На дворе 2018 год, и мало кто захочет идти в банк, чтобы сделать перевод с одного счёта на другой. Это нормально - технологии привносят с собой удобство, и человек быстро привыкает к хорошему (а отвыкает медленно). И удобство часто перевешивает такие понятия, как безопасность - её же нельзя потрогать.
А последствия очевидны. В 2017 году факты мошенничества в России в среднем регистрировались каждые три минуты, в том числе и мошенничества с использованием средств дистанционного банковского обслуживания. А раскрываемость мошенничеств в РФ - лишь 25%.
Двухфакторная аутентификация превращается в однофакторную
Ещё есть места в Интернете, где совершать покупки онлайн можно безо всяких двухфакторных аутентификаций, одноразовых паролей по СМС и новомодных технологий вроде 3DSecure. Тут всё очевидно: украл злоумышленник данные с карты и давай опустошать её счёт.
Но всё-таки ситуация улучшается: сейчас такие сайты ещё поди найди... Даже биткоины купить - и то не только проверочный код придёт, но ещё и паспорт потребуют!
Но тут в дело вступает смартфон. По разным оценкам, количество вредоносного программного обеспечения, создаваемого для смартфонов (в подавляющем большинстве - на базе Android), уже либо вплотную приблизилось к количеству ВПО для обычных компьютеров, либо - превысило его. И некоторые трояны просто-напросто перехватывают смски, не показывают их пользователю, пересылают злоумышленнику...
За вас могут сделать что угодно, и вы сами это же всё и подтвердите - даже не узнав об этом. Вот у автора этих строк телефон, завязанный на аутентификацию платежей одноразовыми номерами, кнопочный. Знаете, что я делаю с вредоносными СМС? Ничего - часто я даже не могу их прочесть.
Троян с доставкой на дом
Распространяются банковские трояны обычно в каталогах приложений или с помощью спама. Каталоги непонятных сайтов троянами заражены почти наверняка, но дело обстоит даже хуже - трояны умеют пролезать в приложения на Google Play. В худших ситуациях скачать такое приложение успевают миллионы людей. Удивительно, но сторонний антивирус, сканирующий приложения на гуглплей пачками, находит больше, чем сам гугл при проверке приложений перед добавлением.
Почему так происходит - не очень понятно. Есть версия, что поведенческие механизмы, проверяющие, что приложение делает, не помогают, если в троянец вшит таймер отложенного запуска.
Или если по разным критериям троян определяет, что его тестируют, а не запускают на настоящем устройстве. Так или иначе, но вывод тут простой: качать приложения нужно с большой осторожностью, даже из официальных магазинов.
Есть вариант и со спамом. Если вам от товарища приходит загадочная смс, например, с предложением об обмене с доплатой на сайте объявлений, а вы ничего там и не выставляли и ничем не интересовались - срочно сообщите этому самому товарищу, что его телефон взломали. Многие люди, не думая, щёлкают по ссылкам в таких сообщениях, потом устанавливают предложенное приложение... А потом их список контактов получает то же самое.
Черный банкинг
Буквально несколько месяцев назад исследовали очередной банковский троян подобного типа, получили доступ к командному серверу - и на счетах владельцев заражённых устройств аналитики насчитали более 78 миллионов рублей. Там даже статистика была. Скажем, в какой-то день удалось назаражать людей на целых 13 рублей на счету - суммарно! Но шутки шутками, а когда счёт заражённых идёт на тысячи, все эти копейки складываются в серьёзные суммы.
Чтобы потерять деньги, не обязательно даже пользоваться онлайн-банкингом.
Многие банки подключают пользователям мобильный банкинг, в котором можно переводить деньги между счетами частных лиц внутри этого банка буквально парой смсок. Так и работают подобные трояны - смс на мобильный банк запрашивает состояние счёта, потом порциями переводит всё, что есть на этом счету, на сторонний счёт, который потом оперативно опустошается - а пользователь ничего даже не замечает, поскольку до него эти смс и смс об успешной операции не доходят.
Враги - повсюду
Есть и другие способы относительно несложного отъёма денег у населения. Трояны, например, могут:
- изображать окна банка, подменяя фальшивыми настоящие,
- могут подменять окна платёжных систем вроде PayPal,
- могут выманивать одноразовые пароли с помощью социальной инженерии.
Кстати, важно отметить - в отличие от атак с использованием ВПО, социальная инженерия отлично работает хоть на iOS, хоть вообще на кнопочном телефоне. Никому нельзя верить! Даже вроде бы служебным номерам входящих звонков и смс - отображаемый номер можно подменить.
Глас вопиющего в пустыне
Безопасность, как всегда, сражается с удобством, и лучший способ быть максимально безопасным - это не делать на телефоне, подключённом к мобильному банкингу, ничего, кроме этого самого банкинга.
По аналогии с компьютером в организации, на котором стоит банк-клиент: в идеале он должен стоять в тёмной комнате, ключи от которой есть только у ответственных лиц, на нём никто не должен сидеть в "Одноклассниках", а связь с сетью организации должна быть как минимум существенно ограничена.
Но это всё известно давным давно, а воз и ныне там. Удобство побеждает! Посему - будьте бдительны и установите антивирус на смартфон.
Кирилл Кожевников
Автор блога АйТи
Вам понравилось? Поставьте лайк и подпишитесь на новые статьи!