Эксперты по информационной безопасности считают дополнительную аутентификацию клиентов банков с использованием СМС-кодов небезопасным методом. Есть риск, что отдельные граждане сочтут называние кода из СМС сотруднику банка нормой и будут делать то же самое и при звонке от мошенников.
Сотрудники банков все чаще запрашивают по телефону у клиентов коды из отправленных им СМС-сообщений для дополнительной аутентификации, рассказали изданию эксперты по информбезопасности. Они обеспокоены данной практикой из-за развивающейся социальной инженерии, в том числе с подменой номера банка для введения в заблуждение клиентов. «Случаи, когда банки просят называть коды из СМС, могут изменить шаблон поведения клиента и сформировать у него понимание, что это норма, — говорит управляющий партнер экспертной группы Veta Илья Жарский. — Однако серьезные риски из-за этого появились лишь в конце прошлого года, когда мошенники начали звонить с подмененных телефонов банка».
Традиционно банки используют коды, присылаемые в СМС, для подтверждения списания денежных средств, и их нельзя называть кому-либо, в том числе и сотруднику банка. Ряд банков отправляют клиентам коды, которые им необходимо называть сотрудникам в офисе при совершении отдельных операций для обеспечения их дополнительной безопасности. Однако в некоторых банках также запрашивают у клиентов коды из СМС при обращении в кол-центр или чат банка и уверены, что это безопасно. Почта Банк запрашивает код подтверждения той или иной операции или услуги по инициативе клиента — звонке, визите в отделение или в банковском чате. «Следует различать коды подтверждения, приходящие в СМС от банка, — отметили в пресс-службе банка.— Код, используемый в качестве простой электронной подписи, приходит клиенту только при его входящем обращении в банк и в непосредственном контакте с сотрудником банка, что делает операцию максимально защищенной». При этом в банке добавили, что, когда отправляют СМС-код от банка с кодом подтверждения списания средств, в нем всегда содержится пометка, что этот секретный код не следует сообщать никому.
В Тинькофф Банке сотрудник банка запрашивает СМС-код при обращении клиента в чат поддержки только для подключения или активации услуги. «Такие СМС-текстовики спутать невозможно, в самой СМС содержатся ее определенное назначение и предупреждения для противодействия социальной инженерии», — сообщили в банке. Там также отметили, что по «внутренней статистике, основанной на анализе собранных за годы работы данных, вероятность того, что клиент расскажет СМС-код мошенникам, если в сообщении есть фраза «Никому не говорите код», зависит преимущественно от социально-демографических факторов, которые учитываются в системах антифрода». Однако эксперты уверены, что практика запроса кодов из СМС несет в себе риски, несмотря на предупреждения, и от нее надо отказаться. По словам начальника отдела по противодействию мошенничеству ЦПСБ «Инфосистемы Джет» Алексея Сизова, есть риск, что отдельные граждане сочтут называние кода из СМС сотруднику банка нормой и будут делать то же самое и при звонке якобы из банка, а в реалии — от мошенников.