На днях компания «ВымпелКом» объявила о запуске новой услуги «Билайн. Перевод», которая позволяет переводить деньги с мобильного счета либо банковской карты на карту или мобильный счет любого оператора. Портал Банки.ру выяснял, насколько новый сервис удобен для пользователей и какие новые риски он порождает.
По замыслу разработчиков, «Билайн. Перевод» должен стать легким и быстрым способом денежного перевода. Его очень весомым преимуществом является возможность перевода денег на банковскую карту, причем никаких реквизитов карты или банковского счета вводить не нужно, достаточно телефонного номера получателя (любого оператора).
Управление услугой производится с помощью USSD-меню, этим «ВымпелКом» убивает трех зайцев сразу: перевод можно сделать и на обычном (не «смарт») телефоне, не требуется связь с Интернетом, достаточно даже слабого сигнала 2G-сети, и нет никаких дополнительных расходов при нахождении в роуминге.
Чтобы воспользоваться услугой, абонент «Билайн» должен ввести USSD-код *135# и нажать клавишу вызова. Через несколько секунд на экране появляется меню. Если вы переводите деньги с мобильного счета на мобильный счет, нужно лишь ввести номер абонента и сумму (плюс дважды подтвердить свои намерения), и деньги будут переведены в течение нескольких минут. Сумма одной трансакции с мобильного счета должна укладываться в диапазон от 10 до 14 400 рублей, недельный лимит составляет 45 тыс. рублей, месячный лимит – 90 тыс. рублей.
Несколько иначе выглядит процесс перевода с банковской карты. При первом выборе карты в качестве источника перевода система попросит придумать платежный пароль. И на телефон придет СМС-сообщение со ссылкой на страницу привязки карты к номеру. При привязке задействуется 3D Secure, то есть нужно ввести одноразовый пароль, полученный от банка. На карте при этом заморозится случайная сумма в пределах 2 рублей. После этого карту можно будет выбрать в USSD-меню. Для каждого перевода с карты требуется вводить заданный при привязке платежный пароль, а вот 3D Secure уже не используется.
USSD-код *135*0# позволяет отвязывать карты и привязывать новые (до пяти), смотреть список доставленных и не доставленных переводов. В этом же меню имеется очень полезная возможность вернуть перевод, если получатель еще не вывел деньги.
Процесс получения денег, переведенных с карты, выглядит так: получателю приходит СМС-сообщение со ссылкой на веб-страницу. На открывшейся странице получатель выбирает, хочет он получить деньги на счет мобильного телефона или на банковскую карту, вводит номер телефона или карты и спокойно получает средства: ровно столько, сколько было отправлено. Комиссия, составляющая 0,5% с карты и 4% при переводе с мобильного счета, удерживается с отправителя.
Комиссия, заметим, весьма существенная, однако, по утверждению руководителя департамента по развитию финансовых продуктов «ВымпелКома» Иллариона Яловенко, «это на пару процентов ниже, чем у конкурентов». Действительно, похожая услуга есть у МТС, с тем исключением, что перевести деньги с мобильного счета или карты можно только на мобильный счет, но никак не на банковскую карту.
Чтобы воспользоваться услугой МТС «Легкий платеж», нужно ввести USSD-код *115#. Аналогично «Билайн. Переводу» откроется USSD-меню, но получателей перевода у МТС гораздо больше: тут можно оплатить и домашний доступ в Интернет, и услуги ЖКХ, а также перевести деньги на электронный кошелек. Правда, подобной «Билайн. Переводу» легкости нет, походить по меню придется подольше. Комиссии при оплате с мобильного счета на мобильный счет МТС нет, а вот в случае других операторов она составит весомые 10%. Есть в «Легких платежах» и возможность перевода с банковской карты, карту нужно предварительно привязать на веб-портале МТС.
В июле 2015 года МТС представил новую услугу «Перевод по SMS». Ею пользоваться гораздо проще, чем USSD-меню «Легкого платежа» или «Билайн. Перевода»: достаточно отправить получателю СМС-сообщение с текстом «#перевод» или «#perevod» и суммой. После этого с номера 6996 придет запрос на подтверждение перевода, для чего нужно отправить в ответ любое сообщение (или «0» для отмены). Увы, возможности перевода на банковскую карту по-прежнему нет, тут «Билайн. Перевод» явно впереди.
Однако удобство удобством, но нельзя забывать и о безопасности услуги. Причем следует учитывать, что «ВымпелКом» «без объявления войны» подключил «Билайн. Перевод» всем своим абонентам. И в своем текущем виде эта услуга порождает новые риски для их финансов.
Опустошить баланс найденного телефона, если там стоит сим-карта «Билайна», теперь можно в считаные секунды. С МТС, впрочем, ситуация похожая: разве что обналичить чужие деньги будет чуть сложнее.
«Можно сказать, что внедрение новых сервисов чревато возникновением новых рисков для абонентов, – рассказал порталу Банки.ру директор исследовательского центра компании Digital Security Дмитрий Евдокимов. – Также они могут облегчить жизнь мошенникам. Уже сегодня существует вредоносный код для мобильных устройств, который отправляет короткие сообщения на платные номера (зарегистрированные злоумышленником), и человек теряет деньги со счета. В принципе, вредоносный код также способен и активировать данный сервис без участия жертвы. Такой сервис открывает перед злоумышленниками новый способ кражи денег — через вредоносный код, функционирующий на мобильном устройстве. В первую очередь, конечно, будут в опасности владельцы Android-устройств, для которых вредоносный код наиболее распространен».
«Любая возможность снимать деньги со счетов, кроме очевидных удобств, порождает и риски, – соглашается руководитель проекта Appercut Рустэм Хайретдинов. – Потеря телефона или даже попадание его на время в руки другого человека теперь грозит списаниями средств. Для смартфонов добавляется возможность написания мошеннических программ, которые после установки на компьютер под видом безобидной игры смогут отправлять СМС на номера, заранее зарегистрированные на недействующие паспорта».
В первом приближении «Билайн. Перевод» выглядит настоящим золотым дном для мошенников. Данный сервис способен фактически удвоить прибыль со стороны классических СМС-троянцев, «выдаивающих» деньги с мобильного счета путем отправки СМС на короткий номер. Дело в том, что при оплате услуг, якобы оказываемых на коротких номера, оператор удерживает в свою пользу более половины суммы. Если СМС-троянцы переквалифицируются на использование «Билайн. Перевода», недополученная злоумышленниками прибыль составит всего 4% – совсем другое дело. Технически это вполне возможно, работать с USSD-меню на Android-смартфонах вредоносные программы уже научились.
При использовании сервиса на зараженном смартфоне можно лишиться денег и с привязанных карт, если троянец сумеет перехватить платежный пароль. Однако опаснее всего ситуация, когда зараженным оказывается смартфон, номер которого привязан к банковской карте в интернет-банке. Несложная двухходовая комбинация – пополнение СМС-командой мобильного счета с банковской карты и вывод денег со счета на карту мошенника с помощью «Билайн. Перевода» – и ваши деньги оказываются в чужих руках.
Но все это пока лишь теоретические возможности. В случае «Билайн. Перевода» мошеннические операции требуют доработки существующих вредоносных программ, и не факт, что злоумышленники пойдут на новые расходы только ради некоторого упрощения своей работы. В любом случае подобные потенциальные уязвимости есть у очень многих финансовых услуг, но внимания серьезных киберпреступников удостаиваются лишь наиболее массовые – к примеру «Сбербанк Онлайн». Так что бить в набат, пожалуй, рановато.
«Большинство микрофинансовых сервисов имеют прямое отношение к IT-технологиям, соответственно, сопряжены с рисками утери или хищения данных, – утверждает председатель совета директоров группы Optima Андрей Шандалов. – Тем не менее в данном конкретном случае новый вид рисков не просматривается. Данная услуга лишь требует от ее провайдеров обратить более пристальное внимание пользователей на то, как безопасно пользоваться мобильными телефонами, чтобы свести риски к минимуму. Многофункциональность мобильных телефонов – свершившийся факт, и платежная функция – лишь одна из тех, при которых используются личные данные и личная информация владельца. Смартфон, как и любой девайс, может вполне быть использован как кошелек при аккуратном обращении».
В конечном итоге удобство всегда отрицает безопасность, и только сам пользователь может сделать правильный выбор между ними. Правда, слишком часто кто-то пытается сделать этот выбор за нас.
Михаил ДЬЯКОВ,