Rose debug info
---------------

Сбербанк и Caller ID

Мне недавно один раз позвонили мошенники «из Сбербанка» и я задумался о способе борьбы с ними

Проблема

У клиентов Сбербанка есть частая проблема. Им звонят мошенники и пытаются средствами социальной инженерии украсть деньги: или узнать пароли, или уговорить совершить перевод.

Почему это происходит именно со Сбербанком (мои предположения):

  • У Сбербанка больше клиентов, чем у других банков. Если у человека есть какая-то карта, то наиболее вероятно это будет Сбер.
  • У Сбербанка больше всех незащищенных от мошенничества клиентов: с недостаточным образованием или пожилых, плохо разбирающихся в технике, — их легче обмануть.
  • У Сбербанка были дополнительные векторы атаки — сомнительные с точки зрения безопасности сервисы, типа СМС-банка. СМС-банк — очень стремная штука, никогда не пользуйтесь ей.

Как пытаются решить проблему сейчас

Люди и банк пытаются решить проблему с разных сторон. Пользователи — учатся отличать мошенников от банка (благо это несложно: если звонят — в 99% это мошенники), а банк борется с номерами и пытается их блокировать.

Высказываются и совсем экстремальные способы, например, перевести всех на чат и рассказывать всем, что банк вообще не звонит. Мне кажется, это будет работать не очень хорошо. В этом способе не решается главная проблема: как донести всем 100% клиентов, что банк не звонит? Как их к этому приучить? Как сделать реакцию «позвонили — мошенники» уверенной?

Банк может обучать своих клиентов (и делает это), но обучение затратно для клиентов по ментальным усилиям, часто они хотят просто пользоваться банком, а не обучаться ещё и тут. И опять же, пожилых часто обучать сложнее, чем молодых (простите за такой вот эйджизм). Особенно легко проверить, когда по телефону обращаются по имени-отчеству.

Мое решение

Сбербанк может встроить в своё мобильное приложение определитель мошеннических номеров и будет подставлять их на экран звонка через Caller ID. Caller ID — специальное API, через которое можно определять номер телефона, добавляя к нему какую-то внешнюю информацию.

Многие приложения и сервисы так уже делают:

  • Яндекс: определяет входящие номера, показывает название ресторана, кафе или магазина, отдельно помечает соцопросы и мошеннические звонки.
  • Хантфлоу: при звонке кандидата рекрутеру определяется номер телефона и рекрутеру напоминают кто звонит и по какой вакансии.
  • AmoCRM: при входящем звонке номер проверяется по CRM-базе и менеджеру по продажам показываются данные о контакте.

Выглядеть это будет примерно так:

Работоспособность решения

Почему это вряд ли будет работать у Яндекса, 2Гиса или Касперского так хорошо, как Сбербанк.

Желание и цель: Решение такой задачи на очень высоком уровне не в интересах Яндекса, 2Гиса или Касперского. У них просто нет необходимости убиваться и очень легко остановиться на уровне «удовлетворительно».

У Сбербанка — безопасность денег клиентов одна из важнейших задач, её всегда так или иначе будут решать: антифрод-алгоритмами, машинным обучением, — можно добавить ещё один способ.

Ресурсы: У Сбербанка так или иначе собирается база номеров: их ИБ-подразделение разбирает инциденты. Сбербанк может собирать номера из обращений и по отзывам в соцсетях. Да и просто о фактах мошенничества и номерах телефонах клиенты сообщают именно Сберу, а не Яндексу.

В интересах Сбербанка иметь максимально полную базу мошеннических номеров. Откуда Яндекс возьмет такую же полную базу номеров — непонятно.

Доступность для целевой аудитории: Своё приложение Сбербанк может и будет продвигать активней, чем приложение Яндекса (приложение Яндекса очевидно не будет вообще). Яндекс же тоже не станет убиваться и стараться для Сбера.

У Сбера есть канал распространения, выход на клиентов, он даже знает, кому можно советовать приложение в первую очередь, — тем кто предположительно находится в зоне риска.

Выгода: Яндексу решение этой конкретной задачи непонятно зачем.

Сбербанк же, решая задачу, защищает деньги клиентов (и свои) и экономит на разборе инцидентов, снижая их количество. Сбербанк делает жизнь клиентов лучше → клиенты любят банк → банк экономит на маркетинге.

Преимущество решения

В отличие от простого обучения «Как определить мошенников» эта схема может сработать даже с теми, кто в зоне риска.

Я уверен, что многие молодые люди установят и настроят приложение на телефонах своих родителей, дедушек и бабушек, — затрат не требует, а дополнительный уровень защиты есть. Одно дело учить «не отвечай никому, кто звонит из банка», другое дело на телефоне перед звонком показывается

«❌ ❌ ❌ Возможно, мошенники ❌ ❌ ❌».

Замечания параноика. Лучше сделать определитель и встроенным в мобильный сбербанк онлайн (чтобы не ставить отдельное приложение, тем у кого уже есть мобильный банк), и отдельным приложением (те, кто не хочет ставить сбербанк-онлайн смогут установить себе только определитель).

Вместо вывода

С моей точки зрения, это не очень сложно для мощной команды Сбера. Но если я хорошо гуглил, этого нет.

Я не очень верю, что Сбер не рассматривал такой способ, видимо отказался. Почему? Что я не учел? Где схема ломается?

Поделиться
Отправить
Запинить
Подписаться на блог…
7 комментариев
Andrew Petrushenko 2020

Миш, а что делать тем, кто не пользуется смартфоном и приложением? В моем ближайшем окружении таких людей минимум трое.

Михаил Озорнин 2020

Для них все останется как сейчас.

Моё решение, насколько я понимаю, не должно сделать кому-то хуже, не должно решить всех проблем, но кому-то снизит риски.

Валентин Филиппов 2020

Телефонные номера сейчас очень легко покупать новые, можно делать это каждую неделю или вообще каждый день. Так что есть риск, что их невозможно будет успевать заносить в базу мошенников.

Мне кажется, проблему должен решать банк у себя, добившись того, чтобы данные о клиентах не утекали. Ведь их сливают сотрудники за деньги.

Михаил Озорнин 2020

Конечно, есть риск. Конечно это не гарантия защиты. Конечно, это не единственное решение, которое стоит делать банку. Я нигде такого и не писал вроде бы.

Ilya Birman 2020

Позвонивший сотрудник банка:
— Добрый день, это Валерий из Сбербанка. Скажите, у вас высветилось сообщение, что звонят мошенники?
— Э... да...
— Спасибо. Мы тестируем новую систему, чтобы автоматически предупреждать вас о мошенниках. Сейчас я звоню вам из банка, но в будущем если увидите такое предупреждение будьте осторожны.
— Хорошо.
— У вас есть ещё минута? Есть ещё кое-что, что мы предлагаем сделать для защиты вашего счёта...

(И далее любой бред.)

Lutov Peter 2020

Все инструменты борьбы уже есть, другой вопрос работают ли они. Проблема чуть в иной плоскости. Раскрываемость таких преступлений не очень высокая. Чем выше раскрываемость тем ниже активность.

Евгений Степанищев 2020

Кажется во фразе ошибка какая-то: «Почему это вряд ли будет работать у Яндекса, 2Гиса или Касперского так хорошо, как Сбербанк.»

Валентин Филиппов 2020

Тут проблема в том, что вводя подпись «мошенники», мы можем дать людям ложную уверенность в том, что если уж там НЕ написано «мошенники», то это вполне честный звонок. А это хуже, чем сейчас)

muxhax 2020

Эмм... А на каком этапе рассмотрения способов борьбы с звонковыми мошенниками был отсеян метод «гугловская звонилка», в которой (в современных, начиная с какой-то версии) можно любой номер выделить (если звонок таки прорвался), заблокировать (более он сюда не дозвонится) и пометить как спам (номер попадёт в базу данных спам-номеров гугла, и всем остальным юзерам «гугловской звонилки» этот номер впредь тоже не сможет дозваниваться)?

muxhax.