Как банки не могут защитить клиентов от мошенников

Здравствуйте!
Мошенники научились получать данные клиентов через голосовых помощников банков. Многие кредитные организации до сих пор не справляются с надёжной защитой персональной информации. Что делать владельцам счетов и карт в такой ситуации?

«Просто скажите, чем я могу вам помочь»
Мошенники звонят в банк, используя программы подмены номера. Голосовой помощник не распознаёт подвох, обращается к злоумышленнику по имени-отчеству, сообщает остаток на счёте и последние транзакции. Помимо номеров телефонов, у преступников уже есть последние четыре цифры карты — этого достаточно для успешной авторизации.
Получив информацию об остатке, мошенник перезванивает владельцу карты и представляется сотрудником банка. Жертва часто верит, потому что собеседник знает конфиденциальные данные: имя-отчество, номер телефона, последние цифры карты, остаток и недавние операции.

База Joom содержала сведения о 55 тысячах клиентов из России и Беларуси — владельцах карт Сбербанка, Тинькофф Банка, Промсвязьбанка, Райффайзенбанка, Россельхозбанка, ВТБ, «Открытия», «Почта Банка» и других. После публикации утечки маркетплейс и банки заявили, что опасности для клиентов нет.
На практике базы с данными держателей карт продаются в огромных объёмах, поэтому установить точный источник конкретной утечки практически невозможно.
Дырявая защита
Одна из уязвимостей — чеки в платёжных терминалах. На них почти всегда указаны последние цифры карты и номер телефона.

— Получить слип (документ об оплате картой) — самый простой способ. Иногда там указано даже имя владельца. Выбрасывая чек, мы редко задумываемся, что эта бумажка имеет реальную ценность. Ещё один метод — отправить 1 рубль через СБП по номеру телефона.
Как банки защищают конфиденциальность клиентов? Когда голосовой помощник «общается» с мошенником, клиент фактически не участвует в процессе — он доверил свою безопасность службе информационной безопасности банка.
У всех коммерческих банков есть рекомендации ЦБ: отказаться от использования только четырёх последних цифр карты для аутентификации. В рекомендациях прямо говорится:
«Банки при обслуживании клиентов в системе телефонного банкинга в автоматическом режиме должны использовать дополнительный параметр аутентификации, например, секретный код, который устанавливается клиентом при заключении договора».
Биометрия и её ограничения
Банки только в 2026 году начали активно внедрять биометрию и пока не могут надёжно идентифицировать клиентов исключительно по голосу. Юристы отмечают: даже в этом случае мошенники находят обходные пути — например, вынуждают клиента произнести нужные фразы во время разговора, записывают их и воспроизводят голосовому помощнику.
Самим банкам невыгодно усложнять коммуникацию с клиентами, особенно при оформлении новых продуктов.
Сергей Голованов, ведущий эксперт «Лаборатории Касперского»:
— Банкам важен рост количества пользователей, оформляющих новые продукты. Когда карта уже на руках, клиенту проще назвать четыре последние цифры, чем искать паспорт. 50 % клиентов откажутся от оформления уже на этом этапе.
Младшие сотрудники часто обходят рекомендации службы безопасности, чтобы не терять клиентов. Время — деньги, и никто не хочет создавать лишние неудобства.

Как защитить себя
Эффективный способ — попросить банк идентифицировать вас только по кодовому слову, которое знаете только вы и банк. Его обычно можно установить при оформлении карты. Пока мошенники не научились массово получать такие секретные слова.
PS: небольшой бесплатный лайфхак.

- Наберите номер 900.
- Игнорируйте все предложения помощника.
- После вопроса «Чем я могу вам помочь?» скажите: «Свяжите с оператором» или просто «Оператор».
- На вопрос «Уточните суть вашего обращения» ответьте: «Отключить голосового помощника».
Эта схема работает с большинством голосовых помощников разных компаний.
До новых встреч!
Подпишитесь на рассылку
Получайте свежие новости Web3, AI и криптовалют прямо на вашу почту.