Интернет-мошенники находят все новые способы завладеть деньгами пользователей мобильного банкинга. Для этого используются баги банковских приложений, методы социальной инженерии, сторонние приложения и так далее. Арсенал злоумышленников постоянно расширяется, и для того, чтобы избежать обмана, нужно постоянно быть начеку.
В последние несколько лет мошенники регулярно воруют со счетов россиян внушительные суммы, и эти цифры постоянно растут. «Индустрия» обмана пользователей приложений мобильного банкинга постоянно развивается, и злоумышленники используют все новые и новые методы, позволяющие им получить доступ к средствам граждан. Газета «Известия» рассказала о наиболее распространенных способах, к которым прибегают мошенники, и о том, как защитить свои деньги.
Проблемы с шифрованием
На руку злоумышленникам часто играют банковские приложения. На первый взгляд, они достаточно надежно защищены от взломов, однако в них хватает уязвимостей, которые могут оказаться фатальными для пользователя. В частности, как отмечают эксперты, в некоторых из них права привилегированного клиента можно получить без надлежащей проверки. Кроме того, вопросы у специалистов вызывает уровень шифрования данных при их передаче между сервером и устройством.
Подобными багами и обусловлена популярность MitM-атак: в этом случае мошенник осуществляет ретрансляцию связи между двумя сторонами и при необходимости изменяет ее, а они, в свою очередь, продолжают считать, что общаются непосредственно друг с другом.
Киберпреступники пользуются целым рядом распространенных уязвимостей в приложениях банков: это, к примеру, хранение аутентификационных данных в коде в открытом доступе, интеграция с технологией Deep-links, открывающая возможность для создания запросов, не предусмотренных приложением, и не только. Мошенники могут воспользоваться отсутствием жесткой валидации запросов от мобильного приложения к банковским серверам и за счет этого установить фальсифицированный сертификат на устройство пользователя, подделав в запросе счет получателя перевода и обеспечив себе доступ к деньгам клиентов. Такой запрос не вызовет подозрения со стороны банка, если системой не предусмотрен запрет на посторонние сертификаты. Специалисты отмечают, что взломы происходят при отсутствии политики «полного недоверия», при которой любое устройство должно подтвердить свои права на запросы и доказать их отправку банковским приложением.
Ненадежная верификация
Эксперты также обращают внимание на проблемы с системой верификации пользователей при входе в приложения банков. По их оценке, серьезный риск представляют незащищенная ОС и отсутствие двухфакторной аутентификации – отдельного ПИН-кода для запуска приложения.
Дело в том, что в устройствах, работающих на платформе Android, существует возможность внесения изменений в мобильные приложения или перехвата его соединения с банком вредоносными программами. Впоследствии это ПО сможет производить платежи через атакованное им банковское приложение и даже отправлять SMS с подтверждением.
Специалисты расценивают верификацию платежей и самого клиента как «ахиллесову пяту» большинства банковских приложений, причем снизить риск не позволяет даже двухфакторная идентификация через SMS: проблема в том, что сообщение с запросом подтверждения отправляется на тот же телефон, где установлено банковское приложение. По мнению экспертов, большую надежность обеспечивает двухфакторная аутентификация с использованием разных устройств – мобильное приложение должно быть установлено на одном из них, а SMSс подтверждением будут приходить на другое.
«Служба безопасности»
Но взлом банковских приложений с помощью вредоносного ПО – это не самый распространенный способ обмана клиентов банков. Чаще всего, все же, используются методы социальной инженерии, успешно зарекомендовавшие себя в последние несколько лет. Значительная часть мошенничеств осуществляется именно с ее помощью, когда злоумышленники выманивают у своих жертв коды и пароли. В 2020 году такие преступления составили 64% от общего числа случаев мошенничества. «Средний чек» подобных транзакций увеличился до 8,6 тысячи рублей.
Несмотря на распространение данной схемы, большинство взломов происходит, когда мошенники представляются сотрудниками службы безопасности банка. Они общаются с клиентами под видом представителей финансовой организации, получают код из SMS, номер карты и защитный код, после чего списание средств не представляет никаких сложностей. Чаще всего пользователи добровольно предоставляют свои данные третьим лицам.
Часто происходит и так, что преступники, действуя также от лица сотрудников банка, убеждают собеседников установить определенное ПО на свое устройство – например, TeamViewer или AnyDesk, чтобы самим получить прямой доступ к работе со смартфоном клиента. В подобных случаях реальной службе безопасности банка бывает очень сложно выявить мошенника, поскольку отличить его действия от действий реального клиента практически невозможно.
Постоянная бдительность
Эксперты дали рекомендации, позволяющие снизить риски хищения денежных средств с банковских счетов. Главная из них заключается в том, чтобы никогда не раскрывать персональные и личные данные людям, представляющимся сотрудниками колл-центра или службы безопасности, а в случае возникновения каких-либо сомнений перезванивать в сам банк по номеру, значащемуся на официальном сайте. Кроме того, лучше воздержаться от хранения важной информации – финансовых данных, ПИН-кодов, персональных данных и так далее – на мобильном устройстве. Не рекомендуется использовать слишком легкие, очевидные или повторяющиеся пароли.
Эксперты также предлагают с осторожностью относиться к повышению уровня привилегий приложения в ОС устройства и советуют тщательно следить за тем, какому приложению открывается доступ к данным, и к каким конкретно.
Если пользователь лишился денежных средств по собственной оплошности, как это происходит в большинстве случаев, банк едва ли вернет деньги, ведь клиент сам поверил мошенников или совершил необдуманные шаги. По закону финансовая организация обязана осуществить возврат средств, если клиент поставил ее в известность о подозрительной операции в течение суток с момента ее проведения. Но при этом со стороны пользователя не должно быть нарушений правил безопасности. В частности, он обязан не раскрывать посторонним информацию о данных карты и паролях – в противном случае деньги вернуть не удастся.
Специалисты обращают внимание, что на сегодняшний день банки располагают различными средствами и механизмами, которые позволяют обеспечить защиту от киберпреступников. Но банки не могут нести ответственность за то, какие программы скачивает на смартфон или иное устройство клиент, или каким-то образом это контролировать. Именно поэтому пользователи должны придерживаться мер безопасности и со своей стороны, не перекладывая эту задачу только на банк.
