Как безопасно осуществлять платежи в онлайне и в мобильном банке? Какие существуют средства защиты?

5 0 6 867

Время выхода в эфир: 17 августа 2021, 11:35

в гостях:

Вячеслав Касимов директор департамента информационной безопасности Московского кредитного банка

Ведущий: Алексей Голубев

8читать #слушать 11:57 $ Cкачать HD / SD

Алексей Голубев― Здравствуйте! У микрофона Алексей Голубев. С нами на связи Вячеслав Касимов, директор департамента информационной безопасности Московского кредитного банка. Вячеслав, добрый день!

Вячеслав Касимов― Добрый день!

А. Голубев― Мы сегодня будем говорить о том, как безопасно осуществлять платежи в онлайне, в мобильном банке, о том, какие есть средства защиты. Вячеслав, у меня первый вопрос такой: вот расскажите о каких-то популярных, самых последних новых способах мошенничества? Что-то придумывают злоумышленники новое для того, чтобы наши деньги украсть?

В. Касимов― Ну, скажем так, принципиально нового ничего не появлялось за последнее время. Но модернизация схем мошенничества в части, например, социальной инженерии происходят постоянно. То есть я сейчас говорю про те самые звонки, которые многим из вас раздаются чуть ли не каждодневно с попытками вынудить совершить какой-то платеж. Сценарий этого разговора, он, конечно же, перманентно меняется. То есть появляются какие-то новые детали, новые действующие лица, правоохранители, работники следственных комитетов, прокуроры и так далее – насколько хватает фантазии у мошенников. И второй сценарий, который достаточно распространен и сильно влияет на граждан, — это различные схемы мошенничества, связанные, например, с приобретением каких-то товаров у других физических лиц через специализированные площадки, где подобного рода объявления размещаются. Там тоже следует быть внимательным, потому что опять же сценарии, как донести до человека, что вот сейчас ему придёт ссылка и там произойдет какая-то предоплата, или наоборот давайте сейчас я там номер карты вашей получу и вам предоплату скину, а вы только назовите одноразовый пароль. Вот глобально способ хищения, скажем так, денежных средств не меняется, а вот эта обвязка, связанная с коммуникациями, связанная с общением, с потенциальным потерпевшим или с уже потерпевшим, здесь как раз какие-то модификации происходят.

А. Голубев― Да, ну, в общем, эти самые социальные инженеры придумывают всё новые и новые сценарии. Но давайте скажем, какую информацию вообще никогда, ни при каких обстоятельствах нельзя по телефону сообщать, ну, или в письмах там по почте. Что нельзя говорить?

В. Касимов― Номер карты, пароли, одноразовые пароли, которые приходят в смсках. Все всегда дружно пишут, если мы говорим про банки, например, что никогда никому не сообщайте эту информацию. И даже в смсках с одноразовыми паролями это происходит. Поэтому сведения о номере карты, причём этот номер, который 16 циферок на одной стороне и 3 цифры с другой стороны, плюс какие-то свои пароли от интернет-банка, плюс одноразовые пароли — это те вещи, которые никому никогда не следует сообщать, в том числе, если речь идет про взаимодействие с банком, потому что нет ни одного скрипта у банков: а давайте вот сейчас вы сообщите свой номер карты, а давайте вы сейчас сообщите свой пароль. Одноразовые пароли — да, может быть. Зависит от модели обслуживания. Например, если приходит человек в офис и пытается, например, вклад закрыть и забрать деньги, да, ему действительно может прийти смска с паролем, но там будет соответствующая приписка, что уж этот одноразовый пароль действительно нужно сообщить операционисту, с которым происходит общение. А так глобально это тоже запретная тема, и глобально одноразовые пароли не следует сообщать.

А. Голубев― Ну, а вот это ещё бывает там девичья фамилия матери, кличка любимого питомца. Это сотруднику банка можно сообщать?

В. Касимов― А зачем сотруднику банка девичья фамилия матери…

А. Голубев― Ну, вот это кодовое слово там когда…

В. Касимов― ... любимого питомца?

А. Голубев― ... при оформлении.

В. Касимов― Кодовое слово — да. Кодовое слово я специально не назвал, потому что действительно кодовое слово спрашивают, когда происходит, например, звонок в call-центр. Но здесь тоже важно понимать, что инициация звонка происходит не со стороны банка в таких случаях, а она происходит со стороны клиента. И это кодовое слово просто нужно банку для того, чтобы дополнительно удостовериться в том, что ему звонит именно этот клиент, и именно его сейчас будем обслуживать, рассматривать его запрос. Поэтому да, можно сообщать кодовое слово, но возьмите себе за правило его сообщать только лишь в том случае, если вы сами связались с банком.

А. Голубев― А может ли быть такое, что сотрудник банка звонит и уточняет, какие последние операции по счёту проводились, просит подтвердить? Может такой запрос исходить от настоящего сотрудника?

В. Касимов― Тоже зависит на самом деле от того, каким образом выстроено обслуживание клиента. Как правило, службы финмониторинга звонят и говорят про какую-то конкретную операцию, которую можно подтвердить. Но да, наверное, возможен сценарий, когда номер телефона устаревший, или возникают какие-то сомнения, что это действительно с клиентом происходит общение. Действительно могут в таком случае спросить про последние транзакции, которые производились. Но это достаточно редкий, я бы сказал, случай, он не совсем типичный. И я бы рекомендовал в том случае, если запрашиваются последние транзакции, и в принципе запрашивается что-то, что человек должен сам рассказать банку, хотя по идее банк про это должен знать, я рекомендую в таком случае перезванивать все же в банк, прямо говорить звонящему, что давайте сообщите, пожалуйста, ваши фамилию, имя, отчество и должность, я сейчас вам перезвоню и все сообщу. Это, скажем так, базовые правила цифровой гигиены, которая сейчас должна быть привита для всех и каждого.

А. Голубев― Я напомню в эфире радиостанции «Эхо Москвы» директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов. Мы говорим о том, как безопасно осуществлять онлайн-платежи. Вячеслав, ну а можно какие-то вот главные, базовые правила, как вообще правильно безопасно совершать эти самые платежи в онлайн-банке, в мобильном приложении? Как это делать правильно, грамотно?

В. Касимов― Для того чтобы это делать правильно и грамотно, нужно запомнить для себя примерно следующее, что есть интернет-банк, мобильный банк, и это вполне себе официальный канал сообщения каких-то поручений банку о том, что я хочу вот такой платеж совершить. И есть, наверное, какие-то доверенные, проверенные интернет-магазины, которыми, как правило, пользуются люди, и которые сформировали некоторый пул тех ресурсов, которые действительно используются, например, для заказа продуктов или еды, или каких-то товаров. И есть некоторые порталы банковские опять же (это важно), для того чтобы совершить перевод с карты на карту. Есть такой сформированный пул тех ресурсов, которые действительно используются человеком для совершения платежей, и выходить за этот пул я не рекомендую. Почему? Потому что всегда можно столкнуться с мошенничеством. Безусловно, есть жизненные ситуации, когда что-то новое там потребовалось купить, ну, я не знаю, культиватор, например, какой-нибудь, который ни разу не покупался, и формируется новый какой-то ресурс, где нужно совершить платёж и оплатить этот культиватор. Но, во-первых, всегда можно выбрать оплату при доставке. И это правильно. Я, например, всегда так делаю, если такая возможность есть. Во-вторых, можно совершить платёж с использованием Apple Pay, Google Pay, Samsung Pay. И это безопаснее, чем вводить реквизиты карты. А в-третьих, можно в принципе выбрать другой магазин, если какие-то подозрения есть. Ну, а что касается интернет-банков, мобильных банков, внимательно нужно смотреть, куда заходите. То есть это не должно быть: «Интернет-банк моего любимого банка, там, где я обслуживаюсь, самый лучший на свете». Сложный какой-то запрос, который может действительно вывести на поддельные интернет-банки. Лучше заходить на сайт банка и с него, кликнув по ссылке, либо загрузить себе мобильное приложение, либо перейти в интернет-банк.

А. Голубев― А нужно ли заводить какой-то специальный, отдельный номер телефона или отдельную банковскую карту для покупок в интернете, чтобы это было безопасно, где может быть какая-то на отдельном счете хранится небольшая сумма? Ну, что-то такое.

В. Касимов― Что касается номера телефона, это решение каждого. Я, например, живу с двумя номерами телефонов. И один номер телефона особо никому не сообщается, только семье для экстренных случаев связи, и он используется в том числе для того, чтобы смски получать от банков, в которых я обслуживаюсь. Это вопрос удобства скорее, потому что жить с двумя номерами телефонов — это та еще затея. Что касается отдельных карт, вот это уже хорошая история, потому что можно оформить себе виртуальную карту. И, как правило, все банки позволяют это делать. Использование вот этой виртуальной карты для того, чтобы совершать покупки в интернете, очень оправдано просто потому, что на карту переводятся средства в необходимом объеме для совершения покупки, и всё, чем рискует человек — это теми деньгами, которые есть на этой карте. Это очень грамотный подход. И я действительно рекомендую его использовать для того, чтобы совершать покупки и платежи в интернете.

А. Голубев― Да, а если вернуться к телефонным звонкам, надо ли обращать внимание на номер звонящего? То есть если нам звонят с телефона 8-800, то как-то мы по умолчанию же проникаемся доверием и уважением к звонящему. Значит, какая-то серьезная организация звонит. Или там 8 495, там московский номер. Значит, тоже скорее всего вроде бы как из официальной структуры нам звонят.

В. Касимов― К сожалению, в нынешнем мире уже нельзя полагаться на отображаемый номер телефона, потому что схемы мошенничества, когда вот как раз звонят представители там МВД или банков, служба безопасности – естественно, все в кавычках и, естественно, это липовые представители, то происходит подмена номера телефона. И, к сожалению, ориентироваться на то, как красиво или некрасиво выглядит номер телефона, не следует. Следует быть в контексте разговора и внимательно анализировать этот контекст. И если вдруг происходит предложение перевести куда-то деньги или снять деньги и куда-то их передать, то есть любая история про движение денежных средств, то следует насторожиться и позвонить по известному номеру в банк.

А. Голубев― Вячеслав, и, наверное, последний вопрос я успею задать. Кажется логичным для безопасности периодически менять пароли, менять пароли приложений, менять пин-коды своих карт. Но с другой стороны, это как-то всё очень сложно. Это где-то надо записывать или запоминать, что, по-моему, вообще невозможно. Вот насколько это оправданно постоянно обновлять свои пароли, пин-коды? Или защита сегодня существует такая, что нет в этом необходимости?

В. Касимов― Обновлять надо. Это история про безопасность. Для того чтобы минимизировать вероятность того, что злоумышленники получат доступ к вашим личным кабинетам, интернет-банкам, для этого нужно периодически менять пароли. Поэтому это осознанная неудобная мера, которая создана исключительно для того, чтобы обеспечить безопасность. И такого рода смены периодически делать надо.

А. Голубев― Да, спасибо вам большое. Пожелаем нашим слушателям сохранить свои средства в безопасности. С нами на связи был Вячеслав Касимов, директор департамента информационной безопасности Московского кредитного банка. Мы говорили о том, как безопасно осуществлять платежи в онлайне, в мобильном банке и о том, какие есть средства защиты. Спасибо. И до свидания!

В. Касимов― Спасибо! Всего доброго!