Увидел в телеграм-канале «Банки говорят» новость о том, что банк «Открытие» вводит push-уведомления для пользователей веб-версии на iOS и Android.
Поясню, о чём идёт речь. Сейчас банки используют два канала отправки сообщений пользователю — SMS-уведомления (тут всё понятно) и push-уведомления, которые выводятся мобильным приложением банка.
С точки зрения банка «пуши» выгоднее — за отправку SMS-сообщений операторы связи берут с банков плату, в то время как отправка пуш-уведомлений обходится практически бесплатно, посколько такие уведомления отправляются через интернет.
Когда приложения банков, попавших под санкции, удалили из маркетплейсов, банки были вынуждены быстро переработать свои онлайн-банки для того, чтобы они стали работать на мобильных устройствах.
Но тут появился вопрос доставки уведомлений, и в «Открытии» решили, что начнут использовать пуш-уведомления, которые будут приходить прямо в браузер.
Ничего нового в таком способе доставки уведомлений нет. Очень многие сайты в интернете, в т.ч. и мой, позволяют подписаться на получение оповещений о выходе новых публикаций.
Необычное здесь то, что банк решил использовать такой канал доставки для сообщений, содержащих чувствительную информацию.
Пуш-уведомление не считается безопасным способом передачи информации. Теоретически существует риск того, что уведомление может быть перехвачно вредоносным приложением, установленным на телефоне пользователя.
ЦБ ещё в 2013 г. рекомендовал важную информацию отправлять через SMS. Многие банки так и поступают — информационные сообщения отправляют через интернет, а коды для подтверждения операций в SMS-сообщениях.
Однако то, что уведомления будут рассылаться в браузере, вносит дополнительный риск. Сейчас пуш-уведомлениями пользуются для рассылки недобросовестной рекламы.
Допустим, вы подписались на уведомления на каком-то сайте. Владелец сайта может вместо информации о вышедших публикациях рассылать всем пользователям рекламу. К сожалению, большинство пользователей не знают как отписаться от уведомлений, и либо просто «смахивают» их, либо переходят по ссылкам.
При этом уведомление может быть оформлено как угодно — можно задать любую картинку, текст и ссылку, куда вы перейдёте по нажатию на сообщение.
Представить, что под видом сообщений от банков будут приходиться ссылки на фишинговые сайты, совсем не сложно. Это обязательно случится, если такой способ отправки сообщений получит широкое распространение.
Поэтому, я бы не стал пользоваться пуш-уведомлениями в веб-версии онлайн-банка. Лучше получать сообщения по SMS, даже если эта услуга стоит дороже.