Как распознать опасные кредитные приложения?

Взломы, аутентификации, пин-коды и странные звонки

12 декабря, 2019 16:27

5 мин

Сегодня, для того чтобы взять кредит, не обязательно тратить время на поход в банк. На помощь приходит онлайн-кредитование. При этом люди, которые пользуются этой услугой регулярно, предпочитают устанавливать на смартфон приложения финансовых организаций. Они удобны, сохраняют данные о пользователе и, кроме того, экономят трафик. Однако далеко не все кредитные приложения безопасны. На что обратить внимание, чтобы ваши персональные данные не оказались в руках злоумышленников?

Ориентируйтесь на издателя приложений

Прежде всего, устанавливать финансовые приложения имеет смысл из официальных магазинов Google Play и App Store, а не вручную, через APK-файлы, как это возможно в случае с Android-платформой. И нужно обращать внимание на издателя программного обеспечения (ПО). Только официальный продукт, выпущенный банком или микрофинансовой организацией (МФО), гарантирует сохранность личных данных клиента.

Избежать ошибки поможет простая проверка. Компания, предоставляющая ссуду онлайн, должна числиться в реестре Центрального банка, который есть на сайте регулятора. Также если при поиске по названию компании в результатах «Яндекса» вы видите галочку с всплывающей надписью «Организация занесена в Государственный реестр микрофинансовых организаций ЦБ РФ», значит, она работает легально. Такого рода маркировка сайтов — это совместный проект «Яндекса» и Центробанка РФ.

Продукты сторонних разработчиков можно условно разделить на два типа. Первые — это агрегаторы, которые аккумулируют продукты разных банков и МФО. При помощи такого агрегатора клиент выбирает понравившееся предложение и переходит на сайт кредитной организации, где сам заполняет заявку на кредит. Как правило, это достаточно безопасно, поскольку свои личные данные заемщик оставляет на сайте банка или МФО, а сам посредник доступа к ним не получает. Подобные приложения работают за комиссию от переходов на сайт кредитной организации или количества поданных/одобренных заявок.

Приложения второго типа — это лидогенераторы или кредитные брокеры. Многие из них выдают себя за приложения финансовых компаний, хотя на деле таковыми не являются. Отличительная черта такого рода приложений в том, что они не перенаправляют клиента, а сами просят заполнить анкету непосредственно в самом приложении. Таким образом эти приложения получают доступ к персональным данным клиента, включая его паспортные данные. И здесь возникают серьезные риски.

1. Прежде всего, надо понимать, что поскольку лидогенераторы не являются кредитными организациями, их деятельность не регламентируется Центробанком.

2. Клиент не может проверить, насколько добросовестно брокер разослал его заявку по банкам и МФО. При этом в отличие от агрегаторов, которые работают за комиссию, брокеры часто просят за свои услуги деньги с самих заемщиков.

3. Даже если рассылка была выполнена качественно, клиент рискует получить от кредитных организаций не только одобрение на выдачу кредита, но и отказ. А большое количество отказов может испортить кредитную историю. В следующий раз взять деньги взаймы окажется сложнее.

4. Наконец, самое опасное – владелец неофициального приложения может продать полученные персональные данные третьим лицам, тем же мошенникам, которые наберут на человека кредиты. Узнает он о них уже позже, когда ему начнут звонить недовольные кредиторы. Также данные могут попасть в руки «серых кредиторов», которые выдают ссуды под астрономические проценты, а потом угрожают, требуя погасить долг.

Опасайтесь взломанных устройств

Конечно, все серьезные финансовые организации заботятся о безопасности своих клиентов. Их мобильные приложения, которые разрабатываются для iOS, Android или других платформ, выполняются в безопасной среде. Тем не менее всегда лучше позаботится о своей защите. На случай кражи или утери телефон с установленным финансовым приложением должен хотя бы иметь ПИН-код.

Сегодня многие банки и некоторые МФО предлагают использовать для защиты приложений доступ по голосу или отпечаткам пальцев. Например, входить в приложение «Сбербанк Онлайн» вскоре можно будет, произнеся вслух определенную последовательность цифр. Приложение идентифицирует клиента по видео, записанному фронтальной камерой смартфона. А дактилоскопическим доступом к личному кабинету уже никого, пожалуй, и не удивишь.

Однако даже такая система аутентификации может не спасти, если устройство было взломано ранее. Такую уязвимость часто создают сами пользователи. Иногда умельцы намеренно получают к устройству root-доступ (права администратора для Android-устройств), чтобы делать бесплатные покупки в игровых приложениях, более тонко настраивать интерфейс или удалять встроенные программы. Инструкцию о том, как взломать смартфон, легко найти в интернете. Важно понимать, что это палка о двух концах: после этого злоумышленнику будет гораздо легче подключиться к вашему устройству и получить доступ к данным финансового приложения.

Автор: Андрей Пономарев, генеральный директор финансовой онлайн-платформы Webbankir