27 Янв 2023 Алена Журавлева

История повторяется: на банк подали в суд из-за кредитного договора, подписанного смс

17 января Верховный суд признал недействительным кредит, оформленный мошенниками. Клиент банка назвал злоумышленникам код из смс и, сам того не зная, подписал кредитный договор на 200 000 рублей под 19% годовых. Суд встал на сторону клиента. Чем рискуют банки, подписывая договоры с клиентами простым кодом, и есть ли более безопасная альтернатива разбираемся в статье. 

Риски, которые ждут банки при использовании смс-кодов

 

Риск №1: отсутствие текста документа в смс, внутренний фрод и испорченная репутация

Подписание кредитного договора смс-кодом не в первый раз становится поводом для обсуждения в СМИ и выставляет банк не в лучшем свете перед клиентами.

Например, в 2019 году СМИ рассказывали о банке, клиенты которого оформили в нём кредитный договор. Всех этих клиентов объединяло одно — они подписали договор с помощью кода из смс.

В сообщении не было видно  условий договора — просто текст «Код подтверждения 1357. Платёж по кредиту 5000 руб., комиссия 0 руб». Заёмщик называл сотруднику код и подписывал договор. А сотрудник уже добавлял к кредиту дополнительные услуги, о которых клиент не догадывался. 

С кодами подтверждения всегда остаётся одна и та же проблема клиент не видит, что он подписывает, не может быть уверен, что соглашается на те условия, которые прочитал на бумаге. А ещё код подтверждения зачастую не гарантирует целостности и авторства, а значит, можно с лёгкостью подменить документ на другой, что и делали банковские сотрудники.

Отсутствие текста документа ведёт и ко второму риску — социальной инженерии. 

Риск №2: телефонные мошенники, суды и снова подпорченная репутация

 

По данным Центробанка, во втором квартале 2022 года 50% всех мошеннических схем проходили по сценарию: клиент банка назвал код из смс мошеннику. Так и произошло с жертвой недавней новости, о которой мы говорили в начале статьи. С помощью двух смс злоумышленники оформили кредит на 200 000 рублей. 

Центральный Банк РФ уже запретил использование смс и push-кодов для подтверждения транзакций, дабы защитить клиентов и сами банки (N 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»). Однако данное постановление пока не касается документов на оформление банковского продукта. Но это пока.

«Смс-код знают банк, оператор сотовой связи, другие смс-агрегаторы и только потом клиент, на чьё устройство пришёл код. Код может быть перехвачен на любом из этапов пути даже у самого клиента с телефона, а самое простое — через звонок мошенников. Push-коды также нельзя считать безопасными. Несмотря на то, что законодательство пока ещё формально позволяет получать кредит по смс, необходимо не пренебрегать логикой и информационной безопасностью. Кредитные договоры являются одними из самых высокорисковых как для банка, так и для клиента, поэтому их нельзя подписывать кодом из смс»
Дарья Верестникова
эксперт по безопасности SafeTech и сооснователь сервиса Nopaper

Есть ли более безопасная альтернатива смс-кодам? 

Да, например, Nopaper Office позволяет выпустить в сервисе несколько видов электронной подписи: мобильную подпись НЭП или КЭП. Также в сервисе есть и смс-подпись, но она используется только для отдельных нерисковых случаев и по желанию самих банков. 

Когда можно использовать смс-коды, и почему смс-подпись в Nopaper Office безопаснее?

Смс в случае Nopaper Office фактически является вторым фактором для подтверждения. На сервере присутствует асимметричная криптография с контролем целостности и авторства, а SMS — дополнительный акцепт (разрешение) на подписание документа. Такая реализация защищает от ряда технических мошеннических атак при попытке подменить документ. Также перед вводом кода подтверждения клиент может ознакомиться с документом по ссылке.

Однако даже этот метод не защищает от атак социальной инженерии и телефонных мошенников, а также от иных способов перехвата смс.

«Использовать код из смс можно только в низкорисковых для банка и клиента операциях, таких как. Например, при открытии вклада в офисе, поскольку деньги остаются в банке, а человек и так находится перед вами. Иные операции, связанные с получением кредита, переводом денежных средств и даже открытием расчётного счёта, особенно без посещения офиса, не рекомендуется подтверждать таким способом. Для этого есть другие, не менее удобные и более безопасные способы».
Дарья Верестникова
эксперт по безопасности SafeTech и сооснователь сервиса Nopaper

А какую тогда подпись использовать для кредитов и других важных документов?

Мы рекомендуем использовать мобильную НЭП. Неквалифицированная электронная подпись позволяет определить, кто, когда, с какого устройства и даже с какой геолокации подписал документ. А текст документа можно прочитать до подписания на экране своего смартфона или планшета банка. Так вы будете уверены, что подписываете. НЭП можно выпустить в смартфоне и подписывать документы с банком через приложение. 

А если у вас, клиента банка, есть КЭП — то некоторые сервисы электронного документооборота для банка поддерживают такой вид подписи и даже выпускают её.

«Высокорисковые операции нужно подписывать только тем средством электронной подписи, которое обеспечивает контроль целостности и авторства и хранится у самого клиента. Сейчас таким средством является неквалифицированная электронная подпись (НЭП). Её можно выпустить на мобильный телефон и подписывать документы в телефоне. Мобильную подпись невозможно перехватить и воспроизвести на другом устройстве, ей всегда владеет сам человек. А заставить человека самостоятельно нажать на кнопку телефонному мошеннику гораздо сложнее, чем просто назвать код — это психология»,
Дарья Верестникова
эксперт по безопасности SafeTech и сооснователь сервиса Nopaper

Цифровизируйте процессы быстро, подписывайте документы безопасно и юридически значимо вместе с Nopaper Office. И попадайте в СМИ как самый передовой и удобный банк для физических и юридических лиц.

    27 Янв 2023 Алена Журавлева

    Советуем почитать

    Алена Журавлева
    16 Авг 2022
    +100 к лояльности сотрудников и почти в 20 раз меньше расходы
    Алена Журавлева
    16 Фев 2022
    Собрать документы со всей России за 15 минут. Кейс логистической компании Порт Транзит Экспедирование
        Кейс о том, как законодательные ограничения подтолкнули компанию к оптимизации документооборота и избавили от ежедневных почтовых отправлений. Теперь Порт Транзит Экспедирование использует сервис мобильного документооборота и моментально получает оригиналы документов от водителей по всей стране.
    Алена Журавлева
    22 Апр 2022
    Обслуживать клиентов быстрее и в 7 раз дешевле: как банк УБРиР перешёл на безбумажное обслуживание с Nopaper
    Банк УБРиР провёл пилотный проект по замене бумажных документов на электронные и теперь планирует перевести на новую технологию все отделения.
    Алена Журавлева
    27 Май 2022
    Как страховой компании упростить работу с агентами? Кейс «АльфаСтрахование»

    Остались вопросы?
    Предложите нам тему для статьи!

    Предложить статью
    Предложите нам тему для статьи