Банки получили инструкцию по борьбе с мошенниками
ЦБ предложил банкам и некредитным финансовым организациям (НФО) способ защиты клиентов от мошенников. В информационном письме он рекомендовал им проверять электронную почту клиентов, направляя им sms.
by ВедомостиДля начала ЦБ советует банкам и НФО удостовериться, что хранящийся в их базе номер телефона действительно принадлежит клиенту и что адрес его электронной почты не совпадает с адресами других клиентов. Затем предлагается направить клиенту на почту ссылку для верификации и sms с паролем, который необходимо ввести для перехода по этой ссылке. Также ЦБ предлагает использовать графический код — чтобы защитить информацию от автоматизированных систем подбора паролей или номеров.
Подобные проверки позволят противодействовать мошенникам, которые используют «захваченные» или некорректные адреса электронной почты клиентов — например, для подделки платежных поручений или кражи важной информации (о проведенных платежах, выписки по счету, электронные полисы ОСАГО и др,), указывает ЦБ. Также проверки помогут предотвратить случайное получение посторонними людьми конфиденциальной информации клиентов банков и НФО.
Сбербанк, по словам его представителя, не комментирует действия своего главного акционера. 50%+1 акция банка принадлежат пока ЦБ, но пакет будет продан правительству. Представители других банков и страховых компаний пока не ответили на запросы «Ведомостей».
Эти рекомендации связаны не только с конкретным видом мошенничества, а призваны осветить и систематизировать все виды потенциальных угроз для клиентов и банков, говорит директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов.
«Захват» адреса почты — энергозатратный вид мошенничества, а потому мало распространён, самым популярным остается методов социальной инженерии, добавил он.
По данным Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере («Финцерт») при ЦБ в 2018 г. почти все хищения денег (97% случаев) у населения и 39% хищений со счетов юридических лиц были совершены с использованием приемов социальной инженерии, то есть с помощью обмана мошенниками доверчивых клиентов.