Управлять своими деньгами с помощью компьютера и смартфона достаточно просто — из экзотической новинки такие сервисы превратились в стандартный сервис большинства крупных финансово-кредитных учреждений РФ. Все проблемы пользователей таких систем, связанные с потерей денег, возникают в результате целенаправленных атак весьма просвещенных компьютерных бандитов. Полностью от них защитится нельзя, но снизить угрозу «вскрытия» своего банковского счета — реально.

Не смотря на то, что смартфонов и «мобильных» пользователей интернет-банками больше, чем тех, кто осуществляет доступ с компьютера, чаще всего атакам подвергаются именно версии систем дистанционного банковского обслуживания, которые установлены на обычных компьютерах. Дело в том, что эти системы базируются на распространенных операционных системах, для которых существует огромное число специально «заточенных» компьютерных вирусов. Со смартфонами ситуация другая. Не смотря на то, что смартфон все-таки можно потерять, приложение «мобильного банка» ничего особенно не скажет злоумышленнику — пара логин/пароль там не хранится, никаких логов активности не ведется, а шифрование передаваемых данных, в целом, достаточно для того чтобы клонировать такие системы с пользовательскими данными было нереально. Так что «карта угроз» здесь совсем другая — корпоративных счетов здесь обычно нет, чаще всего таким доступом пользуются только частники и уровень общей безопасности (как, впрочем, и величина среднего остатка по счету) не особенно велик.

Кейлоггеры

Если нельзя взломать, то можно подсмотреть — именно такой принцип используют компьютерные взломщики достаточно часто. Самое ценное в любом смартфоне — это информация, введенная пользователем. В отличие от компьютера, много текстовых данных со смартфона утащить не получится — достаточно сложно что-то набивать пальцем даже на большом сенсорном экране. Поэтому кейлоггеры, специальные программы которые записывают в память устройства все нажатия клавиш для последующей передачи злоумышленникам, здесь используются часто. Поступают они на устройства чаще всего как «Добавка» к какому-либо вполне респектабельному приложению, которое было взято из сомнительного источника. А данные отправляют по беспроводной сети, к которой пользователь и так подключен круглые сутки. Достаточно определить запуск программы- клиента для мобильного банка и можно начинать сканирование и передачу данных. Из-за их небольшого объема отправку таких пакетов на удаленный веб-сервер злоумышленников никто и не заметит.

Подмена SIM-карты

Конечно, только логин-пароль для большинства банков не подходит: нужны дополнительные коды подтверждения операций. Особенной любовью у злоумышленников пользуются те системы, где одноразовые коды для подтверждения операций приходят вам прямо на SMS. Получит копию вашей SIM-карты вполне реально — достаточно сдать «левую» нотариальную доверенность для смены идентификационного модуля (оператор связи обычно нотариусу для проверки не звонит) или нарисовать нужный паспорт (но это будет дорого). А чаще — просто подкупить сотрудника фирменной розничной сети оператора связи. И, вуаля, можно работать — логин-пароль известны, SIM-карта есть. Обычно все подобные операции проводятся стремительно — получили дубликат симки и сразу начинаем «потрошить» интернет-банк конкретного пользователя с выводом средств на другие счета. И ведь ему даже SMS-уведомления не будут приходить: некуда. В таком случае может спасти, конечно, автоматическое уведомление по электронной почте и привычка регулярно звонить по своему мобильнику — если «сеть не найдена» то впору поменять SIM-карту самому как можно скорее или хотя бы заблокировать ее до вашего персонального обращения в офис оператора связи.

Программы-перехватчики

В последнее время для владельцев устройств, которые работают на ОС Android подмена симки не обязательна — с помощью кейлоггера злоумышленники узнают пароль и логин для входа в интернет-банк, а потом перехватывают SMS-сообщения с кодами, которые банковский сервис отправляет на телефон жертвы для подтверждения операций. То есть на смартфоне пользователя стоит специальное вирусное ПО, которое получает SMSки от банка, скрывает их от владельца терминала и мгновенно пересылает злоумышленникам. Получается «волшебно» — можно в режиме реального времени грабить банковский счет пользователя, причем так, что он ничего не заметит. Чтобы заставить пользователя установить программу-перехватчик его зараженный смартик направляют на подложную страничку банка, где и предлагается установить «обновление системы безопасности».

Пароли

С паролями в системах ДБО, конечно, полегче чем в любом интернет-сервисе с той точки зрения, что его пользователю (чаще всего!) выдают для запоминания без возможности скорректировать. Поэтому набор символов гарантированно будет абракадаброй для любого постороннего взгляда. Проблема будет только в том, чтобы ее запомнить. И вот в этом случае проявляются самые разные проблемы: самое опасное для мобильного банка — это запись пароля в виде текстового файла в смартфон. Да еще с названием файла «Пароль!» Или использование банковского пароля для «запирания» устройства (ну чтобы не забыть его напрочь) — такие комбинации «ломаются» очень быстро поскольку файлы с паролями на мобильном устройстве, необходимые для активации профиля, весьма слабо защищены. В общем — лучше их запомнить и нигде не записывать и, если можно выбирать, то сделать посложнее.

Лимиты на операции

Если нельзя вред полностью исключить, то его можно минимизировать. В значительном числе систем есть возможность поставить лимиты на ежедневные операции — наиболее фродовыми являются платеж рублевый и валютный в свободной форме, а также переводы на банковские карты или на счета другим пользователям внутри одного банка (получатель ворованных денег скорее всего будет дропом). Если в вашем банке есть ограничения на такие переводы по умолчанию (обычно 3-5 тыс. долл. в день) — это отлично, совершить переводы на бОльшие суммы обычно можно в отделении банка и бывает это не часто. Если возможно установить лимит самостоятельно — сделайте это обязательно. Как минимум это необходимо организовать для карты, которая привязана к вашему интернет-банку.

Безопасный доступ к мобильной версии

Доступ в мобильный банк обычно можно организовать либо через специально оптимизированный для небольших экранов смартфонов веб-сайт или с помощью приложения (программа-клиент), которое можно скачать в официальных виртуальных торговых моллах. Так вот в случае с сайтом зараженный вирусом смартик может завести вас совсем на другой веб-ресурс (имя веб-сайта будет похожим с вашим банком) где мошенники уже приготовили полноценную копию-эмулятор системы ДБО вашего банка. Основная цель таких манипуляций — выманить пару логин-пароль, а также как можно больше кодов подтверждения операций (переменных кодов) с помощью которых можно подтвердить от вашего лица те или иные денежные переводы. Чаще всего для минимальной атаки хватит пяти таких кодов — один на вход, пара на обнуление депозитов и «перегон» всей суммы в банке на один счет (чаще рублевый), а остальные — на подтверждение транзакций на «левые» данные. Быстрее всего реализуется схема перевода внутри банка (да-да — мошенники готовятся заранее) и оперативный обнал всей полученной суммы через банкомат. В случае с работой через приложением сделать это сложнее — никакой перехват или подстановка там невозможны. Но для того, чтобы быть в этом уверенным надо загружать программу-клиент из совершенно доверенного места (Apple App Store, Google Play, Windows Phone Store, BlackBerry App World и т.д.). Для их загрузки пройдите по ссылкам с сайтов финансово-кредитных учреждений. В немодерируемых магазинах приложений можно найти вредоносные приложения, которые сами будут одним большим вирусом

SMS-уведомления об операциях

Сервис «последнего шанса» — это уведомление о всех операциях в интернет-банке с помощью коротких текстовых сообщений. Очень внимательно надо присматривать за входом в систему дистанционного интернет-обслуживания. Обычно SMSки приходят с указанием IP, но не будем наивными — его легко можно подделать с помощь самого простого VPN- тоннеля. Поэтому самое главное — сам факт наличия входа в систему от вашего имени. Если вы этого точно не делали — немедленно звоните в службу поддержки своего банка и блокируйте свой доступ: лучше «перебдеть», чем потерять деньги. Кроме того, SMSки будут нужны и для уведомления о транзакциях — в этом случае лучше получать полную информацию с суммами переводов, а не просто информацию о самом факте совершенных операций. Да, подобные варианты информирования требуют подключения дополнительных услуг за абонентскую плату, но 2-3 долл. в месяц небольшая плата за возможность оперативно заблокировать переводы. Кстати, забейте в память телефона номер call-центра своего банка, чтобы в экстренной ситуации не терять времени.

Не надо верить «службам поддержки»

Социальная инженерия — основное оружие телефонных мошенников, которые работают по системам ДБО. Если ваши данные «уходят налево» (особенно это касается пары логин- пароль), то при недостатке информации мошенники попробуют вам позвонить, прикинувшись службой поддержки банка. Обычно они будут сразу рассказывать вам байки про технический сбой и необходимость подтвердить свою личность. Или, если у них есть данные по вашим транзакциям, вам расскажут о блоке операций и предложат «разблокировать карту» с помощью кодов подтверждения для интернет-банка  В общем, вариантов может быть много и мошенники будут крайне убедительны. Совет здесь только один — перезвоните в call-центр своего банка самостоятельно по тому номеру, который есть у него на веб-сайте и уточните всю необходимую информацию. Иначе есть шанс добровольно отдать мошенникам все свои деньги. С весьма призрачной надеждой их когда-то увидеть вновь.

Копаст: computerra.ru