Помните о правилах мобильной безопасности банковских счетов

Как сообщают исследовательские агенства, в течение последних трёх с половиной лет количество пользователей мобильного банкинга увеличилось на 250%.

Вряд ли стоит удивляться этой восходящей тенденции, потому что мобильные приложения имеют больший спектр функциональных возможностей. С их помощью клиенты могут, например, проверить состояние счета, перевести деньги, создать сберегательный счет, внести платеж, и даже снять деньги через банкомат.

Мобильный банкинг: удобно, но безопасно ли

В последнее время уязвимости в операционных системах, установленных на смартфонах и планшетах, выявляются всё чаще. Клиенты банковских мобильных приложений гораздо более уязвимы для атак хакеров, чем пользователи ноутбуков или настольных компьютеров.

К аналогичным выводам склоняется также отчет компании Akamai Technologies, касающийся угроз и безопасности сети. Обращает внимание тот факт, что до 20% всех кибер-атак происходило при подключении смартфонов и планшетов к сети интернет. Мобильные устройства также заражались вредоносными программами, скрытыми в бесплатных играх, файлах MP3 или SMS.

Такой большой рост виртуальных преступлений можно интерпретировать следующим образом:

• пользователи мобильных устройств в меньшей степени, чем пользователи компьютеров, заботятся о безопасности, например, не устанавливают на телефоны антивирусные программы, читают SMS-сообщений с неизвестных номеров, не устанавливают лимиты операций
• одновременно мошенники используют все более изощренные методы, используя уязвимости в операционных системах, устанавливаемых в телефонах и планшетах (например, протокол SSDP в операционной системе Windows или ошибки в библиотеке Android).

К сожалению, большинство пользователей банковских приложений не понимают масштаб угроз. Как показал очередной отчет, до 52% пользователей считают мобильный банкинг исключительно безопасным способом проведения финансовых операций.

Мошенники используют наивность клиентов

В большинстве случаев хакеры взламывают телефон жертвы с помощью умело созданных SMS. Сообщение, как правило, выдержаны в категорическом, официальном тоне – содержит важную информацию от банка, например, рекомендацию установить последнюю версию мобильного приложения.

Выполнение этого требования позволяет хакерам установить на телефон вредоносное программное обеспечение, которое захватывает конфиденциальные данные, – обычно логин и пароль к учетной записи.

Метод SMS может иметь различные варианты – некоторые из них мы опишем ниже.

Поддельные SMS с паролем для интернет-банкинга

В этом случае вредоносные программы (установленные после выполнения поддельной «команды» из банка) перехватывают пароль для интернет-банкинга.

Делается это следующим образом: первая попытка входа в систему не выполняется и пользователь должен повторить всю операцию, однако, во время второго входа поле для ввода пароля принудительно подменяется символами на других позициях. После введения символов в обеих формах, хакер получает полный пароль, а, следовательно, свободный доступ к учетной записи.

Помните! В случае неудачной попытки входа в учетную запись с помощью пароля, обратите внимание на то, чтобы во время обеих попыток поля для ввода символов находились именно в тех же местах. Если нет, прекратите попытку входа в систему и сообщите своему банку о проблеме.

Подмена получателя денежных переводов

Такого рода нападение произошло в октябре прошлого года и касалось клиентов определенного известного банка. Клиенты мобильного банкинга получили SMS-сообщения с информацией о том, что из соображений безопасности доступ к счетам был ограничен и необходимо проведение повторной проверки.

Важно отметить, что настоящий банк никогда не запрашивает конфиденциальные данные, такие как пароль учетной записи или PIN-код для карты.

После прохождения предполагаемой проверки клиенту было предложено войти в сервис и проверить, работает ли он без проблем. К сожалению, пользователи входили на поддельную страницу. Затем на поддельной веб-странице появлялась информация о том, что произошло изменение счета и следует подтвердить вход, присланным банком кодом. Его ввод имел фатальные для клиента банка последствия, ибо код позволял подменять номера счетов.

Хакерское нападение с использованием QR-кода

Этот метод менее известен, поэтому стоит немного более подробно его описать. Чаще всего, фальшивые QR-коды включаются в отправленные якобы от банка сообщения или размещаются на достоверно выглядящих материалах, например, листовках или торговых презентациях.

Подвох заключается в обещании клиенту после сканирования QR-кода получить доступ к бесплатному и привлекательному приложению банка.

Вместо этого, на телефон жертвы устанавливалось зловредное ПО, которое брало на себя контроль над телефоном и содержащимися в нём данными, в частности:

• перенаправляло звонки;
• подслушивало разговоры с помощью микрофона в телефоне;
• перенаправляло сообщения SMS (например, с кодами для авторизации транзакции);
• блокировало восстановление заводских настроек и эффективную «очистку» телефона.

Мошенники используют уязвимости программного обеспечения

Если описанные выше методы использовали безрассудство пользователей банковских приложений для мобильных устройств, то в случае остальных атак трудно говорить об их беспечности или отсутствии благоразумия.

Всё чаще и чаще киберпреступники используют уязвимости в программном обеспечении, установленном на мобильном телефоне и, таким образом, получают доступ к конфиденциальным данным.

Ошибка Stagefright

Этот метод использует баг Stagefright, то есть уязвимость в библиотеке, ответственной за работу с мультимедиа в операционной системе Android.

Смартфон может быть атакована с помощью правильно созданного текстового сообщения, которое, например, призывает к скачиванию файла MP3 или MP4. Однако, в отличие от типичного «фишинга», здесь не потребуется ни открытие письма или смс, или загрузка файлов. Злоумышленник посылает только сообщение на указанный номер телефона (обычно в виде MMS), а затем начинает исследовать его содержимое, о чем вы не имеете ни малейшего понятия.

Хотя после сообщения о проблеме Google разработал патч, позволяющий ликвидировать пробел, к сожалению, многие пользователи Android ещё не получили его. Распространением исправлений занимаются производители смартфонов и операторы сотовой связи, которые не всегда выполняют эту задачу, особенно в случае старых моделей телефонов.

Атака по протоколу SSDP

В этом случае киберпреступники перехватывают контроль над планшетом/смартфоном или компьютером, используя старый, немного забытый, протокол SSDP Discovery Service из Windows 8.1, работающий с протоколом UpnP (Universal Plug and Play).

Последнее решение позволяет осуществлять прямую связь между компьютером и сетевыми устройствами, такими как принтеры, камеры, телевизоры или медиа-сервера.

К сожалению, оно имеет, так называемые, ошибки удаленного выполнения кода, которые позволяют злоумышленникам обойти защиту компьютера и выполнить на нём различных операций с правами верхнего уровня, например, загрузка без ведома пользователя вредоносного программного обеспечения.

Чтобы обезопасить себя от злоумышленников, владелец компьютера или смартфона, должен установить соответствующий патч или, по крайней мере, выключить поддержку UpnP.

Основные правила безопасности мобильного банкинга

Чтобы безопасно использовать ваш мобильный банк на вашем мобильном устройстве, всегда соблюдайте следующие правила:

1. В первую очередь, убедитесь в том, что SMS исходит от банка. Внимательно читайте SMS сообщения, особенно подтверждения выполняемых сделок. Всегда проверяйте, что указанные в сообщении действия, номера счета и сумма совпадают с указанными Вами.
2. Используйте легальное программное обеспечение для защиты мобильных устройств. Никогда не устанавливайте на свой телефон антивирус, ссылку на который Вы получите в SMS-сообщении от «банка».
3. Избегайте входа на счет в банке с чужих планшетов и телефонов. Используйте принцип ограниченного доверия.
4. Не упрощайте ворам жизнь, и не храните в памяти телефона таких важных данных, как пароль доступа к счету или ПИН-код для карты.
5. Если Вы продаете или отдаете свой мобильный телефон другому человеку, не забудьте о предварительной деактивации банковского приложения.
6. Используйте блокировку телефона при помощи рисунка или пароля – вор будет иметь гораздо больше сложностей с доступом.
7. Не используйте мобильное приложение в публичных сетях Wi-Fi. В домашней, только если она хорошо защищена. В остальных местах лучше использовать мобильный интернет.
8. На конец, самое главное – определить суточные лимиты операций (если ваш банк дает вам такую возможность).

Спасибо за внимание. Надеемся, что вам понравилась наша статья.