Колл-центры банков запрашивают у клиентов коды из SMS-сообщений для аутентификации

3 июня 2019

Подобная практика может сформировать небезопасные шаблоны поведения, способные привести к потере денег, уверены эксперты

Привычка сотрудников банков запрашивать у клиентов коды из полученных ими SMS-сообщений может обернуться кражей средств со счетов. Как сообщает издание «КоммерсантЪ», для аутентификации пользователей сотрудники российских банков все чаще запрашивают коды из SMS-сообщений. В самих финорганизациях подобную процедуру считают безопасной, поскольку в сообщениях указано, какие коды можно называть, а какие нет. Тем не менее, ИБ-эксперты видят здесь возможности для мошенничества.

По словам специалистов, клиенты могут привыкнуть к тому, что сообщать присланные им в сообщениях коды сотрудникам банка является нормой. Люди считают, будто код нужен для проведения банковской операции и не задумываются о возможных рисках. Обычно финорганизации присылают клиентам коды в SMS-сообщениях для подтверждения списания денежных средств. Сообщать их кому-либо, в том числе банковским сотрудникам, нельзя.

Некоторые финорганизации отправляют клиентам коды, которые нужно сообщать сотрудникам в офисе для обеспечения безопасности таких операций, как подключение автоплатежей, досрочное погашение кредитов и пр. В частности, это практикуется в МКБ, ВТБ и банке «Открытие». Тем не менее, в некоторых финорганизациях коды запрашивают работники колл-центров для аутентификации пользователей, и считают это вполне безопасным.

ИБ-эксперты настоятельно рекомендуют отказаться от вышеупомянутой практики. По их мнению, пользователи могут привыкнуть к тому, что сообщать коды, в том числе строго конфиденциальные, можно и нужно. Этим могут воспользоваться мошенники, которые могут звонить жертвам от имени банков, запрашивать секретные коды для подтверждения денежных транзакций и похищать деньги с их счетов.

Источник:  https://www.securitylab.ru/news/499223.php
Вернуться к списку