Клиент банка Luminor неожиданно получил доступ к банковскому счету постороннего человека. Банк называет это досадным стечением обстоятельств и обещает повысить безопасность, пишет Rus.Delfi

Далее...



В конце января клиент банка Luminor захотел войти при помощи Mobiil-ID в интернет-банк, чтобы оплатить счета. Он ввел признак пользователя и стал ждать, когда телефон попросит подтвердить действие и ввести контрольный код. Однако прежде, чем клиент успел ввести контрольный код, на экране отобразился номер счета. ”Я был удивлен. Первое, что бросилось в глаза, — это остаток счета, который у меня должен был быть другим. И тогда я обнаружил, что это не мой счет, а какого-то незнакомого мужчины”, — рассказывает клиент.

Он сделал снимок экрана, вышел из чужой учетной записи и сообщил о случившемся Luminor.

”Это очень прискорбное стечение обстоятельств”, — говорит руководитель службы по связям с общественностью Luminor Карель Ханни. По его словам, такое может произойти в случае, если одномоментно будет совершено две ошибки: один человек случайно неправильно введет признак пользователя, а настоящий владелец этого признака пользователя подтвердит вход своим Mobiil-ID.




Поскольку при входе в интернет-банк Luminor в графе для ввода человек видит не буквы и цифры, а звездочки, то ошибиться несложно. ”Чтобы избежать таких ситуаций, люди должны быть очень внимательными и при входе с помощью Mobiil-ID всегда сверять отображающийся на экране контрольный код”, — отмечает Ханни.

По его словам, подобные случаи происходили и ранее, но обходилось без материальных потерь, хотя риск есть. ”Да, это правда — риск есть. Сейчас мы работаем над тем, чтобы все исправить”, — заверяет он. Скорее всего, исправления будут заключаться в том, что при входе в интернет-банк клиенту придется вводить также свой номер мобильного телефона. Когда именно это произойдет, Ханни сказать не смог.

При детальном изучении ситуации выясняется, что подобному риску подвержены также банки SEB и LHV. Единственным банком, который уже сейчас просит ввести и логин, и номер телефона, оказался Swedbank.

По словам руководителя коммуникационной службы SEB Юлии Пийльманн, у них тоже планируется введение дополнительных мер по обеспечению безопасности. ”Уже в феврале планируем спрашивать у клиента при входе в интернет-банк и признак пользователя, и личный код”, — говорит она. Сейчас разработка проекта находится на финишной прямой и банк надеется внедрить нововведение как можно скорее.

Глава отдела расследования инцидентов (CERT-EE) Департамента государственной инфосистемы Тыну Таамер говорит, что и они время от времени получают сообщения от людей, которые заметили несанкционированную попытку входа в их учетную запись. После общения с банками становилось ясно, что, как правило, речь шла об ошибке, когда кто-то просто вводил неправильный признак пользователя.

”Большую проблему представляют мошенники, которые могут попытаться сознательно получить деньги доверчивых людей”, — говорит Таммер. По его словам, в последнее время такое происходит по несколько раз в месяц. ”Известны случаи, когда это удавалось”. Например, в прошлом году один человек лишился таким образом более 10 000 евро. ”Почерк атаки был таким же. Злоумышленник сознательно вводил различные признаки пользователя”.

При этом к запланированным банками нововведениям специалист относится скептично. ”Это, безусловно, затруднит дело, но поможет ли искоренить мошенничество — тут я не уверен”, — рассуждает он.

Таммер рассказывает, что часто мошенники создают сторонний сайт, похожий на действительный сайт банка, и люди, попадая туда, например, по ссылке, оставляют свои данные. В таких случаях система идентификации при помощи двух признаков не поможет.

”Против мошенников поможет только бдительность самих людей. Государству и банку трудно защитить невнимательного человека от его невнимательности”, — говорит Таммер. По его словам, с технической точки зрения Mobiil-ID и интернет-банки полностью безопасны. ”Мошенники просто надеются на невнимательность людей. Поэтому: если вы на настоящий момент не входите в банк и не хотите совершить платеж, то не подтверждайте никакие действия! Всегда проверяйте, чтобы в браузере был именно тот адрес, который должен быть, и при малейшем подозрении попросите помощи у банка”, — советует эксперт.