Вслед за банками внимание мессенджерам начали уделять и мошенники
Все больше кредитных организаций начинают использовать мессенджеры для общения с вкладчиками. Одновременно эти «новые» средства коммуникации начинают осваивать и мошенники. Насколько новомодные средства общения безопаснее «старых добрых» СМС?
Пользователи Viber недавно снова столкнулись с волной поддельных сообщений от Сбербанка, который использует этот мессенджер для информирования абонентов. Клиенты банка получали сообщения, отправленные мошенником от имени крупнейшей кредитной организации страны. Для достижения достоверности использовалась «аватарка» с логотипом банка, а в качестве имени контакта было указано «9ОО».
«Развод» довольно стандартен: пользователю сообщают, что с использованием его банковской карты была совершена покупка или перевод денег, а чтобы опротестовать операцию, необходимо воспользоваться приведенным в конце сообщения номером службы безопасности. А уже по телефону мошенники вытягивают все необходимые для совершения перевода или оплаты услуг данные.
Внимательные читатели уже заметили, что сообщения были отправлены даже не с номера 900: во-первых, после девятки используются две буквы О, а во-вторых, настоящий номер отправителя в Viber видно только после открытия меню с полной информацией о контакте: в окне чата отображается никнейм, который каждый пользователь может изменить так, как ему будет угодно.
Однако, как показывает практика, страх перед возможностью лишиться средств часто оказывается сильнее голоса здравого смысла: вместо того чтобы проанализировать содержимое сообщения и как минимум сопоставить номер с номером горячей линии банка, абонент вступает в переговоры с мошенником. Чтобы такого не происходило, следует запомнить простое правило: в случае получения сомнительного сообщения звонить в банк необходимо по номеру службы поддержки держателей банковской карты, указанного на самой карте.
Все это очень похоже на «привычные» мошеннические сообщения по СМС. Но, если нет разницы, стоит ли вообще использовать мессенджеры? Разница отсутствует только на первый взгляд. По мнению экспертов в области информационной безопасности, по мере отказа от использования этого средства коммуникации между банком и вкладчиком будет снижаться и количество мошеннических атак.
Чем плохи СМС-сообщения? В первую очередь — своим возрастом. По сути, принципы работы этого канала коммуникации не менялись уже очень давно, и в современном мире не предоставляют никаких средств для защиты информации, передаваемых с его помощью. Злоумышленник может инициировать отправку сообщения от лица банка с помощью поддельной базовой станции, перехватить данные с помощью уязвимостей в сигнальной сети, воспользоваться результатами «трудов» вирусов, «подсаженных» на смартфон жертвы.
Мессенджеры, в отличие от текстовых сообщений, не обладающих даже шифрованием, предоставляют куда больше возможностей для защиты пользователя. Так, на сегодняшний момент все популярные средства для обмена сообщениями включили функцию оконечного шифрования, исключая, таким образом, возможность перехвата информации третьими лицами (конечно, при определенной подготовке взломать можно что угодно, но, в отличие от СМС, эта задача куда более нетривиальна).
Смещение фокуса внимания кредитных организаций с СМС на новые средства коммуникации уже происходит. Хотя бы потому, что мессенджеры предлагают гораздо более интересную функциональность. Например, чат-ботов, которые в перспективе могут заменить людей на первый линии поддержки. Но как определить, что с тобой общается непосредственно банк, а не мошенник, им притворяющийся?
По этому вопросу мессенджеры тоже могут дать фору СМС. К примеру, социальная сеть Facebook уже давно ввела у себя функцию подтверждения аккаунтов известных лиц и организаций. «Проверенный» аккаунт отмечается специальным значком и соответствующей подписью. Соответственно, в Facebook Messenger такой аккаунт будет также отмечен как достоверный.
Аналогичная система есть и у мессенджера Viber: пользователь может пройти процедуру верификации и таким образом обезопасить свой аккаунт от подделки. Злоумышленник может как угодно менять «никнейм», но верифицированный аккаунт изобразить не получится.
На приведенных ниже скриншотах можно увидеть отличия настоящего, верифицированного аккаунта от фейкового (выше): в списке контактов аккаунт кредитной организации отмечен зеленым значком, что означает, что он прошел верификацию. Подтверждение этому можно найти и на экране чата, где сообщается о прохождении проверки и пользователю предоставляется возможность увидеть подробную информацию. Кроме того, можно заметить, что мошенники не скопировали правильное название и не обратили внимания на прозрачность логотипа.
«Крупная компания, тем более финансовая организация, может обращаться к пользователям в мессенджерах или социальных сетях только с верифицированного аккаунта. На текущий момент это самый быстрый и простой способ понять, пишет вам компания или мошенник. При получении сообщения от неверифицированных каналов мы рекомендуем игнорировать его и поставить отметку «Пожаловаться на спам», — поясняют в пресс-службе Сбербанка.
Павел ШОШИН,