Берегите карты, отказывайтесь от СМС

На примере пяти крупных банков напоминаем, как и почему нужно срочно отказаться от СМС-кодов и оповещений в пользу push-уведомлений в приложениях.

Форум Banki.ru — вечный источник самых невероятных и пугающих историй о коварстве мошенников и расхлябанности служб безопасности, которым, порой кажется, важнее оградить свой банк от действий недовольного клиента, чем собственно сберечь деньги, этому клиенту принадлежащие. Одной из таких историй поделился наш читатель С., чье имя до окончания разбирательства называть не станем.

В истории С. есть не до конца проясненные моменты, но общие контуры, по его словам, таковы: банк предложил ему выгодные условия для перевода мобильного номера на обслуживание к «своему» виртуальному оператору связи. Клиент согласился, и через месяц буквально все существенное, что можно было «угнать», имея доступ к перехвату СМС, угнали — «Госуслуги», доступ к счетам в паре банков, инвестиционным инструментам и т. д. Также мошенникам удалось набрать на имя клиента микрозаймов у нескольких наименее скрупулезных ростовщиков.

До окончания расследования еще далеко, но пару важных выводов можно сделать уже сейчас. Во-первых, в наше время на личную мобильную связь завязано слишком много, и если кто-то новый утверждает, что сможет предоставить услугу профессионально и с должным уровнем безопасности, — лучше не верить. Пара сотен рублей разницы не стоят того.

Во-вторых, СМС — вообще не тот протокол, на котором можно построить что-либо надежное. Созданный в дремучих 1980-х для передачи служебных сообщений в ранних сотовых сетях, безопасностью он не блещет. Помимо диких и криминальных сценариев вроде перевыпуска сим-карты по поддельной доверенности или несанкционированного доступа к инфраструктуре оператора, существуют и технические способы перехвата текстовых сообщений. В ход могут пойти заражение самого устройства троянцем, эксплуатация уязвимостей мобильных сетей, а также взлом личного кабинета на сайте оператора связи и настройка переадресации, перечисляет варианты эксперт «Лаборатории Касперского» Дмитрий Галов. «Подтверждение через push-уведомление остается более безопасным методом многофакторной аутентификации, чем через СМС», — уверен специалист.

Именно поэтому мы призываем читателей по максимуму отказаться от СМС в банковских операциях и перейти на получение сообщений об операциях и кодов подтверждения посредством уведомлений в мобильных приложениях. Ниже мы перечислим, как это сделать для пяти самых крупных банков, но найти инструкцию для остальных не составит труда — в крайнем случае, вопрос всегда можно решить через поддержку.

1. СберБанк

После многолетней перебранки с операторами связи вокруг стоимости рассылки СМС крупнейший розничный банк страны не особенно стимулирует клиентов к переходу на push-уведомления. Во всяком случае, практически бесплатные для банка «пуши» ничем не дешевле СМС — оба варианта оповещений о тратах по картам входят в один и тот же пакет «Уведомления об операциях» и стоят 30—60 рублей в месяц для обладателей обычных карт. Подключить push можно в мобильном приложении, перейдя с главного экрана по пути Профиль -> Настройки -> Уведомления и активировав опцию push. При отсутствии интернет-соединения банк пришлет СМС.

2. ВТБ

Уведомления о текущих расходах и списаниях у ВТБ точно так же платны вне зависимости от канала доставки: пакет оповещений «Карты +», который включает в себя 20 типов событий, в том числе траты по картам, стоит 59 рублей в месяц. Чтобы перейти на push (и сэкономить деньги банкирам), нужно нажать на иконку профиля в левом верхнем углу приложения, а затем перейти по маршруту Настройки -> Настройки уведомлений. Своих денег не сэкономите, но безопасность повысите.

3. Альфа-Банк

В 2021 году «красные» радикально переработали схему авторизации трат по карте, что снизило необходимость в СМС и push-уведомлениях. Теперь клиент создает на каждом устройстве отдельный секретный код, который может быть буквенным, цифровым или графическим. Более того, приложение не требует его при каждой трате в Интернете — чаще всего достаточно разблокировать приложение с помощью отпечатка пальца или лица и нажать кнопку «Подтвердить». Также в приложении можно посмотреть список устройств с доступом к интернет-банку и при необходимости выкинуть подозрительные. Вновь подключенным устройствам на некоторое время устанавливают ограничения по операциям.

Для уведомлений о тратах по картам по-прежнему можно использовать либо СМС, либо push. Комбинация будет стоить стандартные 59 рублей в месяц, но в настройках приложения можно отключить СМС совсем, тогда push-уведомления будут бесплатны.

4. «Тинькофф»

Как у давнего пользователя «Тинькофф», у автора уже некоторое время складывается впечатление, что продуктовая концепция банка понемногу съехала в формат «слегка продвинутая версия «Сбера». С уведомлениями о тратах ситуация обстоит именно так: извольте заплатить 59 рублей в месяц, но настроены они немного умнее — с самого начала по умолчанию включены push, а при недоступности Интернета банк отправит текстовое сообщение. Исключение могут составлять старые клиенты, которым СМС могут приходить вообще по любому поводу. Тогда для переключения на современную схему придется писать в поддержку, потому что соответствующей настройки в приложении нет.

5. Почта Банк

Инструкция "Push-уведомления. Почта Банк"

Некоторых читателей, возможно, удивит наличие Почта Банка в этом списке, а между тем он входит в пятерку по размеру розничной клиентской базы. По утверждению представителя пресс-службы, банку удалось перевести на push более 95% пользователей мобильного приложения. Если вы по каким-то причинам задержались в оставшихся 5%, можете проследовать с главного экрана по маршруту Еще -> Настройки -> Push-уведомления, выбрать одно устройство-адресат из списка и сдаться на милость прогресса. Важный момент: в отличие от СМС, push-уведомления бесплатны.

Антон НЕХАЕНКО, Banki.ru