тема: Банки
19:45, 10 октября 2019

Банки раздают карты через мессенджеры – хакеры только того и ждали

Банки начали раздавать карты через мессенджеры. Все данные нового клиента автоматически «подтягиваются» по номеру телефона, то есть прямо из базы абонентов. Владелец номера получает виртуальную карту и может записать ее на свой смартфон. Создатели сервиса уверяют, что это будет очень удобно: новый карточный счет в новом банке открывается всего за пару минут. Эксперты по кибербезопасности говорят, что новинка несет в себе угрозу. Абонентские базы ненадежны, мошенникам станет проще воровать деньги по одному только номеру телефона. Экономический обозреватель "Вестей FM" Валерий Емельянов – подробнее.

Виртуальной картой сегодня сложно кого-то удивить, как и обычной картой, "записанной" на смартфон, браслет или даже кольцо. Но для их получения и открытия счета нужно сначала стать клиентом банка, то есть сходить в отделение с паспортом, заполнить анкету, подписать заявление. В некоторых банках можно никуда не ходить, но все равно придется встретиться с курьером, который на самом деле является банковским клерком. Он посмотрит паспорт, сфотографирует нового клиента и внесет его данные в базу, и лишь потом человек сможет сам себе открывать новые счета и карты по Интернету.

Теперь банки пошли еще дальше. Они позволили открывать карты новым клиентам просто через мессенджер. Человек пишет в чат банка, его "пробивают" по номеру телефона – и мгновенно выдают счет с привязанной к нему картой. Возможно, так выглядит наше ближайшее будущее, рассуждает директор спецпроектов Института исследования Интернета Дмитрий Чистов.

ЧИСТОВ: Идея сделать мобильный номер ключевым фактором идентификации гражданина давно витает в воздухе, и все к этому идет. Я не знаю случаев, чтобы была возможность создать банковский продукт вот таким образом – через мессенджер. Но на определенных уровнях у многих банков идентификация по номеру уже присутствует. И это – логичное продолжение.

Эта карта – виртуальная, но сегодня это не проблема. Ее можно записать на смартфон через Google Pay, Samsung Pay, Apple Pay или аналогичные приложения. Оплата возможна почти в любых терминалах, кроме совсем старых моделей. Снимать деньги можно в банкоматах, на которых установлены детекторы NFC (в них не обязательно вставлять карту, они ее считывают через прикосновение).

Все эти технологии уже опробованы и неплохо защищены от мошенников. Но вот одна новинка в этой цепочке смущает многих специалистов. Выдача банковской карты через мессенджер автоматически привязывает счет к абоненту. Именно к тому человеку, который когда-то получил этот номер с паспортом в салоне связи. В России немало тех, кто пользуются номерами, которые, согласно договору с оператором, принадлежат не им. И технически теперь эти люди смогут выпускать карты под чужим именем, предупреждает руководитель аналитического центра компании Zecurion Владимир Ульянов.

УЛЬЯНОВ: SIM-карты по-прежнему свободно продаются. Человеку не обязательно покупать именно на свой паспорт. Если он приходит в официальный салон, то у него, скорее всего, документы спросят. Но полно точек продаж, где по большому счету ничего не спрашивают. Какие-то произвольные данные продиктовал – свои, чужие или скан какого-то паспорта принес. И так можно получить карту. И такие карты вполне функционируют.

Пока речь идет только о дебетовых картах, то есть лишенных кредитных лимитов. Их можно пополнять своими деньгами, затем переводить с них куда-то еще, платить, открывать вклады. Но доступа к чужим деньгам они не дают. Если линейку расширят и на кредитки тоже, то абоненты мобильных сетей могут оказаться в ситуации, когда кто-то взял заем в банке по их паспортным данным (вернее, по номеру телефона, которым человек формально владеет, но не пользуется). По сути, речь идет о постепенном превращении базы мобильных номеров в обычную банковскую. У всех крупных операторов («МТС», «Мегафон», «Билайн») уже есть собственные одноименные банки либо сервисы с картами. Они хотят превратить их в полноценные финансовые учреждения, набрав клиентскую базу из абонентов. У них в этом плане гигантское преимущество перед обычными банками: они знают, насколько богаты абоненты, куда и как часто они ездят, что и где покупают. Выдача карт через мессенджеры – это еще один шаг к тому, чтобы максимально привязать всю жизнь человека к его мобильнику, полагает Дмитрий Чистов.

ЧИСТОВ: На самом деле этот процесс – естественный. Чем глубже IT проникает в нашу жизнь, наш карман и кошелек, тем больше о нас будут знать и тем больше будут продукты под нас подстраивать. Есть, правда, момент, что с такой персонализацией продуктов и предложений получится, что какая-то нейронная сеть сделала о вас какие-то выводы и теперь пытается вам свои продукты навязать, которые на самом деле в реальной жизни вам не нужны.

Кроме того, что новым сервисом смогут воспользоваться посторонние люди, владеющими чужой симкой, есть еще и проблема постоянных утечек данных от сотовых операторов. Базы абонентов охраняются хуже, чем банковские, они попадают на черный рынок в Интернете гораздо чаще. Взять недавний случай с «Билайном» – у компании украли персональные данные 9 миллионов абонентов: имена, фамилии, адреса, номера телефонов, данные личного кабинета. Этого оказалось достаточно, чтобы украсть деньги со счетов нескольких клиентов в одном небольшом банке (впрочем, оператор уверяет, что с его стороны утечки критичных данных не было). Мошенники вбили пароли от абонентского кабинета в банковском сервисе, и тех людей, у кого они совпадали, обчистили. Причем клиенты не успели ничего понять: в кабинете оператора преступники предварительно включили переадресацию на свои номера, и в сервисах банка, в том числе посредством мессенджеров, уже спокойно выводили деньги. Робот, звонивший из банка для подтверждения операции, выдал мошенникам секретные пароли, ничего не заподозрив. Владимир Ульянов считает, что нечто подобное может случиться практически с любым абонентом.

УЛЬЯНОВ: Любые данные, которые где-то опубликованы и «гуляют», только кажутся безобидными. Что касается описанной выше схемы, то тут наслаивается еще одна проблема: методы подтверждения, связанные с телефоном, будь то звонки роботов или сотрудников и даже классические эсэмэски с одноразовым паролем, небезопасны по своей сути.

За последний месяц зафиксированы как минимум 3 массовые утечки персональных данных: из федеральной налоговой базы, «Сбербанка» и «Билайна». Представили властей все отрицают, представители банка и оператора уверяют, что опасность для людей минимальна. Так, абонентам было сказано, что база по ним устарела, а данных из банка недостаточно для взлома. Однако последние случаи показывают, что мошенники гораздо более находчивы, чем могут предполагать службы безопасности. Причем под удар попадают не только те, кто плохо разбирается в новых технологиях, но и те, кто, наоборот, предпочитает ультрасовременные сервисы, считая себя продвинутыми и защищенными от кибератак.