это считается заботой: "чтобы вам не утруждаться нажимать кнопки".

— Никакого страха, никакой паники.

— Мошенничество? Никто и не думает о таком.

— Всё держится на доверии и честности в быту.

Система слабая с точки зрения IT-безопасности, но очень крепкая с точки зрения человеческих отношений.

США: доверие встроено в систему

Там в ресторане могут попросить:

  • Номер карты.
  • CVV.
  • Размер чаевых.

И всё это вы вписываете на бумажке вручную, потом официант уносит её куда-то "в бэк-офис". Но никто не боится. Потому что:

  • Если случится мошенничество — банк вернёт деньги.
  • Мошенника будут искать и наказывать.
  • Система защищает клиента институционально, не на уровне улыбки, а на уровне закона, договоров, страхования.

Россия и СНГ: доверие без гарантий

Система просит доверия, но не даёт:

  • Никакой прозрачности.
  • Никакой возможности контроля.
  • Никакой ответственности за ошибки системы.

Ты «должен поверить», но если тебя обманули — виноват ты.

Что делать?

1. Никогда не озвучивайте код вслух — даже в банке. Вводите самостоятельно, даже если это неудобно.

2. Читайте SMS внимательно.

В них часто прямо написано: «никому не сообщайте код».

3. Не подтверждайте то, что не понимаете. Не знаете, зачем пришёл код? Не вводите. Не озвучивайте.

4. Задавайте вопросы. Попросите сотрудника показать, что именно вы подтверждаете.

5. Если сомневаетесь — откажитесь. Операцию всегда можно повторить, а украденные деньги — нет.

Заключение

Банки приучили нас доверять. Мошенники приучились это копировать. А клиент остался один на один с уязвимостью.