Эксперты предупредили о риске потери денег из-за SMS-аутентификации
Специалисты по информационной безопасности раскритиковали политику отдельных банков, которые подтверждают личность клиента при общении с сотрудниками через SMS-коды.
Опрошенные эксперты рассказали газете "Коммерсант", что подобная практика может сформировать у клиента ложное впечатление о том, кому и какие коды можно называть. Поскольку мошенники все чаще берут на вооружение технологии социальной инженерии, тот факт, что сотрудник банка может спрашивать коды из сообщений, потенциально играет им на руку.
По словам [начальника отдела по противодействию мошенничеству ЦПСБ "Инфосистемы Джет" Алексея] Сизова, есть риск, что отдельные граждане сочтут называние кода из СМС сотруднику банка нормой и будут делать то же самое и при звонке якобы из банка, а в реалии - от мошенников.
В банках в свою очередь напоминают, что в SMS, которыми подтверждаются платежи, всегда содержится фраза о том, что рассказывать код нельзя никому, даже сотрудникам учреждения. И наоборот, в сообщениях для подтверждения личности указывается, что этот код можно называть. Подобная практика существует в том числе у "Промсвязьбанка", "Тинькофф-банка", "Почта-банка".
"Такие СМС-текстовки спутать невозможно, в самой СМС содержатся ее определенное назначение и предупреждения для противодействия социальной инженерии... По внутренней статистике, основанной на анализе собранных за годы работы данных, вероятность того, что клиент расскажет СМС-код мошенникам, если в сообщении есть фраза "Никому не говорите код", зависит преимущественно от социально-демографических факторов, которые учитываются в системах антифрода", - рассказали в банке "Тинькофф".