Восемь угроз вашему мобильному банку. советы, как не потерять деньги
Управлять своими деньгами с помощью компьютера и смартфона достаточно просто – из экзотической новинки такие сервисы превратились в стандартный сервис большинства крупных финансово-кредитных учреждений РФ. Все проблемы пользователей таких систем, связанные с потерей денег, возникают в результате целенаправленных атак весьма просвещённых компьютерных бандитов.
Полностью от них защититься нельзя, но снизить угрозу “вскрытия” своего банковского счёта – реально.
Несмотря на то что смартфонов и “мобильных” пользователей интернет-банками больше, чем тех, кто осуществляет доступ с компьютера, чаще всего атакам подвергаются именно версии систем дистанционного банковского обслуживания, которые установлены на обычных компьютерах. Дело в том, что эти системы базируются на распространённых операционных системах, для которых существует огромное число специально “заточенных” компьютерных вирусов.
Со смартфонами ситуация другая. Несмотря на то что смартфон всё-таки можно потерять, приложение “мобильного банка” ничего особенно не скажет злоумышленнику – пара логин/пароль там не хранится, никаких логов активности не ведётся, а шифрования передаваемых данных в целом достаточно для того, чтобы клонировать такие системы с пользовательскими данными было нереально.
Так что “карта угроз” здесь совсем другая. Корпоративных счетов здесь обычно нет, чаще всего таким доступом пользуются только частники, и уровень общей безопасности (как, впрочем, и величина среднего остатка по счёту) не особенно велик.
Кейлоггеры
Если нельзя взломать, то можно подсмотреть – именно такой принцип используют компьютерные взломщики достаточно часто. Самое ценное в любом смартфоне – это информация, введённая пользователем.
В отличие от компьютера, много текстовых данных со смартфона утащить не получится – достаточно сложно что-то набивать пальцем даже на большом сенсорном экране. Поэтому кейлоггеры – специальные программы, которые записывают в память устройства все нажатия клавиш для последующей передачи злоумышленникам, здесь используются часто.
Поступают они на устройства чаще всего как “добавка” к какому-либо вполне респектабельному приложению, которое было взято из сомнительного источника. А данные отправляют по беспроводной сети, к которой пользователь и так подключён круглые сутки.
Достаточно определить запуск программы-клиента для мобильного банка, и можно начинать сканирование и передачу данных. Из-за их небольшого объёма отправку таких пакетов на удалённый веб-сервер злоумышленников никто и не заметит.
Подмена SIM-карты
Конечно, только логин-пароль для большинства банков не подходит: нужны дополнительные коды подтверждения операций. Особенной любовью у злоумышленников пользуются те системы, где одноразовые коды для подтверждения операций приходят вам прямо на SMS.
Получить копию вашей SIM-карты вполне реально – достаточно сдать “левую” нотариальную доверенность для смены идентификационного модуля (оператор связи обычно нотариусу для проверки не звонит) или нарисовать нужный паспорт (но это будет дорого). А чаще – просто подкупить сотрудника фирменной розничной сети оператора связи.
И вуаля, можно работать – логин-пароль известны, SIM-карта есть. Обычно все подобные операции проводятся стремительно – получили дубликат симки и сразу начинаем “потрошить” интернет-банк конкретного пользователя с выводом средств на другие счета.
И ведь ему даже SMS-уведомления не будут приходить: некуда. В таком случае может спасти, конечно, автоматическое уведомление по электронной почте и привычка регулярно звонить по своему мобильнику.
Если “сеть не найдена”, то впору поменять SIM-карту самому как можно скорее или хотя бы заблокировать её до вашего персонального обращения в офис оператора связи.
Программы-перехватчики
В последнее время для владельцев устройств, которые работают на ОС Android, подмена симки не обязательна. С помощью кейлоггера злоумышленники узнают пароль и логин для входа в интернет-банк, а потом перехватывают SMS-сообщения с кодами, которые банковский сервис отправляет на телефон жертвы для подтверждения операций.
То есть на смартфоне пользователя стоит специальное вирусное ПО, которое получает SMSки от банка, скрывает их от владельца терминала и мгновенно пересылает злоумышленникам. Получается “волшебно” – можно в режиме реального времени грабить банковский счёт пользователя, причём так, что он ничего не заметит.
Чтобы заставить пользователя установить программу-перехватчик, его заражённый смартик направляют на подложную страничку банка, где и предлагается установить “обновление системы безопасности”.
Пароли
С паролями в системах ДБО, конечно, полегче, чем в любом интернет-сервисе, с той точки зрения, что его пользователю (чаще всего!) выдают для запоминания без возможности скорректировать. Поэтому набор символов гарантированно будет абракадаброй для любого постороннего взгляда.
Проблема будет только в том, чтобы её запомнить. И вот в этом случае проявляются самые разные проблемы: самое опасное для мобильного банка – это запись пароля в виде текстового файла в смартфон. Да ещё с названием файла “Пароль!”.
Или использование банковского пароля для “запирания” устройства (ну чтобы не забыть его напрочь) – такие комбинации “ломаются” очень быстро, поскольку файлы с паролями на мобильном устройстве, необходимые для активации профиля, весьма слабо защищены. В общем, лучше их запомнить и нигде не записывать, а если можно выбирать, то сделать пароль посложнее.
Лимиты на операции
Если нельзя вред полностью исключить, то его можно минимизировать. В значительном числе систем есть возможность поставить лимиты на ежедневные операции.
Наиболее фродовыми являются платёж рублёвый и валютный в свободной форме, а также переводы на банковские карты или на счета другим пользователям внутри одного банка (получатель ворованных денег, скорее всего, будет дропом). Если в вашем банке есть ограничения на такие переводы по умолчанию (обычно 3-5 тыс. долл. в день) – это отлично.
Совершить переводы на бОльшие суммы обычно можно в отделении банка, и бывает это нечасто. Если возможно установить лимит самостоятельно, сделайте это обязательно.
Как минимум это необходимо организовать для карты, которая привязана к вашему интернет-банку.
Безопасный доступ к мобильной версии
Доступ в мобильный банк обычно можно организовать либо через специально оптимизированный для небольших экранов смартфонов веб-сайт, или с помощью приложения (программа-клиент), которое можно скачать в официальных виртуальных торговых моллах. Так вот в случае с сайтом заражённый вирусом смартик может завести вас совсем на другой веб-ресурс (имя веб-сайта будет похожим с именем вашего банка), где мошенники уже приготовили полноценную копию-эмулятор системы ДБО вашего банка.
Основная цель таких манипуляций – выманить пару логин-пароль, а также как можно больше кодов подтверждения операций (переменных кодов), с помощью которых можно подтвердить от вашего лица те или иные денежные переводы. Чаще всего для минимальной атаки хватит пяти таких кодов – один на вход, пара на обнуление депозитов и “перегон” всей суммы в банке на один счёт (чаще рублёвый), а остальные – на подтверждение транзакций на “левые” данные.
Быстрее всего реализуются схема перевода внутри банка (да-да, мошенники готовятся заранее) и оперативный обнал всей полученной суммы через банкомат. В случае с работой через приложение сделать это сложнее – никакой перехват или подстановка там невозможны.
Но для того, чтобы быть в этом уверенным, надо загружать программу-клиент из совершенно доверенного места (Apple App Store, Google Play, Windows Phone Store, BlackBerry App World и т.д.). Для их загрузки пройдите по ссылкам с сайтов финансово-кредитных учреждений.
В немодерируемых магазинах приложений можно найти вредоносные приложения, которые сами будут одним большим вирусом.
SMS-уведомления об операциях
Сервис “последнего шанса” – это уведомление обо всех операциях в интернет-банке с помощью коротких текстовых сообщений. Очень внимательно надо присматривать за входом в систему дистанционного интернет-обслуживания.
Обычно SMSки приходят с указанием IP, но не будем наивными: его легко можно подделать с помощь самого простого VPN-тоннеля. Поэтому самое главное – сам факт наличия входа в систему от вашего имени.
Если вы этого точно не делали, немедленно звоните в службу поддержки своего банка и блокируйте свой доступ: лучше «перебдеть», чем потерять деньги. Кроме того, SMSки будут нужны и для уведомления о транзакциях – в этом случае лучше получать полную информацию с суммами переводов, а не просто информацию о самом факте совершённых операций.
Да, подобные варианты информирования требуют подключения дополнительных услуг за абонентскую плату, но 2-3 долл. в месяц – небольшая плата за возможность оперативно заблокировать переводы. Кстати, забейте в память телефона номер call-центра своего банка, чтобы в экстренной ситуации не терять времени.
Не надо верить “службам поддержки”
Социальная инженерия – основное оружие телефонных мошенников, которые работают по системам ДБО. Если ваши данные “уходят налево” (особенно это касается пары логин-ароль), то при недостатке информации мошенники попробуют вам позвонить, прикинувшись службой поддержки банка.
Обычно они будут сразу рассказывать вам байки про технический сбой и необходимость подтвердить свою личность. Или, если у них есть данные по вашим транзакциям, вам расскажут о блоке операций и предложат “разблокировать карту” с помощью кодов подтверждения для интернет-банка.
В общем, вариантов может быть много, и мошенники будут крайне убедительны. Совет здесь только один: перезвоните в call-центр своего банка самостоятельно по тому номеру, который есть у него на веб-сайте, и уточните всю необходимую информацию.
Иначе есть шанс добровольно отдать мошенникам все свои деньги. С весьма призрачной надеждой их когда-то увидеть вновь.
Бабуля-уголовница пришла в банк за деньгами — На троих — 27 серия
