Управление своими банковскими счетами через компьютер и смартфон довольно быстро из экзотической новинки превратилось в обязательную услугу большинства крупных банков РФ.
Большинство проблем пользователей таких систем, связанные с кражей денег, возникают при наличии целенаправленных атак весьма продвинутых в технических вопросах компьютерных гангстеров.
Полная защита от них представляется невозможной, но уменьшить угрозу «вскрытия» своего счёта в банке – реально.
Угроза для счетов – кейлоггеры
Если сложно взломать, то можно подсмотреть – именно такой подход практикуют компьютерные преступники достаточно часто. Самое важное в любом мобильном устройстве – это информация, указанная пользователем. В отличие от стационарного компьютера, много текстовых данных со смартфона украсть сложно – весьма трудно что-то набирать пальцем даже на крупном сенсорном экране.
Поэтому кейлоггеры – специальные программы, которые сохраняют в памяти устройства все нажатия клавиш для последующей пересылки злоумышленникам, здесь применяются часто. Попадают они на мобильные устройства, как правило, как «приправа» к какому-либо вполне надежному приложению, которое было получено из сомнительного источника. А данные пересылаются по беспроводной сети, к которой устройство и так подключёно круглосуточно.
Достаточно установить запуск приложения для мобильного банка, и можно приступать к сканированию и передаче информации. Из-за их сравнительно малого объёма, пересылку таких пакетов на удалённый сервер преступников никто не заметит.
Угроза – подмена SIM-карты
Разумеется, использование только логина и пароля для большинства банков недостаточно: требуются дополнительные коды подтверждения выполнения операций. Особой любовью у кибер-мошенников пользуются те системы, где одноразовые пароли для подтверждения операций присылают ввиде SMS на мобильный телефон.
Оформить копию вашей SIM-карты вполне возможно – достаточно использовать «левую» нотариальную доверенность для замены идентификационного модуля (оператор связи, как правило, нотариусу для проверки не звонит) или купить фальшивый паспорт (но это будет дорого). А ещё проще – просто подкупить сотрудника фирменной розничной сети оператора сотовой связи. И пожалуйста, можно работать – основные логин-пароль известны, SIM-карта имеется.
Конечно, такие махинации выполняются стремительно – оформили дубликат симки и сразу бежим «потрошить» счета пользователя с выводом денег на другие счета. И ведь ему даже SMS-сообщения о движениях средств приходить не будут: некуда.
В такой ситуации спасением может оказаться автоматическое уведомление по электронной почте и привычка часто звонить по своему мобильнику. Если «сеть не найдена», то впору, как можно быстрее, самому менять SIM-карту или хотя бы заблокировать её до вашего личного посещения офиса оператора связи.
Угроза – программы-перехватчики
В последнее время для пользователей мобильных устройств, которые функционируют под управлением ОС Android, подмена симки не обязательна. С использованием кейлоггера мошенники получают логин и пароль для авторизации в интернет-банке, а потом перехватывают SMS-сообщения с одноразовыми кодами, которые банковская система высылает на телефон жертвы. То есть на устройстве пользователя должен быть установлен целый вирусный комплекс ПО, которое принимает SMS-ки от банка, прячет их от владельца и моментально пересылает мошенниками.
Получается «волшебно» – можно в режиме online уводить деньги с банковского счета пользователя, причём так, что он ничего не заметит. Чтобы вынудить пользователя инсталлировать программу-перехватчик, его инфицированный смартфон направляют на фишинговую страничку банка, где рекомендуется установить «обновление системы безопасности».
Угроза – пренебрежение паролями
С паролями в системах дистанционного банковского обслуживания, конечно, проще, чем в любом интернет-сервисе, с той точки зрения, что его клиенту (чаще всего!) предоставляют для запоминания без возможности изменить. Поэтому набор символов будет бессмысленным для любого стороннего взгляда.
Сложность только в том, чтобы её запомнить. И это проявляет самые разнообразные проблемы: наиболее опасное для мобильного банка – это сохранение пароля в виде текстового файла на диске устройства. Да ещё под именем «Пароль!». Или применение банковского пароля для блокировки устройства (чтобы лучше помнить) – такие системы защиты «ломаются» очень легко, поскольку файлы с паролями необходимыми для активации профиля, сравнительно слабо защищены.
В общем, желательно его запомнить и нигде не записывать, а если есть возможность выбора, то сделать пароль посложнее.
Лимиты на операции
Если вред невозможно полностью исключить, то его можно свести к минимуму. В абсолютном большинстве систем есть возможность настроить суточные, еженедельные или месячные лимиты на операции. Если в вашем банке существуют такие ограничения на переводы по умолчанию (обычно 3-5 тыс. долл. в день) – это хорошо.
Произвести переводы на бОльшие суммы, как правило, возможно в офисе банка, да и требуется это нечасто. Если возможно настроить лимит самостоятельно, сделайте это в обязательном порядке в соответствии со своими расходами. Как минимум это следует сделать для карты, которая привязана к вашему интернет-банку.
Безопасный доступ к мобильной версии
Доступ в Мобильный банк, как правило, можно получить либо через специализированный для малых экранов смартфонов веб-сайт, или с помощью клиент-программы, которую можно загрузить на официальных сайтах банков. Так вот в случае с сайтом, «заражённый» зловредным ПО смартфон может привести вас совсем на другой веб-ресурс (имя веб-сайта будет схожим с именем вашего банка), где мошенники уже заготовили полноценную копию системы удаленного обслуживания вашего банка.
Главная цель таких мошеннических манипуляций – выманить пару идентификатор-пароль, а также как можно больше одноразовых кодов, с помощью которых можно подтвердить денежные переводы с ваших счетов. В большинстве случаев, для минимальной атаки, достаточно пяти кодов – один для авторизации, парочка на обнуление счетов и «перегон» всей суммы в банке на один счёт (чаще рублёвый), а остальные – на подтверждение операций на «подставные» данные. Быстрее всего осуществить схему перевода внутри банка (да-да, мошенники все готовят заранее) и оперативно обналичить всю суммы через банкомат.
В случае использования клиент-приложения сделать это сложнее – никакой перехват или подмена там невозможны. Но для того, чтобы быть в этом уверенным, надо скачивать инсталлятор из совершенно доверенного места (Apple App Store, Google Play, Windows Phone Store, BlackBerry App World и т.д.), по ссылкам с сайтов финансово-кредитных учреждений (банков).
SMS-уведомления об операциях
Сервис «последнего шанса» – это смс-сообщения обо всех действиях в интернет-банке с вашими счетами. Крайне внимательно надо следить за входом в систему онлайн-банкинга. Как правило, SMS-ки приходят с указанием IP-адреса, но не стоит быть наивными: его легко можно подменить с помощь самого элементарного VPN-тоннеля.
Поэтому самое важное – сам факт осуществления входа в систему онлайн-банка от вашего имени. Если вы этого точно не совершали, моментально звоните в службу поддержки своего банка и блокируйте свой доступ: лучше «перебдеть», чем остаться с носом.
Помимо этого, SMS-ки потребуются для уведомления о транзакциях – в этом случае желательно получать максимально полные данные с суммами платежей / переводов, а не просто информацию о самом факте произведенной операции. Конечно, такие системы информирования требуют оформления дополнительных услуг за абонентскую плату, обычно в пределах 1-3 долл. в месяц – мизерная плата за возможность оперативно блокировать переводы.
Обязательно сохраните в памяти телефона номер call-центра банка (для Сбербанка: 8800-555-5550), чтобы в экстренной ситуации не терять время на его поиски.
Не надо верить «службам поддержки»
Социальная инженерия – главное «оружие» телефонных разводил, которые опираются в своей «работе» на возможности систем дистанционного банковского обслуживания. Например, если ваши личные данные «ушли налево» (особо это относиться к паре логин-пароль), то при нехватке информации мошенники попробуют вам позвонить, притворившись службой поддержки банка.
Как правило, они начинают рассказывать байки про сбои в системе обслуживания и необходимость проверить вашу личность. Или, если у них имеются данные по вашим транзакциям, вам скажут о блокировке операций и предложат «снять блокировку карты» с помощью одноразовых кодов подтверждения.
Вариантов очень много, и мошенники будут действовать весьма убедительно. Рекомендация здесь только одна: звоните в call-центр своего банка самостоятельно по тому номеру, который указан на официальном веб-сайте, и уточняйте всю необходимую информацию. Иначе существует шанс добровольно (и, соответственно, безвозвратно или с весьма призрачным шансом возврата) отдать мошенникам все свои деньги.
