Эксперты считают небезопасной аутентификацию по СМС

Эксперты по информационной безопасности считают дополнительную аутентификацию клиентов банков с использованием СМС-кодов небезопасным методом, сообщает «Коммерсант».

Сотрудники банков все чаще запрашивают по телефону у клиентов коды из отправленных им СМС-сообщений для дополнительной аутентификации, рассказали изданию эксперты по информбезопасности. Они обеспокоены данной практикой из-за развивающейся социальной инженерии, в том числе с подменой номера банка для введения в заблуждение клиентов. «Случаи, когда банки просят называть коды из СМС, могут изменить шаблон поведения клиента и сформировать у него понимание, что это норма, — говорит управляющий партнер экспертной группы Veta Илья Жарский. — Однако серьезные риски из-за этого появились лишь в конце прошлого года, когда мошенники начали звонить с подмененных телефонов банка».

Традиционно банки используют коды, присылаемые в СМС, для подтверждения списания денежных средств, и их нельзя называть кому-либо, в том числе и сотруднику банка. Ряд банков отправляют клиентам коды, которые им необходимо называть сотрудникам в офисе при совершении отдельных операций для обеспечения их дополнительной безопасности.

Однако в некоторых банках также запрашивают у клиентов коды из СМС при обращении в кол-центр или чат банка и уверены, что это безопасно.

Новость

Почта Банк запрашивает код подтверждения той или иной операции или услуги по инициативе клиента — звонке, визите в отделение или в банковском чате. «Следует различать коды подтверждения, приходящие в СМС от банка, — отметили в пресс-службебанка.— Код, используемый в качестве простой электронной подписи, приходит клиенту только при его входящем обращении в банк и в непосредственном контакте с сотрудником банка, что делает операцию максимально защищенной». При этом в банке добавили, что, когда отправляют СМС от банка с кодом подтверждения списания средств, в нем всегда содержится пометка, что этот секретный код не следует сообщать никому.

В Тинькофф Банке сотрудник банка запрашивает код из СМС при обращении клиента в чат поддержки только для подключения или активации услуги. «Такие СМС-текстовки спутать невозможно, в самой СМС содержатся ее определенное назначение и предупреждения для противодействия социальной инженерии», — сообщили в банке. Там также отметили, что, по «внутренней статистике, основанной на анализе собранных за годы работы данных, вероятность того, что клиент расскажет СМС-код мошенникам, если в сообщении есть фраза «Никому не говорите код», зависит преимущественно от социально-демографических факторов, которые учитываются в системах антифрода».

Однако эксперты уверены, что практика запроса кодов из СМС несет в себе риски, несмотря на предупреждения, и от нее надо отказаться. По словам начальника отдела по противодействию мошенничеству ЦПСБ «Инфосистемы Джет» Алексея Сизова, есть риск, что отдельные граждане сочтут называние кода из СМС сотруднику банка нормой и будут делать то же самое и при звонке якобы из банка, а в реалии — от мошенников.

Автор: banki.mirtesen.ru

Контакты:

Адрес: Замоскворецкая, 1165214 Москва,

Телефон:+7 495-297-311-23, Электронная почта: contact@ahier.ru logo-7966317

Оцените статью
Яндекс.Метрика