Украинские банки и безопасность наших денег

Несколько лет назад принимал участие в одной заочной дискуссии. Разговор крутился вокруг вопроса могут ли операторы мобильной связи играть роль финансовых институтов. Моя позиция, вкратце, сводилась к следующему:

…В любом нормальном банке (а их большинство) персонал на всех уровнях отдаёт себе отчет — деньги клиента это проявление доверия. Содержанием банковской деятельности, помимо кредитования, является доверенное хранение и создание максимально комфортных условий для распоряжения деньгами. Банку за хлопоты причитается малость — пару процентов за платежи, клиент-банк и прочее. Если банк будет кроить клиента и срать ему в душу — клиент уйдет. Навсегда.

Операторы же по жизни руководствуются принципиально иными подходами. Попавшие к ним деньги они априори считают уже своими и жаждут употребить самостоятельно. Отдельно взятый клиент для них — просто единица планктона. «Единица — что, единица- ноль, голос единицы тоньше писка» (с) В. Маяковский. Это диаметрально противоположные взгляды на деньги клиента... 

Прошло пять лет и я вынужден признать, что данное мнение больше не соответствует действительности. Нет, не потому, что операторы мобильной связи подтянулись и  поменяли свое отношение к нам, своим клиентам. К сожалению то, что они вытворяют, в частности, в случае роуминговых услуг, это просто мрак и ужас. Нет, операторы не изменились.  Изменились банки, и совсем не в лучшую сторону. Теперь уже и банкиры, подобно своим мобильным коллегам, оставили всякие условности и взяли на вооружение принцип «доходы любой ценой». Всё, что их теперь интересует, это движение денег на счете клиента. Движение денег любой ценой, потому что это означает комиссии и доход.

Банкиры просто рехнулись в своей неуёмной жажде «стимулировать» использование  денег. Им мало агрессивной манипулятивной рекламы, навязывания лживых и заведомо неравноправных договоров, мошеннической практики продажи своих услуг. Чтобы максимально упростить клиенту решение потратить ещё немного (или много — как повезёт) денег, банки принялись целенаправленно размывать святая святых — сложившиеся подходы к обеспечению безопасности финансовых транзакций.  Приведу совсем свежий пример из собственной практики. 

В Приватбанке очень любят авторизовать клиента по номеру его телефона, используя для этого динамические пароли, присылаемые в SMS. Оно вроде бы и удобно, и несложно, всё под рукой и, главное, надёжно! Этот же ж SMS, мобильная связь, шифрация-дешифрация, все дела. О том, что для мошенника не составит особой проблемы оформить на себя  ваш номер, в банке предпочитают не вспоминать. Точнее, не говорить об этом клиентам. Деньги, они ж тишину любят! Хотя технология такого мошенничества известна, как минимум, с весны этого года. Для этого достаточно подойти в офис оператора мобильной связи и, зная номер и примерный круг лиц, на которые звонит человек, заявить об утере вашей СИМ-карты. Без особых проблем и лишних вопросов вам выдадут СИМ-карту, которую вы тут же можете использовать, чтобы получить доступ к чужим деньгам. По ссылке выше приводятся истории того, как данная схема неоднократно использовалась для снятия денег со счетов приватовских клиентов. Какова же реакция Приватбанка на обнаружение гигантской по размерам дыры, даже дырищи в механизмах безопасности? Приватбанк ещё больше расширил сферу применения СМС-авторизации. С недавних пор её можно использовать и для кражи средств юридических лиц. О-ла-ла! При этом лидер рынка не в состоянии обеспечить полноценное функционирование даже этой дырявой системы авторизации. Расскажу это на собственном примере. 

Пару недель назад, находясь за границей, решил воспользоваться системой Приват24, версией для юридических лиц (я работаю как СПД ФЛ).  Подготовил платеж и собрался его подписывать.  Чтобы не пользоваться электронным ключом на чужом ноутбуке (трояны, кейлоггеры, да), решил воспользоваться опцией «подписать с помощью SMS». Отправил запрос, получил сообщение с динамическим паролем и тут до меня дошло, что я нахожусь в роуминге. Соответственно, не смогу отправить обратно полученный sms c с паролем, поскольку оно попадёт на короткий номер не моего домашнего, а т.н. хост-оператора. Сообразил всё это, плюнул и закрыл приложение. А через 10 минут получил уведомление о том, что платёж проведен. То есть Приват24 не стал дожидаться моего подтверждения и взял, так сказать, на себя ответственность провести его.  Т.е. если бы это был не я и в платёжке были «левые» реквизиты, денежки ушли бы в колонну по-три. Или по-четыре. 

Два дня спустя я решил посмотреть движение по карточке с помощью мобильной версии Приват24. Видимо распознав тот факт, что я выхожу в сеть через другого, нежели обычно,  оператора, да еще и зарубежного, система прислала мне запрос на подтверждение не только обычным паролем входа, но  и с помощью sms. Разумно и логично, не спорю. Я не стал  дожидаться, пока сообщение пройдет через шлюзы, и просто вышел из приложения. Тем не менее, на следующий день я без проблем и дополнительных подтверждений смог зайти в мобильную версию Приват24. То есть и в этот раз Приватбанк не стал дожидаться подтверждений. 

Сказать, что это очень легкомысленное отношение к своим клиентам, это ничего не сказать. При этом возможности отключить sms-авторизацию платежей у меня нет. Всё, что я смог сделать, это отключить кредитный лимит и перевести деньги на счета в других банках. Бесконечные эксперименты Приватбанка создают реальную угрозу кражи моих денег и это, к сожалению, не случайность, а система. Это наглядное появление того же отношения к своим клиентам, каким отличаются операторы мобильной связи. Украинские банки рассматривают своих абонентов как хомячков, симпатичных, но безмозглых зверушек, на которых можно и нужно свои ставить смелые эксперименты.

Поэтому когда я читаю о том, что только банки могут и должны ли заниматься, например, электронными деньгами, что у них-де какое-то особенное отношение, технологии, традиции,  я даже не смеюсь. Я матерюсь. Нет никакого особенного отношения в хорошем смысле. Зато есть особенное отношение в смысле плохом. Причём это солидарная позиция и банков, и т.н.«регулятора», которому проблемы клиентов до одного места. Неоднократно имел возможность озвучить в «приличном обществе» банковских сотрудников идею введения общеобязательных стандартов и процедур работы с клиентскими деньгами, включая использование ЭЦП и электронных ключей. Ответ всегда был единодушный «Не надо усложнять!!! Народу это не нужно!!!!!» Это, опять таки, точно та же модель поведения, которую демонстрируют операторы мобильной связи в ответ на предложения предоставить абонентам механизмы контроля за контент-услугами и роуминговыми расходами, главными на сегодняшний день угрозами для кошелька абонента.

Что с этим делать? Ответ пока один: не доверять, помнить о возможности самой гнусной подставы (и агрессивных попыток избежать ответственности, см. ссылки выше),  по возможности избегать, либо не класть все яйца в одну корзину. И, по возможности, использовать альтернативы. -