СМС или Push уведомления от банков?

SMS или Push? Безопасность

Что такое Push-уведомления от банков? Это короткие сообщения, переданные банком через интернет напрямую в банковское приложение на смартфон клиента, запущенное при старте ОС в спящем режиме или вручную пользователем. При обычных настройках появляются оповещения вверху экрана смартфона или планшета. Такие сообщения могут отправлять установленные приложения, в данном случае это официальное мобильное приложение банка с доступом в личный кабинет клиента, получившее сообщение из банка.

Push вместо СМС?

Все мы привыкли, что банки присылают клиентам СМС:

  • информацию об операциях по карте, если подключена соответствующая платная услуга (обычно в пределах 60 рублей в месяц),
  • СМС с кодами подтверждения операций по карте или в интернет-банке
  • напоминания о необходимости внести платеж по кредитной карте
    СМС-уведомление Сбербанка, выписка
    СМС-уведомление Сбербанка по кредитной карте
  • ежемесячные СМС-выписки (Тинькофф, Сбер и др)
  • рекламно-маркетинговые рассылки

и т.д. Бессмертный призыв — «Никому не говорите код из СМС» — за ним стоят миллиарды потерянных рублей клиентов и даже сломанные судьбы.

Но за каждую СМС банку приходится платить оператору связи или СМС-агрегатору. Причем на банки и ритейл в 2018 году приходилось почти 90% всего рынка СМС-рассылок. Это большие деньги. И в 2018 году операторы стали поднимать цены на свои услуги для банков, поэтому банки стали активно искать замену СМС-сообщениям.

Чем отличаются Push от СМС, преимущества и недостатки

Если не углубляться в тонкости, нетрудно сообразить, что недостатки есть у обоих способов:

Недостатки Push

  • Push могут не сохраниться в телефоне (например у Тинькофф)
  • Push не придут, если нет ни Wi-Fi, ни мобильного интернета

Недостатки СМС

  • СМС могут задержаться у оператора связи или даже пропасть. В этом случае по карте не получится ничего купить в интернете, не сделать перевод и т.д.
  • СМС дороже для банков (ну а нам-то что).
  • У некоторых банков Push бесплатные, а СМС — платные

Это понятно, но копнем чуть глубже.

Аспекты безопасности

Еще раз вспомним, что сообщения от банка могут иметь огромное значение, особенно если учесть, что это ключ ко всем вашим деньгам в банке. Более того, это еще и ключ к предодобренным кредитам, которые могут ждать вас в личном кабинете, судя по количеству случаев крупного мошенничества, проблема очень актуальная.

И всегда ключевой момент — получение сообщения от банка. Например, в этом случае кто-то привязывает свое устройство для входа в личный кабинет клиента банка:

После этого злоумышленник привязывает свое устройство, переключается на Push-уведомления и может проделывать все операции уже без участия клиента банка, никаких уведомлений с кодами для выполнения операций (взятие кредита, подтверждение переводов) клиенту банка уже не придет. Они будут приходить уже на привязанное устройство мошенников. Поэтому довольно много случаев, когда потерпевшему никто уже не звонит, а деньги со счетов исчезают.

Если бы все эти сообщения приходили строго по СМС, то без участия клиента банка можно было бы сделать максимум 1-2 действия, на сколько хватит «социальной инженерии», достигшей больших успехов. Поэтому замену СМС на Push-уведомления считаю очень опасной тенденцией. Сначала разберемся, как работают Push и как с ними бороться.

Механизм Push-сообщений для смартфона

Если у вас нет мобильного приложения вашего банка, а тем более если у вас кнопочный телефон (не смартфон), то никаких Push-уведомлений вы не получите. Получать их можно только на смартфон с установленным приложением от банка (мобильный банк) и при наличии связи с интернетом. Допустим, смартфон у вас есть.

Посмотрим, как сделаны пуш-уведомления в приложениях от разных банков.

Сбербанк-онлайн всё хранит

Заходим в Профиль — Настройки — Уведомления от банка, и видим движок включения Push вместо СМС, всё культурно, выбираешь то, или другое, я себе оставил СМС:

Переключатель с СМС на Push-уведомления в Сбербанке

Но, насколько я вижу, если смартфон клиента доступен, то все равно приходят Push, а не СМС. Не исключено, что банк будет «агитировать» клиентов переходить с СМС на Push-уведомления для экономии своих расходов на СМС-рассылки. Но главное в Сбербанке, что все уведомления я могу посмотреть не только в СМС-истории в своем смартфоне, но и в приложении Сбербанка по кнопке «колокольчик» справа вверху. Ни одно уведомление не теряется, и неважно как оно пришло — по СМС или через Push — сообщение.

Сбербанк сохраняет Push в своем приложении

Проблема с Тинькофф

В Тинькофф-банке ситуация гораздо хуже. Он сам решает, что присылать. И если аппарат абонента подключен к интернету и на связи, то банк принудительно присылает именно Push-сообщения, а не СМС. Можно попросить поддержку, и если хочешь получать только в СМС, вместо пуш, они их включают, но будет сюрприз: при платежах через Интернет банк или мобильное приложение — СМС оповещение не придёт. И поддержка любезно скажет, «извините но по таким операциям мы информацию в СМС не присылаем больше совсем».

Push уведомления не сохраняются в приложении Tinkoff

Т.е. всплывает, например, ежемесячная выписка по дебетовой карте, ты ее смотришь, но при любом следующем действии сообщение исчезает бесследно и навсегда:

Push-сообщение от Тинькофф банка

Особенно это неудобно для кредитной карты, где в сообщении присутствует размер платежа для сохранения льготного периода.

Как бороться с Push-уведомлениями Tinkoff

Сначала я обратился в службу поддержки банка через чат. Но там сказали что не получится. Я подумал, что можно у телефона отключить Wi-Fi и мобильную связь, тогда действительно банк присылает СМС. Но интернет нужен постоянно, этот вариант не проходит. Также я посмотрел, существуют сторонние приложения, которые сохраняют Push-уведомления. Но доверять банковские сообщения, через которые можно украсть деньги сторонним приложениям я бы не стал. Итого, вариантов несколько:

  1. Отключить на смартфоне интернет. Не годится, интернет нужен.
  2. Поставить приложение для сохранения Push-уведомлений. Тоже не годится, небезопасно
  3. Сделать так, чтобы приложение Tinkoff не слушало и не отвечало пока я им не пользуюсь — эврика!

Итак, мы должны отключить приложение Tinkoff, его работу в фоновом режиме. Для этого в своем телефоне на Android (простой Huawei Honor) я залез в
НастройкиБатарея(неожиданно!) — Запуск приложений

и найти «Тинькофф» с желтым значком. Наверняка у него включен движок «Автоматическое управление», выключаем его:

Тинкькофф - автоматические управление

и попадаем в блок «Управление вручную»

Тинькофф - ручное управление приложением

Выключаем все три движка влево. Готово! Теперь все сообщения от банка будут приходить в виде СМС и храниться в общем хранилище вашего смартфона.

Ведь теперь отключен автозапуск приложения, и оно не останется работать в фоновом режиме после его выключения. Поэтому Push-уведомления приходить не смогут. Но если вы сами запустили приложение вручную, пока оно работает, то Push-сообщения будут приходить вместо СМС. Можно, конечно, отключить интернет (Wi-Fi и мобильные данные), но тогда само приложение банка не будет работать.

Push в других банках

Большинство других банков сохраняют пуш-уведомления в своем приложении: Альфа-банк, Райффайзен, Восточный, ВТБ.

В ВТБ по умолчанию подтверждения операций приходят в СМС, в настройках можно перейти на Push, тогда уведомления будут сохраняться в приложении. Чтобы приходила информация об операциях по картам, нужно включать платный пакет уведомлений.

В Хоум Кредит и МКБ тоже нет принудительного впаривания пушей, коды приходят в СМС.

Новости

09.04.2021 — По данным компании DeviceLock, в даркнете за 30 тысяч долларов продан доступ к коммутатору одного из сотовых операторов. Коммутатор позволяет получить контроль над системой сигнализации SS7. С его помощью можно перехватить звонки и СМС всех провайдеров связи, с которыми у уязвимого оператора есть договор о роуминге. В их число входят и российские. Покупателем доступа, с большой долей вероятности, стал выходец из стран СНГ. Злоумышленники могут воспользоваться уязвимостью мобильной связи, чтобы перехватывать SMS-коды для авторизации в приложениях банков. С помощью SMS-сообщений злоумышленники могут войти в личный кабинет банка и использовать средства потенциальной жертвы. Название оператора сотовой связи не упоминается.

Для защиты от такого рода атак специалисты рекомендуют переключить авторизацию с СМС на push-уведомления, а также ограничить лимиты на денежные переводы.

Оцените статью
Денег накопи и квартиру купи
Добавить комментарий

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и принимаю политику конфиденциальности.