Фото: ИА SM-News

Обычно мы рассуждаем так: сначала запускаем сервис, а потом, когда случается беда, чиним дыры, меняем пароли и успокаиваем пострадавших. Но с мошенничеством этот номер не проходит. Пока вы латаете одну уязвимость, аферисты уже нашли две новые.

В Сбербанке уверены, что пора менять подход. Нельзя ждать, пока пользователи попадут на удочку социальной инженерии. Защиту нужно встраивать в систему ещё до того, как вы ввели первый пароль.

Вшивать безопасность, а не пришивать заплатки

Заместитель председателя правления Сбербанка Станислав Кузнецов сравнил это с постройкой дома: если вы сначала возвели стены и крышу, а потом думаете, куда бы воткнуть замки и сигнализацию, вы рискуете остаться без имущества. Точно так же и с цифровыми сервисами.

«Защиту от мошенничества, включая устойчивость к методам социальной инженерии, необходимо закладывать ещё на этапе проектирования таких сервисов, а не дорабатывать потом, когда уязвимости уже обнаружены и используются злоумышленниками», — объяснил Кузнецов в беседе с журналистами.

Особенно это касается портала «Госуслуги». Им пользуются миллионы, и у каждого в личном кабинете лежат паспортные данные, СНИЛС, ИНН, номера машин и даже квартир. Потерять доступ к такому аккаунту — всё равно что оставить ключи от дома в кармане куртки в гардеробе.

Как выглядят «дыры» на практике

Проблема не надуманная. В последнее время мошенники активизировались и придумали многоходовую схему. Вам звонят якобы из управляющей компании, службы доставки или даже поликлиники. Просят назвать код из СМС для подтверждения записи или доставки. Вы называете — и злоумышленники тут же меняют пароль на «Госуслугах», а заодно и привязывают свой номер телефона.

Дальше спектакль продолжается. Вам звонят уже псевдосотрудники силовых структур, пугают, что из-за разглашения кода аккаунт взломан, и прямо сейчас с вашего имени переводят деньги на поддержку терроризма. Под психологическим давлением человек переводит свои сбережения на «безопасный счёт», которого на самом деле не существует.

Если бы защита от таких манипуляций была предусмотрена в самом интерфейсе — например, автоматическое предупреждение о подозрительной смене номера или обязательная двухфакторная верификация при изменении ключевых данных, — многих трагедий удалось бы избежать.

Что делать прямо сейчас, пока систему не перестроили

Пока чиновники и банки думают над архитектурой, вы не беззащитны. Вот несколько простых шагов, которые резко снизят риск.

  1. Никогда и никому не диктуйте код из СМС. Кем бы ни представился звонящий — сотрудником банка, полиции, «Госуслуг», ЖКХ, — это сто процентов мошенники. Настоящие специалисты никогда не запрашивают пароли и коды подтверждения.

  2. Включите вход по биометрии или через приложение. Это сложнее взломать, чем пароль, который вы забыли сменить.

  3. Пользуйтесь определителем номера. Бесплатный сервис в приложении СберБанк Онлайн поможет распознать мошенника ещё до того, как вы снимете трубку.

  4. Проверяйте список сеансов. Регулярно заходите в раздел «Безопасность» на «Госуслугах» и смотрите, с каких устройств выполнен вход. Если увидите что-то подозрительное — нажимайте «Выйти на всех устройствах».

Коротко о главном

В Сбербанке призвали проектировать государственные сервисы с умом: защита от мошенничества должна быть заложена в фундамент, а не добавляться потом, когда уже есть жертвы. Пока это предложение обсуждается, не остаётся ничего другого, кроме как самим проявлять бдительность. Но, согласитесь, гораздо спокойнее жить, когда о твоей безопасности позаботились ещё на стадии чертежа, а не когда преступник уже стоит на пороге. Надеюсь, что в этот раз до правильных выводов дойдут быстрее обычного