Мошенники научились узнавать данные о клиентах через голосовых помощников в банках. На днях Центробанк разослал всем кредитным организациям соответствующее предупреждение. Банки с защитой данных своих клиентов пока не справляются. Что делать в такой ситуации самим владельцам счетов и платежных карт?

ЦБ предупредил банкиров о новом виде мошенничества: злоумышленники собирают данные о клиентах через голосовых помощников, известных также как интерактивное голосовое меню. То самое, которое способно заставить клиентов, не дозвонившихся до оператора, в бешенстве вешать трубки.

«Просто скажите, чем я могу вам помочь»

Что делают мошенники: звонят в банк, используя программы, подменяющие телефоны клиентов. Умный голосовой помощник не понимает, что разговаривает с мошенником, называя по имени-отчеству, выдавая информацию об остатках на счете и даже список последних транзакций. Кроме телефонных номеров клиентов, злоумышленники знают последние четыре цифры номера карты, и авторизация у помощника проходит без проблем.

Узнав сумму денег на карте, мошенник звонит ее владельцу и представляется сотрудником банка. В расчете, что жертва поверит человеку, знающему конфиденциальные вещи: имя-отчество, телефон, номер карты, остаток на счете, все последние операции.

Центробанк полагает, что мошенники используют данные о клиентах из базы международного маркетплейса Joom, недавно появившейся в открытом доступе. Но это не точно.

База Joom с 55 тысячами клиентов из России и Беларуси включала данные владельцев счетов Сбербанка, Тинькофф-банка, Промсвязьбанка, Райффайзенбанка, Россельхозбанка, ВТБ, «Открытия», «Почта банка» и других. Сразу после утечки маркетплейс и банки заверили: опасности для клиентов утечка не представляет.

На самом деле базы данных пользователей платежных карт продаются в таких огромных количествах, что установить, какую именно использовали для звонка, малореально.

Защита — дырявая

Например, одно из дырявых мест в защите — чеки в платежном терминале. На них почти всегда печатаются и последние цифры карты, и номер телефона.

Алексей Тренклер, главный управляющий юридического бюро «Lex»:

— Получить слип, документ об оплате товара платежной картой, — самый простой способ, там порой указано даже имя владельца. Выбросив чек, мы нечасто осознаем, что эта бумажка на самом деле обладает ценностью и в буквальном смысле — своей ценой. Еще один способ узнать последние четыре цифры карты — отправить 1 рубль через систему быстрых платежей, по номеру телефона.

Как же банки защищают нашу конфиденциальность, интересно? Ведь когда голосовой помощник общается с мошенником, принимая его за вас, вы как клиент не при делах — потому что доверили свою конфиденциальность службе безопасности банка.

У всех коммерческих кредитных учреждений на руках рекомендации ЦБ: перестать использовать правило Четырех Последних Цифр Карты, ибо оно не защищает данных клиента. В рекомендациях говорится:

«Банки при обслуживании клиентов в системе телефонного банкинга в автоматическом режиме должны использовать дополнительный параметр аутентификации, например, секретный код, который устанавливается клиентом при заключении договора».

В идеале — при всех звонках голосовой помощник должен потребовать вместо последних цифр номера карты назвать личный код. Сейчас это происходит, когда карта уже выпущена, но клиент ее еще не забрал.

Телефонный номер клиента тоже не может считаться средством защиты, указал в разосланных рекомендациях Центробанк. ЦБ строго рекомендовал банкам синхронизировать умных голосовых помощников с антифрод-системами (от fraud — «телефонное мошенничество»), чтобы вовремя замечать, когда начинается аномальная активность при использовании интерактивного голосового меню.

Сбереги себя сам

Банки только в 2018 году начали внедрять биометрию и еще далеки от того, чтобы опознавать клиентов по голосу. Юристы подсказывают: даже из такой ситуации мошенники смогут выкрутиться. Например, притворившись клерком, разговорят клиента банка, заставив назвать ключевые фразы, записать их и потом включить голосовому помощнику.

Другое дело — самим же банкам невыгодно затруднять людям коммуникацию с сотрудниками, например, отдела продаж.

Сергей Голованов, ведущий эксперт «Лаборатории Касперского»:

— Банкам важен рост процента пользователей, которые оформляют новый продукт. Когда у клиента перед глазами и так уже находится карта, ему проще указать для верификации те самые четыре последние цифры, чем идти искать паспорт. 50 % клиентов откажется от оформления чего бы то ни было уже на этом этапе.

Младшие клерки с удовольствием рассказывают истории о том, как во время внедрения нового продукта, получив четыре отказа из отдела службы безопасности, на пятый стараются обойти рекомендации безопасников.

Время = деньги, и напрягать клиента не хочет никто.

То есть безопасность — в конце концов дело самого владельца карты. Противопоставить телефонным мошенникам можно только свою внимательность. Любым звонящим от имени вашего банка стоит не верить заранее. Если природная вежливость мешает вам послать звонящего далеко и надолго, отвечайте, что сейчас перезвоните в банк сами.

Способ защитить себя от ситуаций, когда ваши данные хотят похитить без вашего ведома, — просить банк опознавать вас только по ключевому, кодовому слову, которое знает только банк и вы сами. Его обычно предлагают записать в договор при выдаче той же платежной карты. По крайней мере пока — подобные секретные слова мошенники массово вычислять еще не научились.

PS: небольшой бесплатный лайфхак.

Как дозвониться в Сбербанк, минуя голосового помощника:

1. Набираете на мобильном телефоне номер 900.
2. Игнорируете все предложения помощника.
3. После «Чем я могу вам помочь?» говорите: «Свяжите с оператором» или просто «Оператор».
4. Игнорируете новые предложения помощника и на вопрос «Уточните суть вашего обращения» говорите: «Отключить голосового помощника».

Схема в общем и целом подходит при общении почти с любым голосовым помощником любой компании.

А вы когда-нибудь попадались на удочку телефонных мошенников?