18 марта 2013 г.

СМС-оповещения о движении средств по счету: всегда ли это безопасно

Купил как-то в Штатах местную SIM-карту. И стали с тех пор на мой номер приходить СМС-ки о состоянии текущего банковского счета прежнего владельца телефонного номера и движении средств по нему в Bank of America. Примерно такие.
Посмеялись мы над забывчивостью владельца, не сообщившего в банк о смене номера мобильного телефона, и, как казалось, история на этом и закончилась.
Но, оказывается, есть банки, с которыми в такие игры лучше не играть.
Примерно такая же история, что и со мной, приключилась с одной юной особой, и не в Америке, а на родных просторах. И банк был несколько другой. И стал он девушке не только об операциях по счету кредитной карты сообщать, но и настойчиво предлагать воспользоваться  услугами «Мобильного банка». Если так предлагают, то почему бы не воспользоваться? Оказалось, чтобы денежки со счета забывчивого предыдущего владельца перевести на свой счет не просто, а очень просто. Надо на заветный короткий номер отправить распоряжение в виде СМС о переводе средств ну, например, на лицевой счет этой самой SIM-карты. И все! Банк, в глаза не видевший ни девушку, ни кредитную карту в ее руках, карточный счет благополучно обнулил, пополнив телефонный счет на ту же сумму. Ну, а дальше еще проще – девушка бежит в «Юнистрим» и полученную сумму благополучно обналичивает.
А банк сообщает о переводе средств не только авантюристке, но и владельцу кредитной карты. Наличие двух номеров, привязанных к счету, и, соответственно, двух подключений «Мобильного банка» к двум разным симкам банк все это время (2,5 года с моменты смены владельцем телефонного номера) нисколько не смущали. На два номера рассылать – так на два. С двух номеров получать распоряжения по средствам – ничего особенного, можем и с двух.
Интерес появился только после опустошения счета и жалобы клиента. Предприимчивая новая владелица SIM-карты свои данные указала честно, ее вычислили, нашли и осудили за кражу по пункту «в» части 2 ст.158 УК (в) (причинение значительного ущерба гражданину). Дело было в богоугодном Дивееве, и, видимо, близость святого места к районному суду сделала самый гуманный суд в мире гуманным до крайности. При максимальном штрафе по этой части статьи в 200 тысяч рублей суд ограничился наказанием в 5 тысяч, то ли посчитав, что сам по себе процесс поспособствовал полному  исправлению, то ли войдя в тяжелое материальное положение воришки, покусившейся аж на 18 с небольшим тысяч. Даже КоАП за мелкое хищение (до 1 тысячи рублей) предусматривает штраф не менее этой самой тысячи до пятикратной стоимости похищенного имущества.
О частном определении  в отношении банка, предоставившего такие невиданно простые возможности для хищения чужого имущества, ничего не сообщается. Видимо, его и не было. О том, что банк после этого перестроил систему мобильного управления счетами, тоже сведений не поступало. В результате возникает вопрос, способствует ли подобный приговор предотвращению краж и не возникает вопрос о том, почему банки так настойчиво добивались (и добились) переноса срока вступления в силу статьи 9 нового 161-ФЗ «О национальной платежной системе», обязывающей возместить клиенту сумму операции, совершенной без согласия клиента после получения уведомления об этом в установленный срок.
В общем, будьте бдительны. Тем более что мошенники ищут все новые и новые способы изъятия денежных средств со счетов и на каждую новую защитную меру в системах дистанционного банковского обслуживания (ДБО) и электронных платежей находят свои контрмеры. Вот и Брайан Кребс, эксперт по компьютерной безопасности, сообщает, что для коммуникаторов на Android’е создана вредоносная программа Perkele, перехватывающая СМС-сообщения, передаваемые системами ДБО. Программа заточена под интернет-банкинг 69 конкретных банков 10 стран (России в этом списке пока нет, а вот относительно зарубежных банков, работающих в России и использующих родные системы ДБО, этого уверенно сказать нельзя). Perkele работает с другой вредоносной программой, которая меняет инструкции в банковском клиенте на смартфоне и от его имени требует установки для двухуровневой аутентификации дополнительную программу (естественно, Perkele). Кребс сообщает, что версия программы для атаки на клиентов одного банка стоит всего тысячу долларов, а полная версия (для 69 банков) – пятнадцать тысяч.
Будьте бдительны!

9 комментариев:

  1. А какие претензии в данном случае к банку?
    Я искренне не понимаю.
    Владелец счета не позаботился о безопасности своих денег. Указал новый телефонный номер, но не убрал старый. За что и поплатился.
    Если, конечно, так и было. Потому что остается вариант, когда банк НЕ выполнил распоряжение клиента - не вычеркнул старый номер.
    Вы правильно все написали - будьте бдительны.
    А девица молодец, что и говорить.

    ОтветитьУдалить
    Ответы
    1. Алексей, а Вас не смущает сама возможность управления счётом через СМС? Я бы с таким банком не связывался. Я уж не говорю про то, что банк либо отправлял в рассылке достаточный набор данных, чтобы управлять счётом, либо безоговорочно доверял привязанной симке. Службы безопасности у них либо нет, либо она состоит из пары охранников у входа. После этой новости в прессе у них начнётся весёлая жизнь полагаю - у такого банка только ленивый не украдёт.

      А вообще - смешная история. Мозгами природа не наделила никого из фигурантов.

      Удалить
    2. Безоговорочное доверие к сим-карте.
      И все это прописано в договоре, с которым клиент согласился. Не построив в своей голов возможного сценария реализации угрозы.
      Банк предложил - клиент согласился.
      Служба безопасности наверняка есть. Только не информационной безопасности, увы.

      Удалить
  2. Ну, претензий я вроде бы и не высказывал. Но пара моментов категорически не нравится. Во-первых, простота увода денег путем СМС - нашел (или не нашел, но получил) телефон и немедленно украл без хлопот. Во-вторых, возможность управления счета с двух тлф номеров. Как минимум, при их обнаружении должен быть алерт и контакт с клиентом, я думаю. Если банк действительно заботится о безопасности.

    ОтветитьУдалить
    Ответы
    1. Я уже написал. Клиент не изъял из списка доверенных старый номер телефона. Или в результате сбоя он вновь стал восприниматься как доверенный. И, как говориться, вуаля.

      Ну и фраза про "банки с которыми лучше не играть" - она в общем про банк. А не про игру.

      Удалить
  3. Приходится выбирать между удобством и безопасностью - я выбрал второе: завел отдельную карту для мобильного банкинга с минимально необходимой суммой, правда приходится ее периодически пополнять, но особых неудобств в условиях наличия терминалов на каждом углу нет, главное не забыть "при случае" подкинуть деньжат.

    ОтветитьУдалить
    Ответы
    1. Сергей, а в чем безопасность в вашем случае? Редкое использование этой карты? Это даже плохо, "если что" - вы узнаете об инциденте с бОльшим запозданием.
      Минимум суммы на счете мобильного? Доступ к банковскому счету более критичен чем к телефонному.
      Я правда не понимаю, разъясните?

      Удалить
  4. Ну банк этот Сбербанк. От него мало кто может отказаться. А случаев таких - море. Только у нас в районном городке кажись уже третий случай недавно был все с такими же исходами. А Сберу все равно - попробуй с ним посудись - только ответчика придется искать месяцами.

    ОтветитьУдалить
  5. Точно такой же случай был со мной, когда в прошлом году купил симку в Рязани.
    Через несколько минут послу активации симки посыпались транцакции из банкоматов...

    ОтветитьУдалить