МВД советует не использовать биометрию для входа в банковские приложения

[Afina]

МВД советует россиянам не использовать биометрию для входа в банковские приложения. В ведомстве рекомендуют отдавать предпочтение сложным паролям и надёжному антивирусу. Также там напоминают: данные банковских карт — номер, срок действия, CVC/CVV и ПИН — не стоит хранить в памяти смартфона или в легко доступных заметках.

Рекомендация МВД об отказе от биометрии для входа в банковские приложения является предупредительной мерой на фоне растущих киберугроз, но это лишь часть общей картины безопасности. Чтобы понять её обоснованность, стоит рассмотреть обе стороны вопроса.

Чем опасна биометрия: аргументы МВД и экспертов

Основные риски, связанные с биометрической аутентификацией, которые, вероятно, и стали причиной рекомендации МВД, заключаются в следующем:

· Неизменяемость данных: В отличие от пароля, который можно сменить в случае утечки, отпечаток пальца или лицо изменить нельзя. Если мошенники создадут цифровой шаблон ваших биометрических данных, это может создать долгосрочную угрозу.
· Риски утечек и целевые атаки: Централизованные базы биометрических данных — лакомый кусок для хакеров, и их взлом может иметь масштабные последствия для миллионов людей. Известны случаи, например, утечка из платформы BioStar 2, в результате которой оказались скомпрометированы отпечатки пальцев и сканы лиц более миллиона человек.
· Уязвимость к социальной инженерии: Согласно данным Генпрокуратуры, большая часть краж совершается не через технический взлом, а с помощью манипуляций (социальной инженерии). Мошенники могут под видом сотрудника банка или госоргана убедить самого человека пройти биометрическую верификацию для перевода денег или получения кредита. В этом случае даже самая совершенная защита бессильна.
· Технические сбои и ложные отказы: Биометрические системы иногда не распознают владельца из-за изменений во внешности (пластические операции, синяки), плохого освещения или нестабильного соединения с сетью.

Реальна ли опасность? Примеры из практики

Риски — не просто теоретические опасения. Вот как они проявлялись на практике:

· В 2021 году в России мошенники, получив доступ к аккаунту на «Госуслугах», оформили на гражданина микрозайм, подтвердив личность с помощью украденных биометрических данных (голоса и лица).
· Уже упомянутая утечка данных из BioStar 2 показала, что биометрические базы уязвимы, и последствия их взлома могут быть глобальными.
· Мошенники активно используют технологии дипфейков для создания поддельных видео- и аудиопрофилей, чтобы обмануть биометрические системы или представиться ключевым сотрудником компании.

Доводы в пользу биометрии: позиция банков

Банки, активно внедряющие биометрию, приводят контраргументы, основанные на статистике:

· Высокая эффективность: По данным одного из госбанков, у клиентов, подключивших государственную биометрию, количество краж со счетов в первом полугодии 2025 года составило лишь 0.0025%. Их антифрод-системы, основанные на распознавании лица, блокируют почти 100% попыток мошенничества при операциях.
· Удобство и скорость: Биометрия устраняет необходимость запоминать и вводить сложные пароли, что упрощает пользовательский опыт.
· Сложность подделки: Современные алгоритмы распознавания лиц с высокой точностью (до 99.74%) способны отличить живое лицо от фотографии или сгенерированного изображения.

Что выбрать: рекомендации по безопасности

Чтобы принять взвешенное решение и максимально обезопасить свои финансы, обратите внимание на следующие правила.

Основы цифровой гигиены:

· Не храните на телефоне (в заметках, фото) данные карт: номер, срок действия, CVC/CVV и ПИН-код.
· Установите надежный антивирус и сложный пароль для разблокировки устройства.
· Не переходите по ссылкам в подозрительных СМС или сообщениях, даже если они якобы от банка.
· Отключите предварительный просмотр текста сообщений на заблокированном экране.
· Никому и никогда не сообщайте одноразовые коды из СМС, срок действия карты и CVC/CVV-код.

Как безопасно использовать биометрию (если вы решили ее применять):

· Используйте ее как один из факторов защиты, а не единственный. Идеально сочетать биометрию с паролем или одноразовым кодом (многофакторная аутентификация).
· Подключайте биометрию для входа только в официальные приложения крупных, проверенных банков.
· Обращайте внимание на контекст. Если вам поступает неожиданный звонок с просьбой срочно пройти биометрическую проверку для «сохранения средств» или «блокировки мошенников», — это обман. Положите трубку и позвоните в банк по официальному номеру.
· Помните, что для перевода денег обычно достаточно номера телефона и имени через СБП. Никогда не сообщайте полные реквизиты карты незнакомым людям.


Выбор между биометрией и паролем — это поиск баланса между удобством и безопасностью. В текущих условиях рекомендация МВД отражает подход «безопасность превыше всего». Для повседневных операций в знакомой и контролируемой среде (ваш личный телефон с защитой) биометрия может быть удобна и достаточно надежна. Однако в ситуациях повышенного риска (использование общественного Wi-Fi, звонки от неизвестных лиц) стоит отдавать предпочтение многофакторной аутентификации с паролем.

[Afina]

Подробнее о том, как именно мошенники используют социальную инженерию для кражи денег, даже не взламывая аккаунты

Социальная инженерия — это искусство манипуляции людьми с целью получения конфиденциальной информации или совершения определенных действий. Ключевой момент: мошенник заставляет саму жертву передать деньги или доступ к счетам, обходя технические защиты. Вот подробный разбор самых распространенных схем, основанных на данных из отчетов ЦБ РФ, МВД и примеров из судебной практики.

Текущие и самые опасные схемы (2024-2025 гг.)

Эти схемы максимально персонализированы и построены на создании экстренной ситуации.

1. Звонок «из банка» или «из полиции» с угрозой

· Сценарий: Вам звонит «сотрудник службы безопасности банка» (или «следователь МВД»). Он сообщает, что на вашу карту пытаются оформить кредит/с вашего счета идут подозрительные переводы. Для «защиты» или «блокировки счета» нужно выполнить ряд действий.
· Развитие: Мошенник вызывает у вас панику, создавая ощущение, что действовать нужно немедленно. Далее возможны два пути:
· Через установку ПО: Вас просят установить на телефон программу «для защиты» (AnyDesk, TeamViewer) под предлогом удаленного «помощника». На деле это троян, который дает злоумышленнику полный контроль над устройством. Он сам переводит деньги, пока вы смотрите на экран.
· Через социальную инженерию: Вас просят пройти «верификацию» — назвать коды из СМС, голосом подтвердить операцию («Да, я согласен на перевод»), или даже сделать селфи с паспортом. Этого достаточно для оформления кредита или перевода.

2. Компрометация номера телефона (SIM-свопинг)

· Сценарий: Мошенники собирают ваши данные (ФИО, паспорт, часто из прошлых утечек). Затем, подделав документы, они обращаются в офис сотового оператора (или через подкупленного сотрудника) и получают дубликат вашей SIM-карты.
· Последствия: Получив контроль над номером, они могут:
· Восстановить доступ к банковскому приложению или почте через СМС.
· Подтверждать любые операции.
· Важно: Это не взлом, а обход защиты банка через уязвимость в цепочке другого сервиса — оператора связи.

3. Целевой фишинг и мимикрия

· Сценарий: Вам приходит письмо или сообщение в мессенджере, которое выглядит идеально легитимно: от коллеги, руководства, поставщика услуг. Например, «Анна из бухгалтерии. Срочно, нужно оплатить счет по договору №... Иначе штраф».
· Развитие: В письме — реальные детали (ваше имя, название компании, ссылка на договор), найденные в открытых источниках или через предыдущие утечки. Вы доверяете и переводите деньги на указанные реквизиты, думая, что исполняете рабочее поручение.

Психологические приемы, на которых строятся схемы

1. Срочность и давление: «У вас есть 5 минут, иначе счет заблокируют». Не дают времени подумать.
2. Авторитет: Звонящий представляется сотрудником госоргана, банка или технической поддержки, используя профессиональный жаргон.
3. Знание деталей: Используют ваше ФИО, последние 4 цифры карты, адрес — данные из слитых баз, чтобы выглядеть убедительно.
4. Эмоциональный маневр: Переключают со страха на облегчение. Сначала пугают кражей, затем предлагают «простое решение» — установить программу или назвать код.

Как защититься: золотые правила

Эти правила — ваша главная защита, так как они направлены против манипуляций.

1. Никогда, никому и ни при каких обстоятельствах не сообщайте коды из СМС, Push-уведомлений, одноразовые пароли. Это железное правило. Настоящий сотрудник банка никогда не спросит у вас эти коды.
2. Никогда не устанавливайте программы по просьбе звонящего (AnyDesk, TeamViewer, Zoom и т.д.) для «защиты» или «удаленного доступа». Это 100% признак мошенничества.
3. Повесьте трубку на любом подозрительном звонке. Если волнуетесь, перезвоните в банк самостоятельно по номеру с его официального сайта или с обратной стороны вашей карты. Не перезванивайте на номер, с которого вам звонили.
4. Не верьте Caller ID. Номер на экране можно подделать (спуфинг). Даже если звонок якобы с номера банка, это может быть мошенник.
5. Защитите SIM-карту: В офисах сотовых операторов установите дополнительный кодовый пароль (ПИН-код) для любых операций по обслуживанию вашей SIM-карты. Это защитит от SIM-свопинга.
6. Проверяйте реквизиты переводов: При оплате «срочных» счетов от коллег или контрагентов всегда позвоните отправителю по известному вам номеру и устно подтвердите реквизиты.


Эти схемы работают, потому что атакуют не компьютер, а человеческую психологию. Самая надежная защита — это знание этих уловок и автоматическое следование правилам: «Коды никому», «Программы не ставлю», «Сам перезвоню в банк». Ваша подозрительность в данном случае — это не грубость, а главный инструмент финансовой безопасности.