Кроме создания злоумышленниками копий SIM-карт для получения чужих SMS-сообщений от банка с одноразовыми паролями, существует ещё одна важная угроза для пользователей Мобильного банка.
Речь идёт об атаке на пользователей дистанционных банковских каналов посредством внедрения вредоносного программного обеспечения: вирусы, шпионские программы, кейллогеры и т.п., – которыми заражаются мобильные устройства. В первую очередь, угрозе заражения подвержены устройства, функционирующие под управлением OS Android, но также встречается вредоносное ПО для других мобильных операционных систем. В частности, при заражении iOS злоумышленники используют процедуру jailbreak – подключение к операционной системе, позволяющее инсталлировать программное обеспечение напрямую, минуя защищённый сервер приложений AppStore.
После внедрения вредоносного вируса на мобильное устройство жертвы, троян пытается скопировать личные данные пользователя. В частности, записывает логин и пароль, которые клиент указывает в мобильном приложении в момент авторизации в системе дистанционного банковского обслуживания. Получив возможность чтения используемых паролей и перехвата SMS-сообщений с одноразовыми, злоумышленник может в полной мере распоряжаться денежными средствами на банковском счете жертвы.
Принципов борьбы с указанным типом мошенничества в Мобильном банке несколько, но все они либо не дает полной гарантии защиты, либо существенно ограничивают функциональные возможности мобильного банкинга.
Вот эти меры безопасности, а также, к сожалению, присущие им изъяны:
- установка лимитов на максимальные суммы операций, осуществляемых через каналы дистанционного банковского обслуживания. Что выражено снижает привлекательность системы Мобильного банка для мошенников, но, вместе с тем, и для многих премиальных клиентов банка;
- внедрение системы антифрод-мониторинга, которая не может полностью устранить, но существенно уменьшает уровень риска при выполнении финансовых операций через каналы удаленного банковского обслуживания. Системы антифрод защиты в настоящее время довольно дороги и являются недоступной роскошью для банков средней и малой руки, которые не обладают достаточно широкой клиентской базой;
- отказ от SMS-сообщений, как способа подтверждения выполняемых операций. Используются только одноразовые пароли, получаемые клиентом в офисах банка либо через устройства самообслуживания, и с помощью CAP-калькуляторов (Chip Authentication Program), осуществляющие идентификацию клиента посредством пароля, генерируемого на основе PIN-кода. Эти способы аутентификации доставляют значительные неудобства для клиентов и пользуются низкой популярностью из-за сложностей дистрибуции и дополнительных расходы на устройства типа CAP-калькуляторов.
Наиболее перспективный метод защиты Мобильного банка от вирусов – установка приложения, через которое осуществляется безопасное подтверждение операций со счетами, в изолированной и защищённой области памяти телефона (secure element), говоря иначе – интеграция туда CAP-калькулятора. Однако, на сегодняшний день единых стандартов в индустрии мобильных устройств не выработано, и даже в случае их разработки далеко не все производители сразу захотят реализовать подобное решение.
