Эксперт заявил об опасных деталях в законе о защите граждан от кибермошенников

Госдума 11 июля приняла во втором и третьем чтениях законопроект о дополнительной защите граждан от финансовых мошенников, 19 июля его одобрил Совет Федерации. Однако в законе имеются детали, из-за которых россияне по-прежнему могут быть не защищены от кибермошенников. Генеральный директор компании SafeTech Денис Калемберг 20 июля рассказал «Известиям», о каких нюансах идет речь и как себя уберечь от аферистов.

Закон предполагает, что банк должен проверять все денежные переводы физлиц и приостанавливать подозрительные на два дня, после чего просить у клиентов их повторного подтверждения. Однако, как отмечает эксперт, даже после того как банк получит многократное уверение, что физлицо переводит деньги по собственной воле и именно тому, кто указан получателем, он может отказать в проведении операции.

«Произойти это может в ситуации, когда деньги переводятся на счета так называемых дропперов, то есть тех, кто уже был замечен в получении средств по операциям без согласия клиента. Ведет этот черный список Центробанк (ЦБ) РФ», — пояснил Калемберг.

Кроме того, документ говорит о необходимости не позднее одного дня после приостановки перевода получать от клиента подтверждение того, что он проводит операцию добровольно и осознанно. Но при этом не сказано, каким образом должно быть получено это подтверждение.

«SMS до сих пор является чуть ли ни панацеей при двухфакторной аутентификации для подтверждения платежа: пришла эсэмэска с кодом, ввел его и обеспечил свою безопасность. Но на самом деле это весьма опасный путь», — указал эксперт.

По его словам, это проблематично, поскольку количество печатных знаков в SMS ограничено. Уместить в одно сообщение всю информацию о трансакции невозможно. Отправлять клиенту три-четыре SMS кредитные организации не будут, поскольку это дорого.

Вторая проблема — SMS легко перехватить. «Клиент, ведомый мошенниками, может назвать код из SMS социальным инженерам и подтвердить в итоге совсем не ту операцию, какую он на самом деле хотел провести», — отметил генеральный директор SafeTech.

Однако Калемберг отметил, что есть решения, которые позволяют подтверждать транcакцию без возможности ее перехвата хакерами. Например, мобильная электронная подпись. Некоторые российские банки уже перешли именно на этот способ подтверждения оплаты.

«Некоторые, но, увы, далеко не все. И потому, раз в законе депутаты забыли или не сочли нужным уточнить порядок подтверждения получения добровольного согласия клиента, то есть риск, что наиболее консервативные игроки финансового рынка продолжат использовать устаревшие SMS, подвергая опасности средства своих клиентов», — заключил он.