Ответ на пост «Суд простил мужчине кредит, взятый на него мошенниками с его телефона — но пришлось два года судиться»
В комментариях к истории из заголовка некоторые несознательные граждане пишут, что банк не виноват и его нахлобучили несправедливо. Что виноват клиент, он же сам поставил приложение удалённого доступа - а значит должен платить.
Объясню, почему суд всё решил правильно и виноват всё же банк.
Банк виноват потому что, как постановил суд - банк не обеспечил безопасность клиента. Клиент не обязан разбираться в тонкостях IT. Он может не знать, какие приложения безопасны, а какие - нет. Более того - существуют угрозы подобного рода, которые клиент в принципе не может предотвратить. Например, уязвимости операционной системы. В том числе "уязвимости нулевого дня", zero-day exploit - о которых не знают ни антивирусы, ни производители устройств. Когда-то была массовая уязвимость с MMS в Андроиде. Тогда достаточно было отправить на телефон всего одно специальное MMS, чтобы получить полный контроль над устройством. И Андроид в те времена по умолчанию открывал все MMS автоматически. Сейчас эту уязвимость закрыли. Но где гарантия, что нет других, или не найдётся в будущем? Со стороны пользователя эту будет выглядеть просто как внезапная ничем не обоснованная пропажа денег. Сделать он ничего не сможет. А банк точно так же скажет "вы сами всё сделали, вот у нас в логах подтверждение кодом из СМС - платите!"
Поэтому предотвращать такое должен банк. Именно банк предоставляет своим клиентам банковские приложения - поэтому он и должен сделать так, чтобы они были безопасными.
Может ли банк это сделать?
Может. Причём очень легко. В два счёта.
Для этого достаточно всего лишь выдать клиенту аппаратный генератор кодов, никак не связанный ни с телефонным номером, ни со смартфоном или компьютером. И принимать только коды подтверждения, созданные этим генератором. Такие генераторы есть и были уже лет 20 назад (мне, например, выдавали в ВТБ такой). При этом, даже если мошенники захватят полный контроль над одним устройством клиента (неважно каким способом) - код прочитать без участия самого клиента они не смогут никак. Соответственно - не смогут ничего украсть, ведь у них не будет кода подтверждения. Взломать генератор тоже нельзя - он не подключается к интернету. У него вообще нет ничего, кроме одной-двух кнопок. Совершать операции сможет только тот, кто держит в руках этот генератор кодов.
А что, если генератор сломается?
Да, такое бывает. Но это не проблема. Можно выдать их два, пять или двадцать пять. Сломался один - используешь другой, только и всего.
Но это ведь неудобно - таскать с собой ещё один девайс?
Да, неудобно. Но безопасность того стоит. А тем, кто не хочет - банки вполне могут предоставлять и доступ через коды в СМС или пуш-коды, как сейчас. Главное, чтобы отказ клиента был осознанным - после того, как ему объяснили все риски и все последствия. И вот если мошенники обманут такого клиента, подписавшего отказ от использования аппаратного генератора - он сам и должен будет нести полную ответственность. Банк сможет в суде помахать письменным отказом клиента и подтвердить, что он принял все меры для обеспечения безопасности.
Так что банк вполне может предотвратить мошенничество. Но банкам наплевать на безопасность клиентов. И будет наплевать в будущем - до тех пор, пока государство не начнёт их дрючить и не начнёт заставлять массово возвращать клиентам украденные деньги. Тогда банки наконец немного пошевелятся и закроют эту дыру в безопасности.
Ну а пока они этого не делают - могу порекомендовать только использовать для получения СМС с кодами подтверждения кнопочный телефон. Кнопочники значительно меньше подвержены таким атакам, поскольку на них нельзя поставить никакие программы (в том числе вирусы). Хотя, конечно, свои риски у них тоже есть.
