Как уберечь деньги в Мобильном банке – угрозы от мошенников

Управление своими банковскими счетами через компьютер и смартфон довольно быстро из экзотической новинки превратилось в обязательную услугу большинства крупных банков РФ.

Большинство проблем пользователей таких систем, связанные с кражей денег, возникают при наличии целенаправленных атак весьма продвинутых в технических вопросах компьютерных гангстеров.

Полная защита от них представляется невозможной, но уменьшить угрозу «вскрытия» своего счёта в банке – реально.

Угроза для счетов – кейлоггеры

Если сложно взломать, то можно подсмотреть – именно такой подход практикуют компьютерные преступники достаточно часто. Самое важное в любом мобильном устройстве – это информация, указанная пользователем. В отличие от стационарного компьютера, много текстовых данных со смартфона украсть сложно – весьма трудно что-то набирать пальцем даже на крупном сенсорном экране.

Правила защиты мобильного банка от постороннего вторжения

Поэтому кейлоггеры – специальные программы, которые сохраняют в памяти устройства все нажатия клавиш для последующей пересылки злоумышленникам, здесь применяются часто. Попадают они на мобильные устройства, как правило, как «приправа» к какому-либо вполне надежному приложению, которое было получено из сомнительного источника. А данные пересылаются по беспроводной сети, к которой устройство и так подключёно круглосуточно.

Достаточно установить запуск приложения для мобильного банка, и можно приступать к сканированию и передаче информации. Из-за их сравнительно малого объёма, пересылку таких пакетов на удалённый сервер преступников никто не заметит.

Угроза – подмена SIM-карты

Разумеется, использование только логина и пароля для большинства банков недостаточно: требуются дополнительные коды подтверждения выполнения операций. Особой любовью у кибер-мошенников пользуются те системы, где одноразовые пароли для подтверждения операций присылают ввиде SMS на мобильный телефон.

Оформить копию вашей SIM-карты вполне возможно – достаточно использовать «левую» нотариальную доверенность для замены идентификационного модуля (оператор связи, как правило, нотариусу для проверки не звонит) или купить фальшивый паспорт (но это будет дорого). А ещё проще – просто подкупить сотрудника фирменной розничной сети оператора сотовой связи. И пожалуйста, можно работать – основные логин-пароль известны, SIM-карта имеется.

Конечно, такие махинации выполняются стремительно – оформили дубликат симки и сразу бежим «потрошить» счета пользователя с выводом денег на другие счета. И ведь ему даже SMS-сообщения о движениях средств приходить не будут: некуда.

В такой ситуации спасением может оказаться автоматическое уведомление по электронной почте и привычка часто звонить по своему мобильнику. Если «сеть не найдена», то впору, как можно быстрее, самому менять SIM-карту или хотя бы заблокировать её до вашего личного посещения офиса оператора связи.

Угроза – программы-перехватчики

В последнее время для пользователей мобильных устройств, которые функционируют под управлением ОС Android, подмена симки не обязательна. С использованием кейлоггера мошенники получают логин и пароль для авторизации в интернет-банке, а потом перехватывают SMS-сообщения с одноразовыми кодами, которые банковская система высылает на телефон жертвы. То есть на устройстве пользователя должен быть установлен целый вирусный комплекс ПО, которое принимает SMS-ки от банка, прячет их от владельца и моментально пересылает мошенниками.

Получается «волшебно» – можно в режиме online уводить деньги с банковского счета пользователя, причём так, что он ничего не заметит. Чтобы вынудить пользователя инсталлировать программу-перехватчик, его инфицированный смартфон направляют на фишинговую страничку банка, где рекомендуется установить «обновление системы безопасности».

Угроза – пренебрежение паролями

С паролями в системах дистанционного банковского обслуживания, конечно, проще, чем в любом интернет-сервисе, с той точки зрения, что его клиенту (чаще всего!) предоставляют для запоминания без возможности изменить. Поэтому набор символов будет бессмысленным для любого стороннего взгляда.

Как создать надежный пароль для учетной записи онлайн банка

Сложность только в том, чтобы её запомнить. И это проявляет самые разнообразные проблемы: наиболее опасное для мобильного банка – это сохранение пароля в виде текстового файла на диске устройства. Да ещё под именем «Пароль!». Или применение банковского пароля для блокировки устройства (чтобы лучше помнить) – такие системы защиты «ломаются» очень легко, поскольку файлы с паролями необходимыми для активации профиля, сравнительно слабо защищены.

В общем, желательно его запомнить и нигде не записывать, а если есть возможность выбора, то сделать пароль посложнее.

Лимиты на операции

Если вред невозможно полностью исключить, то его можно свести к минимуму. В абсолютном большинстве систем есть возможность настроить суточные, еженедельные или месячные лимиты на операции. Если в вашем банке существуют такие ограничения на переводы по умолчанию (обычно 3-5 тыс. долл. в день) – это хорошо.

Произвести переводы на бОльшие суммы, как правило, возможно в офисе банка, да и требуется это нечасто. Если возможно настроить лимит самостоятельно, сделайте это в обязательном порядке в соответствии со своими расходами. Как минимум это следует сделать для карты, которая привязана к вашему интернет-банку.

Безопасный доступ к мобильной версии

Доступ в Мобильный банк, как правило, можно получить либо через специализированный для малых экранов смартфонов веб-сайт, или с помощью клиент-программы, которую можно загрузить на официальных сайтах банков. Так вот в случае с сайтом, «заражённый» зловредным ПО смартфон может привести вас совсем на другой веб-ресурс (имя веб-сайта будет схожим с именем вашего банка), где мошенники уже заготовили полноценную копию системы удаленного обслуживания вашего банка.

Главная цель таких мошеннических манипуляций – выманить пару идентификатор-пароль, а также как можно больше одноразовых кодов, с помощью которых можно подтвердить денежные переводы с ваших счетов. В большинстве случаев, для минимальной атаки, достаточно пяти кодов – один для авторизации, парочка на обнуление счетов и «перегон» всей суммы в банке на один счёт (чаще рублёвый), а остальные – на подтверждение операций на «подставные» данные. Быстрее всего осуществить схему перевода внутри банка (да-да, мошенники все готовят заранее) и оперативно обналичить всю суммы через банкомат.

В случае использования клиент-приложения сделать это сложнее – никакой перехват или подмена там невозможны. Но для того, чтобы быть в этом уверенным, надо скачивать инсталлятор из совершенно доверенного места (Apple App Store, Google Play, Windows Phone Store, BlackBerry App World и т.д.), по ссылкам с сайтов финансово-кредитных учреждений (банков).

SMS-уведомления об операциях

Сервис «последнего шанса» – это смс-сообщения обо всех действиях в интернет-банке с вашими счетами. Крайне внимательно надо следить за входом в систему онлайн-банкинга. Как правило, SMS-ки приходят с указанием IP-адреса, но не стоит быть наивными: его легко можно подменить с помощь самого элементарного VPN-тоннеля.

Поэтому самое важное – сам факт осуществления входа в систему онлайн-банка от вашего имени. Если вы этого точно не совершали, моментально звоните в службу поддержки своего банка и блокируйте свой доступ: лучше «перебдеть», чем остаться с носом.

Помимо этого, SMS-ки потребуются для уведомления о транзакциях – в этом случае желательно получать максимально полные данные с суммами платежей / переводов, а не просто информацию о самом факте произведенной операции. Конечно, такие системы информирования требуют оформления дополнительных услуг за абонентскую плату, обычно в пределах 1-3 долл. в месяц – мизерная плата за возможность оперативно блокировать переводы.

Обязательно сохраните в памяти телефона номер call-центра банка (для Сбербанка: 8800-555-5550), чтобы в экстренной ситуации не терять время на его поиски.

Не надо верить «службам поддержки»

Социальная инженерия – главное «оружие» телефонных разводил, которые опираются в своей «работе» на возможности систем дистанционного банковского обслуживания. Например, если ваши личные данные «ушли налево» (особо это относиться к паре логин-пароль), то при нехватке информации мошенники попробуют вам позвонить, притворившись службой поддержки банка.

Как правило, они начинают рассказывать байки про сбои в системе обслуживания и необходимость проверить вашу личность. Или, если у них имеются данные по вашим транзакциям, вам скажут о блокировке операций и предложат «снять блокировку карты» с помощью одноразовых кодов подтверждения.

Вариантов очень много, и мошенники будут действовать весьма убедительно. Рекомендация здесь только одна: звоните в call-центр своего банка самостоятельно по тому номеру, который указан на официальном веб-сайте, и уточняйте всю необходимую информацию. Иначе существует шанс добровольно (и, соответственно, безвозвратно или с весьма призрачным шансом возврата) отдать мошенникам все свои деньги.


0 5.0/5