Как лучше получать сообщения от банка: через СМС или push-уведомления?
Банки должны уведомлять клиентов обо всех операциях по картам. Получать информацию о покупках и денежных переводах можно с помощью СМС-сообщений или push-уведомлений. Оба способа уведомлений стоят денег (50-100 рублей в месяц в зависимости от банка). Какой из них лучше? Вместе с экспертами разбирался АиФ.ru.
СМС-сообщения
Оба способа информирования имеют свои плюсы и минусы, говорит руководитель направления банковского контента сервиса «Банки.ру» Юлия Кривошеева.
Формат СМС-сообщений поддерживается любым мобильным телефоном, в том числе кнопочным, и не требует подключения к интернету. СМС сохраняются в телефоне, благодаря чему в любое время можно посмотреть историю операций.
«Для получения push-уведомлений требуются смартфон с установленным на нем банковским приложением и наличие интернета, причем не все банки хранят историю push-уведомлений», — отмечает Кривошеева.
В свою очередь, эксперт в области информационной безопасности Сергей Белов выделяет минусы СМС-уведомлений: «СМС-уведомление может быть перехвачено в случае компрометации СМС-шлюза, который используется банком для рассылки уведомлений. Кроме того, СМС-уведомление может быть перехвачено через специфические атаки на протокол SS7 в сети операторов сотовой связи. В случае нахождения вне зоны покрытия сотового оператора вы не получите уведомление».
«Когда уведомления от банка привязаны к номеру телефона, здесь не все так просто. Мошенники переоформляют мобильный номер, делают дубликат сим-карты. В результате уведомления начинают приходить на новый номер, а старый (номер реального клиента) благополучно блокируется. Вы даже не поймете, кто и почему заблокировал ваш номер. И, пока будете выяснять причины блокировки, мошенники успеют получить доступ к вашим счетам, и снять деньги», — добавляет старший преподаватель Департамента правового регулирования экономической деятельности Финансового университета при Правительстве РФ Марчел Кырлан.
Push-уведомления
С точки зрения защиты от мошенничества лучше получать уведомления в виде push-сообщений, считает Марчел Кырлан. Дело в том, что push-сообщения четко привязаны к определенному смартфону, на котором установлен мобильный банк. При любых изменениях владелец немедленно получает эти извещения.
Впрочем, как рассказал заместитель директора по продажам и развитию компании-разработчика комплексного программного решения Станислав Шилов, нужно понимать, что механизм push-уведомлений по умолчанию также предполагает их пересылку через внешние сервисы, связанные с разработчиком мобильной экосистемы (Apple, Google).
«С точки зрения безопасности тоже не все так однозначно. Например, push-уведомления, в отличие от традиционных СМС-сообщений, часто отображаются на смартфоне даже при заблокированном экране, поэтому злоумышленники, получив доступ к смартфону, могут без проблем воспользоваться этой информацией. Тем не менее основная проблема все же связана именно с привязкой банковских приложений к номеру телефона. Оформив дубликат сим-карты, мошенники могут перепривязать к новому номеру банковские приложения и даже аккаунт „Госуслуг“, что позволит им совершать от имени клиента денежные переводы или подавать заявки на кредиты. Снизить риск подобного мошенничества поможет переключение авторизации в банковских приложениях с СМС на push и установление в аккаунте „Госуслуг“ двухфакторной аутентификации», — подсказывает Кривошеева.
По словам Сергея Белова, возможность перехвата данных из push-уведомления реализуется:
- путем компрометации сервера push-уведомлений компании-разработчика ОС телефона;
- путем компрометации сервера банка, который отвечает за работу с уведомлениями;
- путем компрометации устройства пользователя.
«Перечисленные риски считаются сравнительно менее вероятными, чем риски, характерные для СМС-уведомлений, что и приводит к той ситуации, что многие банки рекомендуют клиентам использование push-уведомлений», — резюмирует эксперт.