Что такое пуш уведомления банка
Push-уведомления вместо СМС: названы способы избежания хищения денег с банковской карты
Немаловажную роль, как оказалось, играет и логин, используемый при входе в мобильное приложение банка.
Прогресс не стоит на месте, и, к сожалению, относится это в том числе и к мошенникам, которые постоянно придумывают новые способы похищения денег с банковских карт. Но если хакеры научились находить уязвимости в программном обеспечении приложений, то остальные данные, упрощающие проникновение в личный кабинет, по незнанию могут раскрыть сами клиенты банка. Как этого избежать, рассказал специалист по безопасности банковских систем Positive Technologies Максим Костиков.
«К сожалению, сейчас часто происходят утечки банковской информации с данными карт и персональными данными клиентов. Зная эту информацию, злоумышленник может воспользоваться функционалом восстановления доступа к личному кабинету. Сейчас обычно для этого требуется номер телефона и карточные данные», — приводит его слова РИА «Новости».
Мошенники придумали новый способ обмана россиян при бронировании отелей
Так, например, мошенники могут перехватить СМС с одноразовым кодом и изменить аутентификационные данные клиента в приложении. При этом у злоумышленников могут возникнуть трудности с вводом логина, однако часто он совпадает с номером телефона пользователя. Поэтому специалист советует поменять его на более безопасный. Кроме того, Костиков порекомендовал по возможности переключить СМС на push-уведомления, которые перехватить гораздо сложнее.
«Для нивелирования данных угроз банкам необходимо добавить дополнительный фактор аутентификации при восстановлении доступа, а именно кодовое слово, генерировать произвольные имена пользователям и разрешать их менять, добавить функционал подтверждения переводов только по push», — отметил эксперт.
Появились новые схемы обмана при продаже квартир: на чём теряют деньги продавцы и покупатели
Но даже если прогрессивный мошенник завладел вашим логином, перехватил СМС и всё же проник в личный кабинет банковского приложения, то антифрод-система банка, вероятнее всего, заметит подозрительную активность и не позволит злоумышленнику похитить денежные средства со счетов, добавил Костиков.
Как российские банки оповещают об операциях Статьи редакции
Они обязаны делать это по закону, но он оставляет им возможность брать за услугу деньги, даже если это происходит через push-уведомления.
В январе блогер и IT-консультант ФБК Владислав Здольников обратил внимание на то, что стал получать от «Альфа-Банка» по совершённым операциям не SMS-уведомления, а push-уведомления от приложения банка. Сначала он предположил, что банк решил сэкономить сам и позволить экономить клиентам, переведя их на бесплатную функцию. Однако оказалось, что и push-уведомления по операциям для него были платными, так как входили в пакет платной услуги.
По федеральному закону «О национальной платёжной системе», который регулирует в том числе ряд обязанностей действующих в России коммерческих банков, с 1 января 2014 года банки обязаны уведомлять своих клиентов о всех совершаемых операциях. Происходить это должно «путём направления клиенту соответствующего уведомления в порядке, установленном договором с клиентом» — то есть банк сам решает, как ему это делать.
Тогда, в 2014 году, обязательное требование уже вызывало небольшую неразбериху как среди банков, так и их клиентов. Некоторые банки подумали, что теперь они обязаны рассылать SMS-сообщения — и после того, как стали слать их миллионами, пожаловались на резко выросшие ценники на каждое отправляемое SMS, которые выставляют им операторы или SMS-агрегаторы. Последние, кстати, демпинговали операторов, предлагая банкам более выгодные цены за SMS — но за это иногда сливали спамерам базы номеров их клиентов.
Чтобы компенсировать затраты, банки делали функцию SMS-оповещений платной. Некоторые пользователи встали в принципиальную позицию: как так, ведь банк обязан предоставить эту услугу, почему надо платить за то, что полагается по закону? Но платность услуги не противоречит закону: если клиент по какой-то причине не мог получить уведомление об операции по SMS, банки обещали предоставить его, например, в виде бумажной выписки в отделении или через банкомат — в зависимости от того, что зафиксировано в договоре.
Здольников, как и многие пользователи смартфонов, считает, что push-уведомления удобнее SMS — кроме того, в отличие от SMS они практически бесплатны для банка, поэтому по идее и услугу оповещения при помощи push-уведомлений логично делать бесплатной. И хотя банки существуют в конкурентной среде и стараются сделать сервис удобным для клиентов, чтобы удерживать их у себя, в вопросе «SMS или push, платно или бесплатно» нет консенсуса даже спустя четыре года после введения нормы закона.
Во-первых, push-уведомления работают не на всех смартфонах, а ещё могут прийти не всегда: интернет может быть недоступен, а при приёме сотового сигнала SMS будет доставлено. Банки могут специально объединять функции в одну услугу, чтобы при переходе между технологиями всё равно гарантировать себе компенсацию расходов на SMS-биллинг. Во-вторых, платность или бесплатность определённых функций используется для маркетинга: банки специально создают разные тарифы обслуживания, в одних делая все дополнительные функции опциональными и платными, но уменьшая стоимость обслуживания (или делая его бесплатным), а в других внося дополнительные функции внутрь стоимости тарифа и делая его якобы «комфортнее». А ещё тарифы могут иметь одинаковые названия, но разные наборы услуг в зависимости от того, дебетовая карта или кредитовая — вот и Здольников оказался в такой ситуации, когда сотрудники поддержки «Альфа-Банка» в приложении и в Твиттере сообщали ему разную информацию о стоимости услуги.
Мы изучили общие договоры нескольких банков из верхушки рейтинга Banki.ru на предмет того, через что они обязуются слать оповещения об операциях и платные ли у них push-уведомления. Оказывается, в договорах этот момент иногда прописывается довольно обтекаемо — например, так, что банк в общем-то и не обязан оповещать клиента, услуга оказывается по его желанию — а банки в основном делают оповещения платными (или включают её в более дорогие пакеты услуг), хотя для них это далеко не так затратно, как SMS-оповещения. Зато всегда можно бесплатно получать уведомления обо всех операциях, которые проходят не при использовании непосредственно карты, а при совершении оплаты через сервисы вроде Apple Pay или Samsung Pay.
В договоре общего банковского обслуживания Сбербанка (можно скачать с этой страницы) указано, что оповещения об операциях можно получить в виде SMS или push-уведомлений при подключении услуги «Мобильный банк» для сервиса «Сбербанк Онлайн» — так же называется и мобильное приложение банка. Нигде в пользовательских инструкциях или PR мобильного приложения не говорится, что эта услуга платная, и её тарифы (их можно найти внизу этой страницы по ссылке) довольно запутаны.
В договоре прописано, что оповещения об операциях происходят при активации этой услуги. Если пользователь включит push-уведомления, то оповещения будут приходить через них — но если выключит, то будут приходить через SMS.
Услуга называется «SMS-банк» — в неё, несмотря на название, входят и SMS-уведомления, и пуши. Для всех карт она стоит одинаково — 39 рублей в месяц (а у кредитных 59 рублей в месяц ) — и включается опционально в настройках приложения.
При этом в условиях комплексного банковского обслуживания «Тинькофф-Банка» говорится, что оповещение об операциях — это «сервис Банка, подключаемый по желанию Клиента», а чтобы этот сервис корректно работал, клиент должен сам позаботиться о том, чтобы его устройство корректно принимало SMS и пуши.
Для всех карт «Открытия» существует единая услуга информирования об операциях под названием «SMS-инфо». На её странице нет информации о том, сколько она стоит, потому что стоимость зависит от тарифа, а также не говорится, можно ли получать уведомления не через SMS, а через пуши от приложения.
На сайте ПСБ можно найти отдельный документ о том, как банк выполняет требование ФЗ по информированию клиентов. Необходимость в таком документе объясняется так: по закону клиент имеет право отменить операции, о которых банк его не уведомил, и на это ему даётся сутки с момента совершения операции. Поэтому ПСБ в специальном приложении к приказу прописал, что уведомляет пользователя об операциях либо в личном кабинете на сайте, либо через электронную почту, и обязанность пользователя — самому проверять сайт и почту не реже раза в сутки.
В условиях оказания услуг «Рокетбанка» прописано, что для оповещения об операциях они могут использовать push-уведомления или SMS, но нет информации, как это происходит и сколько это стоит. Поскольку карты «Рокетбанка» обслуживаются «Открытием», правила размещены на сайте его дочернего банка «Точка».
В правилах указано, что пользователь карты «Открытие | Рокет» может включить push-уведомления для получения информации о совершённых операциях, но если такие уведомления у него выключены или не доходят, то банк «вправе направить Клиенту СМС-сообщение аналогичного содержания без взимания дополнительной платы» — но не обязан.
Банки начали заменять СМС для своих клиентов push-уведомлениями
Крупнейшие банки в России не более двух лет развивают push-уведомления — альтернативный СМС способ рассылки сообщений с информацией, например, об остатке по счету или с паролем для совершения онлайн-покупок. Опросив банки из топ-10, РБК обнаружил, что у некоторых из них доля push уже достигает 30%.
Почему банкам выгоднее рассылать push-уведомления, но полностью отказаться от СМС они пока не могут, разбирался РБК.
Какова доля push-уведомлений
Как банки информируют клиентов
Согласно российскому законодательству банки должны информировать клиентов о задолженности и остатке лимита кредитования при совершении каждой операции по карте. Для этих целей в первую очередь используется рассылка СМС, однако примерно год-два назад банки начали активно внедрять альтернативный канал информирования — push-уведомления. Для их получения необходимо выбрать данный способ информирования как основной, а также установить на устройстве мобильное приложение своего банка и иметь подключение к интернету. Банку, в свою очередь, нужно договориться с Apple и Google как владельцами основных магазинов приложений о возможности отправки подобных сообщений, а также с компанией-посредником, которая будет их доставлять (это могут быть, в частности, ИТ-компании или сотовые операторы). Если после выбора push-уведомления по каким-то причинам у клиента не будет технической возможности получить его, ему придет резервное СМС.
Чем привлекательны push-уведомления
Банки платят сотовым операторам за отправку каждого СМС. За последние несколько лет эта плата выросла примерно с 0,03 до 0,7–1 руб. за СМС, рассказали РБК два участника рынка. Всего в 2018 году банки потратили на рассылку СМС около 20 млрд руб., оценила компания AC&M Consulting.
Для клиентов услуга push-уведомлений стоит столько же, сколько информирование через СМС (некоторые банки предоставляют эту услугу бесплатно). При этом рассылка сообщений через канал push обходится дешевле, сообщили сразу несколько представителей банков. По словам начальника отдела электронного бизнеса Райффайзенбанка Варвары Курниковой, без использования канала push Райффайзенбанку пришлось бы платить за информирование клиентов на 20–25% больше, чем сейчас. МКБ удается экономить за счет push-уведомлений около 15% затрат на информирование. «Push-уведомления являются бесплатным инструментом коммуникаций, поэтому мы планируем наращивать их объем», — отметил начальник управления развития дистанционного банковского обслуживания МКБ Алексей Курзяков. Представитель ВТБ сообщил, что для них стоимость push-уведомлений в несколько раз ниже, чем СМС. Руководитель департамента развития онлайн-каналов Альфа-банка Дамир Баттулин назвали экономию «существенной».
Как рассказал РБК Руслан Гурджиян, гендиректор «Сбербанк Телекома» («дочка» банка, которая оказывает ему услугу рассылки СМС, push-уведомлений и ряд других), клиенты все чаще используют смартфоны и мобильные приложения, что позволяет использовать push-уведомления, которые по своим пользовательским характеристикам превосходят СМС и обладают набором дополнительных функций. «Они содержат более полную информацию о платеже: логотип компании, сумму и время совершения транзакции. Push-уведомления рассылаются по защищенным каналам передачи информации в зашифрованном виде и до 90 дней хранятся в приложении, то есть, если клиент сменил свое мобильное устройство, информация об операциях все равно будет под рукой», — отметил глава «Сбербанк Телекома». «Push — очень перспективный и относительно дешевый канал, который позволяет намного интереснее взаимодействовать с клиентами. Например, можно добавлять логотипы торговых точек, иллюстрации и т.д., что повышает информативность сообщения в отличие от СМС. Кроме того, канал push является более безопасным с точки зрения возможности перехвата информации третьими лицами», — согласна Курникова.
Смогут ли банки полностью отказаться от СМС
По словам аналитика AC&M Consulting Оксаны Панкратовой, полностью отказаться от СМС банки не смогут. Она напомнила, что для отправки push-уведомлений должны одновременно соблюдаться три условия: наличие смартфона, установленного на него приложения банка и подключение к интернету. «На данный момент в России проникновение смартфонов составляет около 70%, и есть много мест, где не работает мобильный интернет, поэтому канал push не дает 100-процентной гарантии доставки сообщения», — отметила Панкратова. При этом у «Сбербанк Онлайн» сейчас 46 млн активных пользователей. Приложением Альфа-банка активно пользуются 68% клиентов банка, у МКБ — около 70%, у ВТБ — более половины активных клиентов, но абсолютные показатели в этих банках не назвали.
«Альфа-банк намерен планомерно увеличивать долю push-уведомлений. Мобильное приложение становится основным и самым удобным для клиента каналом коммуникации с банком», — отметил Дамир Баттулин. До «максимально возможной» намерены увеличить долю push также в Райффайзенбанке и в банке «Открытие». «Мы стремимся полностью перейти на сервис push-уведомлений как на наиболее современную технологию», — сказал представитель ВТБ. Представители остальных банков не ответили на соответствующий вопрос РБК.
Push или СМС — глазами безопасника
Что лучше — Push или SMS для того, чтобы получать оповещения на мобильный банк? В чем преимущества и недостатки каждого из способов? Что выбрать для себя и что более безопасно? Ответ не требует длинных рассуждений и очень прост.
Банки и те, кто зарабатывает на них, активно продвигают технологию Push взамен привычным SMS.
Банки понять можно. Для них Push уведомления — очень выгодно и замечательно. Коротко пробежимся по плюсам для них, чтобы понять где для нас польза а где вред.
Почему банкам Push выгодны
Первая причина — они практически бесплатны. На памяти еще иски банка «Тинькофф» к мобильным операторам с требованиями понизить цену одного SMS сообщения. Речь там шла о суммах в миллиарды рублей. Неудивительно — каждый вход в систему, каждый перевод, каждое изменение данных — по каждому из этих поводов банк шлет СМС и за каждое из них мобильные операторы снимают деньги.
Даже если тарифы для банков щадящие (а они действительно ниже — объемы же просто космические!) — все равно это выливается в огромные суммы. И хотя банки берут с клиентов деньги за SMS-уведомления, например уже названный выше «Тинькофф» на ряде тарифов берет 59 рублей в месяц, но конечно же экономически эффективней для банка взять эти деньги и… ничего не иметь по части расходов.
Второе — все Push практически остаются внутри банка. То есть банк создал сообщение — отправил его через шлюз и это сообщение оказалось внутри приложения. Красота! В полиции вам, если что, смогут предоставить распечатку с SMS за любой период времени, даже если в телефоне у вас они не сохранились. А вот с Пушами такой номер не пройдет.
Ну как — пойдете судиться с банком, если у него всё на Push’ах?
Как банки убеждают что Push уведомления лучше чем SMS
Доводы банкиров вполне резонные:
Правда есть нюанс — пуши работают только тогда, когда есть интернет. Если вы оказались где-то вне зоны доступа, банк пришлет обычный SMS.
Что выбрать — Push или SMS с точки зрения безопасности
Если хочется защиту, то лучше выбрать SMS. Но симкарту, привязанную к банкам, госуслугам и прочим критичным областям, держать в обычном кнопочном телефоне, где нет интернета. А уж интернет гоняйте на смартфоне с другой симкой.
Давайте посмотрим что случится в этом случае:
Конечно останутся еще варианты взломать ваш личный кабинет в банке, но это уже другие пути. И по-хорошему, даже для того, чтобы в взломанном личном кабинете поменять ваш номер для получения уведомлений, им потребуется сначала прочитать код со старого…. в общем та еще морока.
Важное заключение
На этом месте хочу сделать пометку — 100% безопасности не существует. Всегда остается шанс вас взломать и украсть ваши данные. Но совсем нехитрые меры могут вынудить преступников искать другую, более легкую жертву, чем возиться с вашим кнопочным телефоном. Это им не коды от Пятерочки взламывать. Делайте выводы!
Почему банки отказываются от SMS-уведомлений
Канал «Я работаю в банкомате» о будущем оповещений от банков.
Как всё начиналось
Надо сказать, что тогда не было каких-то готовых решений, и я пользовался простым способом отправки уведомления — через сервис доставки электронной почты посредством SMS. То есть моё приложение отправляло оператору сотовой связи обычное email-сообщение, оператор отправлял на нужный номер телефона его содержимое в виде SMS.
У такой рассылки был один побочный эффект: я жутко возненавидел эсэмэски! Потому что теперь для меня входящая эсэмэска означала, что скорее всего что-то сломалось и нужно бежать разбираться.
Тем не менее это было очень удобно. И в других офисах, нашего банка тоже начали пользоваться схожими решениями. А потом об этом узнали в подразделении занимающимся развитием банковских карт и внедрили новую услугу — SMS-уведомления.
Они решили точно так же отправлять сообщения о движениях по пластиковым картам через этот бесплатный email-sms шлюз, а с клиентов брать за это 30 рублей в месяц.
Удивительно, но это работало!
Несколько месяцев, а потом сотовый оператор заблокировал адреса банка за спам. Но к этому времени, было придумано новое решение — SMS-уведомления стали рассылаться с помощью специального устройства — терминала сотовой связи.
Такой способ работал великолепно! Гораздо надежнее чем отправка сообщений по электронной почте. Но было очень дорого: платить приходилось за каждое сообщение по тарифам сотовой связи для юридических лиц, а там SMS-уведомления были дороже чем для обычных граждан.
Поэтому, когда операторы связи, наконец, смогли предложить услуги по рассылке SMS-сообщений без использования сотовых модемов, то банки были очень счатливы.
Правда, похоже время SMS-уведомлений подходит к концу и скоро их заменят push-уведомления.
Почему банки отказываются от SMS и переходят на push-уведомления
Пример push-уведомлений, которые рассылает Сбербанк. Источник изображения: sberbank.ru Например, банк ВТБ в ближайшее время планирует полностью перейти на технологию push. Об этом рассказал порталу Plusworld рассказал руководитель департамента цифрового бизнеса, старший вице-президент ВТБ Иван Пятков.
В первую очередь, PUSH-уведомления будут доступны клиентам мобильного приложения ВТБ-Онлайн. Такой вид коммуникации может использоваться для информирования о проводимых операциях, для сообщений о персональных предложениях банка и имеет явные преимущества по сравнению с СМС.
Чем push-уведомления лучше эсэмэсок?
Среди преимуществ push-уведомлений можно выделить следующие:
Редакция «Клерка» получила информацию от источников в ФНС о том, что в 2022 году налоговики начнут массово снимать расходы компаний.
Чтобы подготовить вас к непростому 2022 году, «Клерк» оперативно разработал уникальный курс по защите при налоговых проверках. Записаться и получить подарок тут.