Онлайн-аккаунт, хотя и существует в виртуальном мире, реально подвержен грабежу. Киберпреступники знают наши привычки, питаются нашими слабостями, используют различные инструменты социальной инженерии, а иногда и используют нашу наивность – всё, чтобы лишить нас наших денег.
Учетные записи в Интернете – это решение, без которого большинство из нас вряд ли может представить себе функционирование в мире финансов. Онлайн-счет является современным и удобным для использования до такой степени, что мы используем его почти инстинктивно, не задумываясь о выполняемых операциях.
Новые технологии – это новые возможности, но также и новые угрозы. Когда-то, чтобы сделать перевод, вам нужно было пойти в отделение банка. Сегодня нам не нужно выходить из дома, чтобы распоряжаться своими деньгами. К сожалению, преступники также используют современные средства.
Проснуться утром без денег на счету
Это звучит как фантастика, но, к сожалению, этот плохой сон для многих оказался грустной реальностью. Мы пытаемся сделать перевод или оплатить с помощью карты в магазине, и мы с удивлением обнаруживаем, что на нашем счете недостаточно денег – или их нет вообще. Ситуации разные, но эффект обычно схожий: удивление, ужас, ярость и чувство полной беспомощности. «Куда делись наши деньги ?!» и сразу же: «Как это могло случиться?»
Мы попытаемся ответить на второй вопрос!
Как вы защищаете свои данные от кражи
Сегодня преступники, как правило, не сосредотачиваются на ограблении банков, потому что они нашли другие ворота: там, где система банков не терпит краха, иногда проявляет себя человеческий фактор.
Хакеры используют различные уловки, чтобы обмануть нас информацией о наших учетных записях: некоторые менее изощренны, другие более, но одна ужасающая особенность связывает их – они все работают.
Чтобы кража была успешной, киберпреступник должен получить данные, которые позволят ему:
- Получить доступ к аккаунту:
- Логин
- Пароль
- Получить информацию, необходимую для перевода средств:
- СМС коды;
- скретч-карту (всё реже и реже);
- номер и тип телефона вместе с программным обеспечением (например, версия Android).
Вы скажете, кто в здравом уме передаст данные своего аккаунта хакерам? Подавляющее большинство жертв киберпреступников передают им свои данные добровольно или не знают, что они это делают. Преступники понимают, какой подход лучше всего подходит для атаки на жертву, и используют для этой цели методы, которые должны ослабить критическое мышление и дать волю эмоциям.
Фишинг: как распознать и не дать себя обмануть
Доброе утро, после сбоя ваша учетная запись была заблокирована из-за несанкционированного доступа: подтвердите свою личность, введя код авторизации. Перейдите на сайт банка [ссылка].
Это пример типичного фишингового электронного письма. Мы получаем сообщение в наш почтовый ящике, которое сразу же вызывает у нас усиленное сердцебиение: кто-то пытался взломать наш аккаунт! К счастью, «банк» своевременно обнаружил попытку мошенничества и теперь пытается проверить, действительно ли «мы являемся нами». Нам просто нужно нажать на отправленную ссылку и ввести свои данные. Дело в том, что отправителем такого письма является не наш банк, а преступная группа. Предоставленная информация будет использована для быстрой очистки вашей учетной записи. И если мы предоставили им данные кредитной карты, то, использовав её в интернете, они смогут загнать нас в долги.
Этот метод весьма эффективен, так как не проходит и недели, чтобы кто-то не пожаловался обман подобным образом. Частота атак также указывает на то, что многие люди легко подаются этому трюку.
Схема фишингового обмана обычно похожа:
- Мы получаем тревожное сообщение на почтовый ящик или мобильное устройство, включая ссылку на страницу и запрос на вход в банк.
- После нажатия на ссылку нас перенаправляют на фальшивый сайт, который выглядит как официальный сайт нашего банка. Кроме того, этот веб-сайт может содержать графические элементы (например, логотип и цветовое оформление нашего банка) и даже значок безопасности, которые должны повысить чувство доверия.
- Как только вы входите на фальшивый сайт, преступники получают ваши данные, необходимые для входа в реальную учетную запись онлайн-банка (логин, пароль), и начинают готовиться к переводу наших денег.
- Затем хакеры просят нас подтвердить операцию с помощью SMS-кода, который будет отправлен из нашего банка, когда хакеры захотят сделать перевод или изменить наши постоянные поручения.
- Когда мы вводим этот код на поддельном сайте, наши деньги будут переведены туда, куда укажут преступники.
Об эволюции фишинговых технологий
Приведенный выше пример является лишь одним из многих способов получить от нас информацию, необходимую для ограбления нашей учетной записи. Не так давно электронные письма / фишинговые сайты были написаны на катастрофическом русском языке, без специфических символов кириллицы, и весь текст казался небрежно переведенным в Google Translate.
К сожалению, времена такой лингвистической «самодеятельности» уже прошли, и некоторые владельцы счетов легко могут подумать, что они получили официальное электронное письмо от банка.
Откуда преступники знают наш адрес электронной почты? Что ж, получить его обычно очень просто (иногда достаточно набрать наши ФИО в поисковой системе), но чаще преступники отправляют сообщения просто случайно.
Фишинг с помощью смс: smishing
Как легко догадаться, изобретательность воров не ограничивается электронной почтой. Мы также можем получить текстовое сообщение на телефон, которое перенаправит нас на страницу с вредоносным программным обеспечением, позволяющее преступникам перехватывать наши коды авторизации для транзакций. Этот метод носит «благодарное» имя «smishing».
Бывает, что SMS оповещает о предполагаемой несанкционированной транзакции, и нам приходится перезванивать «банку» на номер телефона, указанный в SMS. После соединения нас просят предоставить наши данные, которые должны помочь в проверке нашей личности. В конце просят подтвердить предоставленную информацию, используя код sms, который будет отправлен нам в ближайшее время. Если мы сделаем это, преступники получат всю информацию, необходимую для осуществления перевода с нашего счета.
Помните! Никогда не заходите на страницу входа в банк, используя ссылку, которую вы получили в электронном письме или текстовом сообщении. Если вы получили сообщение о блокировке вашего аккаунта – сначала свяжитесь с горячей линией вашего банка и убедитесь, что это реальное сообщение!
Неприятные последствия приятного разговора: vishing
Встречаются также звонки из «банка», в которых добрая леди сообщает нам о фантастической возможности (продвижение по службе, получения кредита, дополнительных бонусах) или о предполагаемой угрозе. Схема действия аналогична, последствия – если жертва вовремя не поймёт, что её обманывают, – такие же, как в предыдущих примерах. Мы называем этот тип действия vishing.
Совет! Если вы хотите избежать неприятных ситуаций и всегда быть уверенным, с кем разговариваете, установите контактный пароль (кодовое слов). Благодаря этой простой процедуре вы сможете проверить, разговариваете ли вы с кем-то из банка.
Не забудьте обновить программное обеспечение
Такие социотехнологии, как фишинг, не являются единственным средством кражи данных вашего аккаунта. Они могут легко украдены через вредоносное по на вашем компьютере, планшете или смартфоне. Есть, например, программы, которые читают пароль с нашей клавиатуры, когда мы его вводим.
Вирусы и трояны, которые могут быть опасны для наших денег, обычно распространяются через веб-сайты, связанные нелегальным распространением популярных программ (музыкальные файлы, бесплатные компьютерные игры, бесплатные приложения, оптимизирующие работу компьютера).
Чтобы идти в ногу со временем и чувствовать себя в безопасности:
- Обновите браузеры и операционные системы (например, Windows, Android на смартфоне) до последних версий, которые «устойчивы» к новым вирусам и троянам – не только на компьютерах, но и на смартфонах и планшетах.
- Используйте легальное антивирусное программное обеспечение и брандмауэр:
- специалисты рекомендуют проверять компьютер с помощью антивирусных программ перед каждой операцией, выполняемой на вашем онлайн-счете; этот совет может показаться слишком затратным. Но стоит его реализовать, если вам предстоит совершить много платежей и переводов (например, в начале месяца).
- Не игнорируйте сообщения антивирусной программы.
- Не забывайте уделять особое внимание при загрузке программ неизвестного происхождения или при входе на подозрительные веб-сайты.
Не будьте наивными: банк никогда не просит паролей
Единственное место, где нас просят предоставить ключевую информацию, такую как логин, пароль и одноразовые коды, – это оригинальная страница для входа в нашу учетную запись. Из этого правила нет исключений!
Помните, что банк никогда не попросит вас подтвердить наши конфиденциальные данные в электронном письме, текстовом сообщении или во время телефонного разговора. В частности, банк никогда не попросит нас предоставить:
- данные для входа в аккаунт;
- пароль, который известен только нам. Банк все равно не знает нашего пароля, поэтому никак не сможет проверить его достоверность;
- коды sms / одноразовые коды, за исключением выполнения банковской операции;
- тип телефона и его программное обеспечение;
- данные платежа и кредитной карты;
- ПИН к карте.
Ни один банк также не отправляет:
- электронные письма со ссылками на страницу для входа в интернет-аккаунт;
- текстовые сообщения со ссылками на логин;
- приложения или сертификаты безопасности для мобильного телефона.
На этом этапе следует добавить, что если мы предоставим наши собственные данные, нам будет очень трудно вернуть деньги, потому что банк почти наверняка признает, что транзакция была санкционирована нами. В этом случае единственное решение – передать дело в суд, но это утомительно, отнимает много времени, а результат – неопределенный.
Процедура входа в аккаунт
Основой безопасного банковского обслуживания является легальное и обновленное программное обеспечение. Знаете ли вы другие меры безопасности, которые вы должны предпринять при каждом входе в систему (и, конечно, когда вы хотите сделать онлайн-перевод)?
Подумайте о них немного, а затем прочитайте следующие разделы:
- Запомните название веб-сайта вашего банка, например, sberbank.ru или страницу прямого входа в онлайн-банк.
- Введите полный адрес этой страницы в своем браузере, а не в поисковой системе. Существуют троянские программы, которые могут подменить поисковую систему и перенаправить вас на фальшивый сайт банка.
- Проверяйте правильность адреса банка (в том числе опечатки), а затем проверьте что в URL-адресе страницы входа отображаются:
- зеленый замок,
- протокол https://
- Проверьте сертификат безопасности. Банк периодически меняет его и публикует на своем сайте. Сравните с тем, что появляется в деталях на странице входа.
- После входа в систему проверьте дату последнего входа и последний неудачный вход в систему.
- После завершения работы с учетной записью нажмите кнопку Выход и закройте вкладку браузера, а лучше перезапустите браузер.
Безопасность онлайн-переводов
Чтобы избежать кражи при совершении перевода, вам необходимо выработать несколько полезных привычек:
- Периодически проверяйте историю аккаунта – в ней будут показаны все транзакции, в том числе и те, которые вы не авторизировали.
- После входа в систему проверьте дату последнего успешного и неудачного входа в систему.
- Старайтесь не копировать номер счета при заполнении реквизитов перевода – да, это довольно неудобно, но встречается вредоносное ПО, которое заменяет скопированный номер счета на свой. Если вы не хотите отказываться от копирования, не забывайте проверять введенный номер каждый раз. Это правило применяется, в частности, к переводам, осуществляемым с помощью мобильных устройств, например смартфонов.
- Всегда читайте текст с кодом авторизации из банка: сумма и номер счета (первые и последние символы). Это последний брандмауэр, который может защитить нас от кражи, поскольку информация о банковском счете и фактическая сумма, на которую мы осуществляем перевод (в ситуации, когда наш компьютер заражен вредоносным ПО), отображается в информации о банке.
- Регулярно меняйте свои пароли доступа и старайтесь сделать их как можно более сложными. Чем сложнее пароль, тем меньше шансов что его взломают.
Что ещё стоит сделать, чтобы наш перевод был «безопасным»?
Чтобы снизить риск потери наших денег, пожалуйста, следуйте этим советам:
- Всегда вводите полную информацию о получателе: имя, фамилия или название компании, адрес.
- Не входите в свой аккаунт, не говоря уже о передаче переводов на аутсорсинг в тех местах, где мы не уверены на 100%, особенно в интернет-кафе, на работе, в школе или в университете. Мы никогда не знаем, какое программное обеспечение установлено на чужих компьютерах или кто ими пользуется.
- При проведении банковских операций не пользуйтесь общедоступным Wi-Fi или сетью, в которой вы неуверенны.
- Используйте только легальные антивирусные программы. Если банк обнаружит, что программное обеспечение было незаконным, вы можете быть уверены, что не вернете украденные деньги.
- Не открывайте никаких ссылок – в электронных письмах и текстовых сообщениях – в чьём происхождении хоть чуть-чуть сомневаетесь. Этот принцип применим не только к банковскому делу, но и к общему использованию интернета и других электронных каналов.
Ответственность лежит на клиенте
Многие владельцы банковских счетов убеждены, что только банк несет ответственность за сохранность денег. Это не так: одни и те же обязательства по безопасности одновременно налагаются на учреждение и клиента.
В случае кражи со счета многие учреждения могут относительно легко обвинить клиента в халатности. Стоит помнить, что невыполнение возложенных обязанностей может привести к потере денег БЕЗ возможности их восстановления.
Комментарий редактора
Онлайн-банкинг – отличное изобретение, большинство из нас в этом не сомневается. Однако, как и в случае практически любого изобретения, стоит знать, как оно работает. Хотя количество советов и указаний, перечисленных выше, может несколько пугать, желательно, чтобы каждый из нас придерживался этих принципов.
Они не обеспечат нам абсолютную безопасность, но значительно снизят риск стать жертвой киберпреступности.
Давайте доверять нашей собственной интуиции. Если вас что-то беспокоит, кажется необычным или подозрительным (или наоборот: чрезвычайно привлекательным) – прекратите транзакцию / авторизацию / разговор. Лучше быть немножко параноиком, чем искать свои деньги где-нибудь на азиатских банковских счетах.
Также стоит периодически заглядывать на официальный сайт банка. Иногда само учреждение может помочь нам, предоставив специальную услугу, в соответствии с которой мы будем получать уведомления о любых транзакциях на нашем счете. Мы также можем рассмотреть возможность введения ежедневных лимитов на основные банковские операции, благодаря которым, даже если мы станем жертвой преступления, воры смогут украсть только разрешенную нами «сумму».
К сожалению, надо признать, что системы безопасности банков тоже не безупречны (чего, вместе с тем, они требуют от нас – клиентов). Часто сообщения, которые они предоставляют, просто трудны для понимания обычного клиента или не очень конкретны.
По всей видимости, безопасность онлайн-банкинга, особенно мобильного банкинга, скоро будет основана на биометрии: сканировании наших отпечатков пальцев или лица. Несколько банков уже готовятся к такому решению. Однако, даже такие функции не защитят нас от киберпреступников, если мы сами не будем соблюдать правила безопасности.