смс push что это
Безопасность в цифровых каналах. SMS и PUSH коды. Реальность России и зарубежья
Мы уже не раз говорили, что передача кодов подтверждения финансовых операций в SMS и Push уведомлениях не самый надежный способ обезопасить своих клиентов. Хочется рассказать про юридическую практику SMS и Push в нашей стране и зарубежном опыте.
Исследование «возможности отправки одноразовых кодов в системах мобильного и Интернет-банка, а также для информирования о транзакциях» в России, проведенное Центром судебных экспертиз компании RTM Group, показало, что SMS можно использовать с целым рядом оговорок. Учитывая волну мошенничества с использованием методов социальной инженерии, негативную судебную практику в отношении SMS, возросшую стоимость услуг операторов связи, то необходимо отказаться от SMS и PUSH.
Об этом также свидетельствует статистика, которую мы видим из года в год. По данным ФинЦЕРТ, за последние несколько лет более 85% хищений со счетов физических лиц происходят с использованием приемов социальной инженерии, а со счетов юридических лиц более 40%.
» data-image-author=»Дарья Верестникова» data-image-src=»https://leonardo.osnova.io/5cb34c4b-5a21-5cfe-869a-7e4d0683f7f7/»>
Объём несанкционированных операций в год
Благо, российская судебная практика сейчас всё чаще сводится к признанию SMS «неперсонифицированным» средством подтверждения. В частности, Положение Банка России от 17 апреля 2019 г. N 683‑П «Об установлении обязательных для кредитных организаций требований…» значительно повышает уровень безопасности транзакций, требуя от банков находить такие способы подтверждения, которые бы смогли обеспечить контроль целостности и авторства подписываемого документа. На данный момент это делает такие небезопасные способы подтверждения, как SMS и Push, неприменимыми при работе в дистанционных каналах.
В Европе же, с вступлением в действие в сентябре 2019 года Платежной директивы Евросоюза PSD2 (Revised Payment Service Directive), финансовый сектор начал обновление решений для аутентификации и подтверждения транзакций. Так, еще в июне 2018 года Европейский платежный союз заключил, что SMS не являются подходящим методом доставки OTP и должны быть заменены на более безопасные методы. Важным требованием является, положение о том, что данные платежной транзакции должны быть защищены на всех этапах аутентификации. И платежные операторы должны предоставить плательщику информацию о сумме и получателе платежа, опять же, на всех этапах аутентификации.
Сейчас на смену SMS и Push-уведомлениям приходят технологии мобильной аутентификации и электронной подписи, которые интегрируются с различными системами обеспечения безопасности, в частности с биометрическими системами аутентификации и антифрод-системами. Мобильная электронная подпись обеспечивает контроль целостности и авторства, формируется в результате криптографических преобразований. И, пожалуй, это – единственный верный, надежный и экономически целесообразный путь.
Push или СМС — глазами безопасника
Что лучше — Push или SMS для того, чтобы получать оповещения на мобильный банк? В чем преимущества и недостатки каждого из способов? Что выбрать для себя и что более безопасно? Ответ не требует длинных рассуждений и очень прост.
Банки и те, кто зарабатывает на них, активно продвигают технологию Push взамен привычным SMS.
Банки понять можно. Для них Push уведомления — очень выгодно и замечательно. Коротко пробежимся по плюсам для них, чтобы понять где для нас польза а где вред.
Почему банкам Push выгодны
Первая причина — они практически бесплатны. На памяти еще иски банка «Тинькофф» к мобильным операторам с требованиями понизить цену одного SMS сообщения. Речь там шла о суммах в миллиарды рублей. Неудивительно — каждый вход в систему, каждый перевод, каждое изменение данных — по каждому из этих поводов банк шлет СМС и за каждое из них мобильные операторы снимают деньги.
Даже если тарифы для банков щадящие (а они действительно ниже — объемы же просто космические!) — все равно это выливается в огромные суммы. И хотя банки берут с клиентов деньги за SMS-уведомления, например уже названный выше «Тинькофф» на ряде тарифов берет 59 рублей в месяц, но конечно же экономически эффективней для банка взять эти деньги и… ничего не иметь по части расходов.
Второе — все Push практически остаются внутри банка. То есть банк создал сообщение — отправил его через шлюз и это сообщение оказалось внутри приложения. Красота! В полиции вам, если что, смогут предоставить распечатку с SMS за любой период времени, даже если в телефоне у вас они не сохранились. А вот с Пушами такой номер не пройдет.
Ну как — пойдете судиться с банком, если у него всё на Push’ах?
Как банки убеждают что Push уведомления лучше чем SMS
Доводы банкиров вполне резонные:
Правда есть нюанс — пуши работают только тогда, когда есть интернет. Если вы оказались где-то вне зоны доступа, банк пришлет обычный SMS.
Что выбрать — Push или SMS с точки зрения безопасности
Если хочется защиту, то лучше выбрать SMS. Но симкарту, привязанную к банкам, госуслугам и прочим критичным областям, держать в обычном кнопочном телефоне, где нет интернета. А уж интернет гоняйте на смартфоне с другой симкой.
Давайте посмотрим что случится в этом случае:
Конечно останутся еще варианты взломать ваш личный кабинет в банке, но это уже другие пути. И по-хорошему, даже для того, чтобы в взломанном личном кабинете поменять ваш номер для получения уведомлений, им потребуется сначала прочитать код со старого…. в общем та еще морока.
Важное заключение
На этом месте хочу сделать пометку — 100% безопасности не существует. Всегда остается шанс вас взломать и украсть ваши данные. Но совсем нехитрые меры могут вынудить преступников искать другую, более легкую жертву, чем возиться с вашим кнопочным телефоном. Это им не коды от Пятерочки взламывать. Делайте выводы!
СМС или Push уведомления от банков?
Что такое Push-уведомления от банков? Это короткие сообщения, переданные банком через интернет напрямую в банковское приложение на смартфон клиента, запущенное при старте ОС в спящем режиме или вручную пользователем. При обычных настройках при получении Push-сообщений появляются оповещения вверху экрана смартфона или планшета. Такие сообщения могут отправлять и установленные приложения, в данном случае это официальное мобильное приложение банка с доступом в личный кабинет клиента, получившее сообщение из банка.
Push вместо СМС?
Все мы привыкли, что банки присылают клиентам СМС:
и т.д. Бессмертный призыв — «Никому не говорите код из СМС» — за ним стоят миллиарды потерянных рублей клиентов и даже сломанные судьбы.
Но за каждое СМС банку приходится платить оператору связи или СМС-агрегатору. Причем на банки и ритейл в 2018 году приходилось почти 90% всего рынка СМС-рассылок. Это большие деньги. И в 2018 году операторы стали поднимать цены на свои услуги для банков, поэтому банки стали активно искать замену СМС-сообщениям.
Чем отличаются Push от СМС, преимущества и недостатки
Если не углубляться в тонкости, нетрудно сообразить, что недостатки есть у обоих способов:
Недостатки Push
Недостатки СМС
Это понятно, но копнем чуть глубже.
Аспекты безопасности
Еще раз вспомним, что сообщения от банка могут иметь огромное значение, особенно если учесть, что это ключ ко всем вашим деньгам в банке. Более того, это еще и ключ к предодобренным кредитам, которые могут ждать вас в личном кабинете, судя по количеству случаев крупного мошенничества, проблема очень актуальная.
И всегда ключевой момент — получение сообщения от банка. Например, в этом случае кто-то привязывает свое устройство для входа в личный кабинет клиента банка: 
После этого злоумышленник привязывает свое устройство, переключается на Push-уведомления и может проделывать все операции уже без участия клиента банка, никаких уведомлений с кодами для выполнения операций (взятие кредита, подтверждение переводов) клиенту банка уже не придет. Они будут приходить уже на привязанное устройство мошенников. Поэтому довольно много случаев, когда потерпевшему никто уже не звонит, а деньги со счетов исчезают.
Если бы все эти сообщения приходили строго по СМС, то без участия клиента банка можно было бы сделать максимум 1-2 действия, на сколько хватит «социальной инженерии», достигшей больших успехов. Поэтому замену СМС на Push-уведомления считаю очень опасной тенденцией. Сначала разберемся, как работают Push и как с ними бороться.
Механизм Push-сообщений для смартфона
Если у вас нет мобильного приложения вашего банка, а тем более если у вас кнопочный телефон (не смартфон), то никаких Push-уведомлений вы не получите. Получать их можно только на смартфон с установленным приложением от банка (мобильный банк) и при наличии связи с интернетом. Допустим, смартфон у вас есть.
Посмотрим, как сделаны пуш-уведомления в приложениях от разных банков.
Сбербанк-онлайн — молодец, всё хранит
Заходим в Профиль — Настройки — Уведомления от банка, и видим движок включения Push-уведомлений вместо СМС, всё культурно, выбираешь то, или другое, я себе оставил СМС:
Но, насколько я вижу, если смартфон клиента доступен, то все равно приходят Push, а не СМС. Не исключено, что банк будет «агитировать» клиентов переходить с СМС на Push-уведомления для экономии своих расходов на СМС-рассылки. Но главное в Сбербанке, что все уведомления я могу посмотреть не только в СМС-истории в своем смартфоне, но и в приложении Сбербанка по кнопке «колокольчик» справа вверху. Ни одно уведомление не теряется, и неважно как оно пришло — по СМС или через Push — сообщение.
Проблема с Тинькофф
В Тинькофф-банке ситуация гораздо хуже. Он сам решает, что присылать. И если аппарат абонента подключен к интернету и на связи, то банк принудительно присылает именно Push-сообщения, а не СМС. Можно попросить поддержку, и если хочешь получать только в СМС, вместо пуш, они их включают, но будет сюрприз: при платежах через Интернет банк или мобильное приложение — СМС оповещение не придёт. И поддержка любезно скажет, «извините но по таким операциям мы информацию в СМС не присылаем больше совсем».
Т.е. всплывает, например, ежемесячная выписка по дебетовой карте, ты ее смотришь, но при любом следующем действии сообщение исчезает бесследно и навсегда:
Особенно это неудобно для кредитной карты, где в сообщении присутствует размер платежа для сохранения льготного периода.
P.S. 04.08.2021 появилась новая версия приложения Тинькофф с сохранением пуш-сообщений:
Как бороться с Push-уведомлениями Tinkoff
Сначала я обратился в службу поддержки банка через чат. Но там сказали что не получится. Я подумал, что можно у телефона отключить Wi-Fi и мобильную связь, тогда действительно банк присылает СМС. Но интернет нужен постоянно, этот вариант не проходит. Также я посмотрел, существуют сторонние приложения, которые сохраняют Push-уведомления. Но доверять банковские сообщения, через которые можно украсть деньги, сторонним приложениям — я бы не стал. Итого, вариантов несколько:
Итак, мы должны отключить приложение Tinkoff, его работу в фоновом режиме. Для этого в своем телефоне на Android (простой Huawei Honor) я залез в
Настройки — Батарея(неожиданно!) — Запуск приложений
и найти «Тинькофф» с желтым значком. Наверняка у него включен движок «Автоматическое управление», выключаем его:
и попадаем в блок «Управление вручную»
Выключаем все три движка влево. Готово! Теперь все сообщения от банка будут приходить в виде СМС и храниться в общем хранилище вашего смартфона.
Ведь теперь отключен автозапуск приложения, и оно не останется работать в фоновом режиме после его выключения. Поэтому Push-уведомления приходить не смогут. Но если вы сами запустили приложение вручную, пока оно работает, то Push-сообщения будут приходить вместо СМС. Можно, конечно, отключить интернет (Wi-Fi и мобильные данные), но тогда само приложение банка не будет работать.
Push в других банках
Большинство других банков сохраняют пуш-уведомления в своем приложении: Альфа-банк, Райффайзен, Восточный, ВТБ.
В ВТБ по умолчанию подтверждения операций приходят в СМС, в настройках можно перейти на Push, тогда уведомления будут сохраняться в приложении. Чтобы приходила информация об операциях по картам, нужно включать платный пакет уведомлений.
В Хоум Кредит и МКБ тоже нет принудительного впаривания пушей, коды приходят в СМС.
Новости
09.04.2021 — По данным компании DeviceLock, в даркнете за 30 тысяч долларов продан доступ к коммутатору одного из сотовых операторов. Коммутатор позволяет получить контроль над системой сигнализации SS7. С его помощью можно перехватить звонки и СМС всех провайдеров связи, с которыми у уязвимого оператора есть договор о роуминге. В их число входят и российские. Покупателем доступа, с большой долей вероятности, стал выходец из стран СНГ. Злоумышленники могут воспользоваться уязвимостью мобильной связи, чтобы перехватывать SMS-коды для авторизации в приложениях банков. С помощью SMS-сообщений злоумышленники могут войти в личный кабинет банка и использовать средства потенциальной жертвы. Название оператора сотовой связи не упоминается.
Для защиты от такого рода атак специалисты рекомендуют переключить авторизацию с СМС на push-уведомления, а также ограничить лимиты на денежные переводы.
Все, что нужно знать о рассылках ритейлеру: sms, e-mail и push
На что делать ставку компаниям при выборе способов рассылки сообщений клиентам: e-mail, sms или push-уведомления? Давайте попробуем разобраться вместе.
По данным Mediascope на март 2017 года 54 % населения РФ регулярно выходят в интернет через мобильные устройства, а 16 % пользуются интернетом только с мобильных устройств. Нарастающий тренд «мобилизации» меняет рынок и заставляет бизнес искать технологии и сервисы, которые позволят захватить и удержать внимание покупателя.
Вспомним знакомую фразу Билла Гейтса «Если вас нет в интернете, значит вас нет в бизнесе». Теперь то же самое можно сказать и о мобильных устройствах. Сегодня выигрывают компании, умеющие взаимодействовать со своими клиентами на всех устройствах. В дополнение, а может и даже на смену классическим e-mail и sms-рассылкам пришли мобильные push-уведомления.
Это сообщения, которые показываются на заблокированном экране мобильного телефона или всплывают вверху экрана, если устройство активно. Уведомления приходят мгновенно, когда пользователь подключен к интернету. Если в момент отправки сообщения пользователь находится офлайн, то все пропущенные оповещения появятся сразу после подключения к сети.
В этой статье мы сравниваем классические каналы рассылок — sms и e-mail с относительно новым, набирающим обороты — push-уведомления.
Sms, e-mail, push: что выбрать?
1. Время и деньги
Если ваша клиентская база до 1000 контактов, и вы хотите протестировать рассылку, например, новой акции, то понятное дело: тратить сотни тысяч рублей на разработку мобильного приложения, интеграцию с CRM и сервисами рассылки не стоит.
Однако, для среднего и крупного бизнеса необходимо мыслить стратегически и подбирать решения под собственные бизнес-задачи.
Рассмотрим на примере. У вашей компании клиентская база на 300 000 телефонных номеров. Необходимо всем отправить сообщение о старте сезонной распродажи. Средняя стоимость одного сообщения 1,5 рубля. Итого на одну рассылку вы потратите 450 000 рублей. А что, если ежемесячно вам нужно отправлять несколько таких сообщений? И не забудьте про ежегодный рост цен на тарифы sms.
Push выигрывает в долгосрочной перспективе по сравнению с sms-рассылками. Уведомления можно отправлять бесплатно и в неограниченном количестве. Существует готовая технология, которая позволяет удешевить и ускорить внедрение push-уведомлений — Wallet. Вам не нужно тратить сотни тысяч рублей на разработку приложения, чтобы отправлять push-уведомления клиентам. Сервис Wallet для операционной системы iOS и Android решает эту задачу.
Главное достижение технологии в том, что она обладает всеми преимуществами мобильных push-уведомлений, и не требует от пользователя установки приложения. Wallet входит в стандартное заранее установленное программное обеспечение всех мобильных устройств на базе iOS и устанавливается опционально на любое мобильное устройство Android. Разработчики программного обеспечения уже реализовали сервисы push-уведомлений на базе этой технологии. Стоимость готового решения составляет от 10 000 до 75 000 рублей в месяц с полной поддержкой и неограниченным количеством push-сообщений.
» onmouseover=»metrikaGoal(‘view_term_popup’)»> цена не является основным фактором для принятия решения. Идем дальше.
2. Доставляемость
Первый шаг воронки продаж: донести информацию до как можно большего количества целевой аудитории. Обидно, когда 30-50 % вашей базы просто не получат уведомление. Частая причина тому: попадание под спам-фильтры e-mail и sms рассылок.
Сравнение каналов по процентам доставленных уведомлений
| SMS | PUSH | ||
| Доставляемость* | 75 % | 70 %-85 % | 95 %-98 % |
Источник
3. Восприимчивость аудитории
Каналы sms и e-mail используются уже много лет. Данный формат примелькался и компании должны проявить немалый креатив, чтобы выделиться из десятков подобных коммуникаций.
Объем данных, которые ежедневно поступают на устройства пользователей через sms и e-mail рассылки существенно превышает объем push-уведомлений. Технология push относительно новая и поэтому не воспринимается как спам.
Поколение Z, представители которого родились после 1995 года и в ближайшие годы станут главными потребителями товаров и услуг, предъявляют свои требования к коммуникациям.
Формат быстрых уведомлений на экране, когда клиент за пару секунд воспринимает информацию от бренда, лучше всего соответствует проблеме концентрации внимания современного человека.
4. Законодательство
Ужесточения требований политики конфиденциальности накладывают ограничения на использование персональных данных. Отправка уведомлений по SMS и e-mail возможна только при наличии согласия пользователя. В противном случае компания рискует получить крупный штраф. Технология push позволяет владельцу смартфона контролировать от кого получать сообщения, включая или отключая опцию в один клик. Это формирует положительное отношение пользователя.
5. Точки касания
Задача уведомления — быстро донести информацию до клиента и увеличить длительность его взаимодействия с брендом.
Читать e-mail с экрана телефона не всегда удобно и, как правило, почтовые клиенты редко устанавливают на мобильные устройства. В плане коротких коммуникаций можно отметить и push, и sms. Но только на уведомлении коммуникация обычно не заканчивается. Далее пользователя пытаются перенаправить на сайт или на страницы бренда в социальных сетях. Уместить все ссылки в одном sms задача непростая — большой объем знаков увеличит стоимость сообщения.
Push-уведомления отправляют пользователя на электронную карту. Ее можно адаптировать под конкретные сценарии. Это может быть баннер с акцией или карточка товара. А может быть мини-лендинг с ссылками на сайт, социальные сети, схемой проезда и др.
6. Скорость доставки
Преимущества push-уведомлений: мгновенное оповещение клиентов о новостях, акциях и других важных событиях. Уведомление появляется на экране мобильного телефона сразу после отправки.
7. Геотаргетинг
Геотаргетинг позволяет отправлять уведомления клиентам, которые находятся в выбранном вами месте.
Предположим, вы — владелец сети магазинов. В некоторых магазинах вашей сети проходит специальная акция. Задача: отправить уведомления не по всей клиентской базе, а только тем клиентам, которые находятся рядом с магазинами, в которых проходит акция. Технология push решает эту задачу, позволяя настраивать уведомления по геопозиции. Сообщение об акции отобразится на экране телефона, когда человек будет поблизости от нужной вам локации, даже если у него не будет подключения к сети интернет.
Отправлять e-mail рассылку по клиентской базе с привязкой к гео невозможно. За настройку геотаргетинга в sms-сообщениях операторы мобильной связи берут дополнительную оплату.
8. Постоянный контакт
Данные быстро устаревают: клиент может сменить номер телефона или завести новую почту. Поддерживать актуальность данных задача трудновыполнимая. У push-уведомлений данные привязываются к электронной карте, которая является частью apple или google аккаунта. Поэтому, если пользователь поменяет номер или купит новый телефон он все равно будет получать push-уведомления.
9. Интеграция
Существует множество решений и компаний, которые предоставляют программное обеспечение с разной стоимостью, набором функций и уровнем техподдержки. Главная технологическая боль любой компании — процесс внедрение нового продукта в существующие бизнес-процессы. Как правило, это долго, дорого и не всегда проходит гладко. Российская компания OSMI Cards учла эту потребность и на базе технологии Wallet реализовала сервис электронных карт, частью которого является модуль push-уведомлений. Сервис легко встраивается в существующую CRM компании. Процесс интеграции занимает около 2 недель и готовые решения доступны для всех популярных платформ: 1C, 1C-Битрикс, Manzana, LuxRetailCRM, UCS R-keeper, Plazius, UniverseSoft, Infotex. Список поддерживаемых CRM-систем постоянно расширяется.
Умные push-уведомления. Как это работает:
Настройка и отправка маркетинговых push-уведомлений проста и интуитивно понятна. Вам остается только выбрать сегмент клиентской базы для рассылки:
Формат push-сообщений позволяет отправлять сообщения без привязки к полям карты — это значит, что на карте отображаться текст сообщения не будет. Уведомление может быть отправлено как сразу, так и в определенный день и время.
Система OSMI Cards позволяет привязать к каждой карте до десяти точек геолокации. Суть опции состоит в следующем: когда клиент оказывается в радиусе до 300 метров от установленной точки, ему приходит push-уведомление, например, «Заходите к нам! У нас для вас подарок». Как только клиент выходит из радиуса действия точки геолокации, уведомление автоматически исчезает.
Технология электронных карт не ограничивается только push-уведомлениями. Решение предоставляет широкие возможности для бизнеса: электронные карты лояльности, электронные купоны, chop-карты, электронные билеты и визитки. Клиенты компании на практике убедились в эффективности инструмента.
Сеть аптек «ЛекОптТорг», которая насчитывает 86 аптек в Санкт-Петербурге и Ленинградской области.
Своими результатами поделился интернет-маркетолог Пиньженин Алексей: «Мы регулярно оповещаем наших покупателей об актуальных акциях, используя push-уведомления. И после отправки push в нашей 1С видим прирост количества покупателей».
Сеть магазинов брендовой одежды Affliction регулярно проводит push-рассылки с привязкой к гео.
«Еженедельно отправляем рассылку с акциями клиентам, которые находятся рядом с нашими магазинами. Приходящие покупатели говорят, что узнали об акции через push-уведомления» — Павел Поплавский, руководитель PR отдела Affliction.
В отличии от других похожих сервисов OSMI Cards предлагает технологически законченное решение и реализует весь комплекс сопровождения: устанавливает и настраивает модуль электронной карты в CRM, оказывает техническую поддержку, делится результативными бизнес-кейсами, подсказывает как эффективно решать бизнес-задачи.
10 идей от OSMI Cards для рассылок на основе push-уведомлений
Так что же выбрать?
Не стоит останавливаться только на одном канале распространении информации. Возможно, ваш бизнес настолько индивидуален, что никакая статистика и мнения экспертов это не могут учесть и стоит выяснять какой канал более конверсионный только на практике.
Комплексный маркетинг хорош вот чем:
Так что вопрос переформулируем: стоит или не стоит внедрять push-уведомлений? Скорее да, чем нет.
Всегда есть риск пробовать что-то новое, но без риска и нет шанса получить профит. Успеть попробовать то, что пока не успели сделать конкуренты — хорошая возможность вырваться вперед.
Частота, текст уведомлений, конкретные сценарии и форма реализация у каждого бизнеса будет своя. За стратегией лучше обратиться к профессионалам.