В последнее время часто происходят утечки банковской информации с данными карт и персональными данными клиентов, рассказал Максим Костиков. «Зная эту информацию, злоумышленник может воспользоваться функционалом восстановления доступа к личному кабинету. Сейчас обычно для этого требуется номер телефона и карточные данные», — сказал эксперт.

Злоумышленник может получить доступ к личному кабинету и изменить аутентификационные данные клиента, если у него есть возможность перехватить СМС. Однако для того, чтобы попасть в личный кабинет пользователя, недостаточно иметь только доступ к СМС или звонкам клиентов. Мошенникам также необходима информация о логине, пароле, данных карты.

Доступ к личному кабинету может быть упрощен, если пользователь установил в качестве логина для входа в мобильный банк свой номер телефона. Во-вторых, попасть в личный кабинет для злоумышленников проще, если для восстановления доступа нужен только номер телефона и карточные данные или информация, полученная из публичного доступа или возможных утечек данных.

Эксперт советует переключить уведомления из СМС-формата на push-оповещения, поскольку в первом случае может произойти перехват. «Для нивелирования данных угроз банкам необходимо добавить дополнительный фактор аутентификации при восстановлении доступа, а именно — кодовое слово, генерировать произвольные имена пользователям и разрешать их менять, добавить функционал подтверждения переводов только по push», — сказал Костиков.

Однако даже попав в личный кабинет пользователя, мошенник столкнется с антифрод-системой банка, которая при подозрительной активности в аккаунте должна не позволить ему нанести финансовый вред клиенту или же свести его к минимуму.

Источник: rb.ru