Мошенники всё чаще действуют под видом сотрудников банков, убеждая установить «приложение-помощник» или оформить «возврат средств». Их реальная цель — получить доступ к телефону и банковским счетам пользователя.
Для защиты клиентов Агентство по регулированию и развитию финансового рынка с 2023 года поэтапно внедряет требования к информационной безопасности мобильных банков. В 2025 году вступили в силу новые, более строгие меры, которые позволяют приложениям предотвращать угрозы даже в тех случаях, когда сам пользователь может не заметить опасность.
В ведомстве отметили, что теперь двухфакторная аутентификация является обязательной для всех банков. При входе в приложение необходимо не только ввести пароль, но и подтвердить личность через SMS, push-уведомление или биометрию. Это исключает несанкционированный доступ даже при утере устройства.
Кроме того, при первичной регистрации или смене пароля личность клиента теперь проверяется по биометрическим данным через Централизованный обменный идентификационный депозитарий (ЦОИД), который функционирует на базе Национальной платёжной корпорации. Такая система предотвращает возможность входа мошенников с чужими данными.
Если приложение выявит, что на устройстве активированы программы удалённого доступа или нарушена целостность операционной системы, работа приложения будет автоматически заблокирована. Это защита от ситуаций, когда злоумышленники дистанционно управляют телефоном жертвы.
Также банки обязаны соблюдать стандарты безопасной разработки и хранения кода, чтобы исключить внедрение вредоносных элементов. В каждой финансовой организации теперь должно действовать подразделение, ответственное за кибербезопасность и соблюдение актуальных требований регулятора.
В приложениях фиксируется геолокация клиента при проведении финансовых операций, что позволяет определить попытки использования чужого устройства в другом регионе или стране.
Дополнительно введён элемент кибергигиены — банки информируют пользователей о способах защиты данных и признаках фишинга, вредоносных программ и других угроз. Эти сведения представлены в самих приложениях в формате обучающих материалов.
Передача данных между телефоном и банком теперь полностью шифруется, что исключает возможность их прочтения даже при перехвате интернет-трафика.
После анализа инцидентов 2024 года Агентство усилило требования безопасности. Введена повторная аутентификация при входе с нового устройства, что предотвращает несанкционированный доступ с чужого телефона.
Если при работе приложения активен микрофон (например, во время звонка), проведение финансовых операций временно блокируется — это защита от мошенников, которые пытаются управлять действиями клиента во время разговора.
В приложениях также появился расширенный журнал безопасности, где фиксируются все технические данные: попытки удалённого управления, нарушения системы и подозрительные изменения. Эти сведения помогут банкам и правоохранительным органам оперативно расследовать случаи мошенничества и возвращать похищенные средства.
Для дополнительной защиты рекомендуется:
— регулярно обновлять приложение и систему;
— использовать биометрию и надёжные пароли;
— не устанавливать сторонние программы «для помощи от банка»;
— не передавать SMS-коды посторонним;
— проверять разрешения приложений и уведомления о списаниях;
— при подозрении на мошенничество немедленно связываться с банком;
— обучать близких распознаванию мошеннических схем;
— использовать антивирус и включать блокировку экрана.
