Восемь угроз вашему мобильному банку. Советы, как не потерять деньги Максим Букин
Восемь угроз вашему мобильному банку. Советы, как не потерять деньги
Максим Букин
Опубликовано 13 марта 2013
Управлять своими деньгами с помощью компьютера и смартфона достаточно просто — из экзотической новинки такие сервисы превратились в стандартный сервис большинства крупных финансово-кредитных учреждений РФ. Все проблемы пользователей таких систем, связанные с потерей денег, возникают в результате целенаправленных атак весьма просвещённых компьютерных бандитов. Полностью от них защититься нельзя, но снизить угрозу «вскрытия» своего банковского счёта — реально.
Несмотря на то что смартфонов и «мобильных» пользователей интернет-банками больше, чем тех, кто осуществляет доступ с компьютера, чаще всего атакам подвергаются именно версии систем дистанционного банковского обслуживания, которые установлены на обычных компьютерах. Дело в том, что эти системы базируются на распространённых операционных системах, для которых существует огромное число специально «заточенных» компьютерных вирусов. Со смартфонами ситуация другая. Несмотря на то что смартфон всё-таки можно потерять, приложение «мобильного банка» ничего особенно не скажет злоумышленнику — пара логин/пароль там не хранится, никаких логов активности не ведётся, а шифрования передаваемых данных в целом достаточно для того, чтобы клонировать такие системы с пользовательскими данными было нереально. Так что «карта угроз» здесь совсем другая. Корпоративных счетов здесь обычно нет, чаще всего таким доступом пользуются только частники, и уровень общей безопасности (как, впрочем, и величина среднего остатка по счёту) не особенно велик.
Кейлоггеры
Если нельзя взломать, то можно подсмотреть — именно такой принцип используют компьютерные взломщики достаточно часто. Самое ценное в любом смартфоне — это информация, введённая пользователем. В отличие от компьютера, много текстовых данных со смартфона утащить не получится — достаточно сложно что-то набивать пальцем даже на большом сенсорном экране. Поэтому кейлоггеры — специальные программы, которые записывают в память устройства все нажатия клавиш для последующей передачи злоумышленникам, здесь используются часто. Поступают они на устройства чаще всего как «добавка» к какому-либо вполне респектабельному приложению, которое было взято из сомнительного источника. А данные отправляют по беспроводной сети, к которой пользователь и так подключён круглые сутки. Достаточно определить запуск программы-клиента для мобильного банка, и можно начинать сканирование и передачу данных. Из-за их небольшого объёма отправку таких пакетов на удалённый веб-сервер злоумышленников никто и не заметит.
Подмена SIM-карты
Конечно, только логин-пароль для большинства банков не подходит: нужны дополнительные коды подтверждения операций. Особенной любовью у злоумышленников пользуются те системы, где одноразовые коды для подтверждения операций приходят вам прямо на SMS. Получить копию вашей SIM-карты вполне реально — достаточно сдать «левую» нотариальную доверенность для смены идентификационного модуля (оператор связи обычно нотариусу для проверки не звонит) или нарисовать нужный паспорт (но это будет дорого). А чаще — просто подкупить сотрудника фирменной розничной сети оператора связи. И вуаля, можно работать — логин-пароль известны, SIM-карта есть. Обычно все подобные операции проводятся стремительно — получили дубликат симки и сразу начинаем «потрошить» интернет-банк конкретного пользователя с выводом средств на другие счета. И ведь ему даже SMS-уведомления не будут приходить: некуда. В таком случае может спасти, конечно, автоматическое уведомление по электронной почте и привычка регулярно звонить по своему мобильнику. Если «сеть не найдена», то впору поменять SIM-карту самому как можно скорее или хотя бы заблокировать её до вашего персонального обращения в офис оператора связи.
Программы-перехватчики
В последнее время для владельцев устройств, которые работают на ОС Android, подмена симки не обязательна. С помощью кейлоггера злоумышленники узнают пароль и логин для входа в интернет-банк, а потом перехватывают SMS-сообщения с кодами, которые банковский сервис отправляет на телефон жертвы для подтверждения операций. То есть на смартфоне пользователя стоит специальное вирусное ПО, которое получает SMSки от банка, скрывает их от владельца терминала и мгновенно пересылает злоумышленникам. Получается «волшебно» — можно в режиме реального времени грабить банковский счёт пользователя, причём так, что он ничего не заметит. Чтобы заставить пользователя установить программу-перехватчик, его заражённый смартик направляют на подложную страничку банка, где и предлагается установить «обновление системы безопасности».
Пароли
С паролями в системах ДБО, конечно, полегче, чем в любом интернет-сервисе, с той точки зрения, что его пользователю (чаще всего!) выдают для запоминания без возможности скорректировать. Поэтому набор символов гарантированно будет абракадаброй для любого постороннего взгляда. Проблема будет только в том, чтобы её запомнить. И вот в этом случае проявляются самые разные проблемы: самое опасное для мобильного банка — это запись пароля в виде текстового файла в смартфон. Да ещё с названием файла «Пароль!». Или использование банковского пароля для «запирания» устройства (ну чтобы не забыть его напрочь) — такие комбинации «ломаются» очень быстро, поскольку файлы с паролями на мобильном устройстве, необходимые для активации профиля, весьма слабо защищены. В общем, лучше их запомнить и нигде не записывать, а если можно выбирать, то сделать пароль посложнее.
Лимиты на операции
Если нельзя вред полностью исключить, то его можно минимизировать. В значительном числе систем есть возможность поставить лимиты на ежедневные операции. Наиболее фродовыми являются платёж рублёвый и валютный в свободной форме, а также переводы на банковские карты или на счета другим пользователям внутри одного банка (получатель ворованных денег, скорее всего, будет дропом). Если в вашем банке есть ограничения на такие переводы по умолчанию (обычно 3-5 тыс. долл. в день) — это отлично. Совершить переводы на бОльшие суммы обычно можно в отделении банка, и бывает это нечасто. Если возможно установить лимит самостоятельно, сделайте это обязательно. Как минимум это необходимо организовать для карты, которая привязана к вашему интернет-банку.
Безопасный доступ к мобильной версии
Доступ в мобильный банк обычно можно организовать либо через специально оптимизированный для небольших экранов смартфонов веб-сайт, или с помощью приложения (программа-клиент), которое можно скачать в официальных виртуальных торговых моллах. Так вот в случае с сайтом заражённый вирусом смартик может завести вас совсем на другой веб-ресурс (имя веб-сайта будет похожим с именем вашего банка), где мошенники уже приготовили полноценную копию-эмулятор системы ДБО вашего банка. Основная цель таких манипуляций — выманить пару логин-пароль, а также как можно больше кодов подтверждения операций (переменных кодов), с помощью которых можно подтвердить от вашего лица те или иные денежные переводы. Чаще всего для минимальной атаки хватит пяти таких кодов — один на вход, пара на обнуление депозитов и «перегон» всей суммы в банке на один счёт (чаще рублёвый), а остальные — на подтверждение транзакций на «левые» данные. Быстрее всего реализуются схема перевода внутри банка (да-да, мошенники готовятся заранее) и оперативный обнал всей полученной суммы через банкомат. В случае с работой через приложение сделать это сложнее — никакой перехват или подстановка там невозможны. Но для того, чтобы быть в этом уверенным, надо загружать программу-клиент из совершенно доверенного места (Apple App Store, Google Play, Windows Phone Store, BlackBerry App World и т.д.). Для их загрузки пройдите по ссылкам с сайтов финансово-кредитных учреждений. В немодерируемых магазинах приложений можно найти вредоносные приложения, которые сами будут одним большим вирусом.
SMS-уведомления об операциях
Сервис «последнего шанса» — это уведомление обо всех операциях в интернет-банке с помощью коротких текстовых сообщений. Очень внимательно надо присматривать за входом в систему дистанционного интернет-обслуживания. Обычно SMSки приходят с указанием IP, но не будем наивными: его легко можно подделать с помощь самого простого VPN-тоннеля. Поэтому самое главное — сам факт наличия входа в систему от вашего имени. Если вы этого точно не делали, немедленно звоните в службу поддержки своего банка и блокируйте свой доступ: лучше «перебдеть», чем потерять деньги. Кроме того, SMSки будут нужны и для уведомления о транзакциях — в этом случае лучше получать полную информацию с суммами переводов, а не просто информацию о самом факте совершённых операций. Да, подобные варианты информирования требуют подключения дополнительных услуг за абонентскую плату, но 2-3 долл. в месяц — небольшая плата за возможность оперативно заблокировать переводы. Кстати, забейте в память телефона номер call-центра своего банка, чтобы в экстренной ситуации не терять времени.
Не надо верить «службам поддержки»
Социальная инженерия — основное оружие телефонных мошенников, которые работают по системам ДБО. Если ваши данные «уходят налево» (особенно это касается пары логин-ароль), то при недостатке информации мошенники попробуют вам позвонить, прикинувшись службой поддержки банка. Обычно они будут сразу рассказывать вам байки про технический сбой и необходимость подтвердить свою личность. Или, если у них есть данные по вашим транзакциям, вам расскажут о блоке операций и предложат «разблокировать карту» с помощью кодов подтверждения для интернет-банка. В общем, вариантов может быть много, и мошенники будут крайне убедительны. Совет здесь только один: перезвоните в call-центр своего банка самостоятельно по тому номеру, который есть у него на веб-сайте, и уточните всю необходимую информацию. Иначе есть шанс добровольно отдать мошенникам все свои деньги. С весьма призрачной надеждой их когда-то увидеть вновь.
К оглавлению