Безопасное информирование о банковских операциях позволяет клиенту всегда быть в курсе состояния подключенных услуг, своих счетов и балансов. Вопрос заключается в том, как добиться безопасности такого обслуживания. Сегодня для обеспечения надежности информирования применяются два основных способа: традиционные СМС-сообщения и более современные push-уведомления. Но какой способ более предпочтительный?
СМС-сообщения
Такие сообщения могут быть перехвачены в случае компрометации СМС-шлюза, используемого банковской компанией для рассылки. Схожая уязвимость присутствует и в сети сотовой связи, когда специфические атаки на протокол SS7 приводят к тому же перехвату.
Возможна и схема мошенничества с самим номером, который был привязан к счету. Злоумышленник может переоформить мобильный номер, сделать дубликат сим-карты и получать на нее уведомления. Старый номер у владельца при этом будет заблокирован. Разумеется, сразу об этом хозяин номера может и не узнать. В итоге драгоценные минуты уйдут на совершение мошеннических действий с банковским счетом.
Push-уведомления
Многие преимущества этого формата информирования происходят из привязки к устройству, а не к номеру. То есть владелец физически имеет доступ к уведомлениям, если, конечно, не потеряет смартфон. Но и в этом случае злоумышленник столкнется с ограничением доступа к банковскому сервису.
Что касается рисков перехвата пушей, то они минимальны. Это технически очень сложная задача ввиду удаленности и хорошей защищенности серверов.
Безопасность уведомлений в данном случае подкрепляется тем, что отсылка производится вместе с одноразовым паролем, который хранится только на сервере банка.
Какой способ информирования выбрать
В целом уровень безопасности пуш-уведомлений выше, чем у СМС-сообщения. Наиболее вероятные угрозы в первом случае могут иметь место при заражении ПО смартфона, но такому риску подвержены все "умные" телефоны.
К слову, СМС-сообщения могут быть единственным вариантом информирования, если речь идет о кнопочном телефоне или зоны без доступа к Интернету. В свою очередь, push-уведомления нередко бывают единственным способом получения оповещений от банка, если клиент находится за рубежом.
Банки со своей стороны рекомендуют пользоваться форматом push-уведомлений от банка. Они также руководствуются интересами защиты клиентов с минимальными рисками. Кроме того, в некоторых случаях такое информирование обходится и дешевле.
