Контакты
Подписка 2024

Как не потерять деньги, используя мобильный банк

Михаил Кондрашин, 17.04.19

 kondrashin

Более 2 млрд человек сегодня управляют своими финансами с помощью онлайн-банкинга. Удобные приложения для мобильного банка позволяют управлять счетами из любой точки мира, где есть интернет. Кажется, что идеальная система разработана, остаётся только жить и радоваться. К сожалению, всё не настолько радужно. Даже самая совершенная технология имеет лазейки, которые с успехом эксплуатируют хакеры. Лёгкость использования только играет им на руку.

Согласно исследованию Trend Micro за 2018 год количество уникальных банковских троянов достигло свыше 214 тыс. Заразив смартфон вредоносными программами, они могут опустошить банковские счета жертвы, похитить персональные данные или оформить кредит.

В этой статье Михаил Кондрашин, технический директор Trend Micro в странах СНГ, Монголии и Грузии, расскажет о том, как киберпреступники атакуют мобильные банки и что нужно делать, чтобы защитить свои деньги.

Атаки на мобильный банкинг

Фальшивые банковские программы

Как ни печально, магазины приложений Apple и Google тоже не дают 100% защиты от вредоносов. Преступники находят лазейки в процедурах проверки и размещают троянские программы прямо в официальных каталогах. После скачивания и открытия приложения на смартфоне запускается фейковое окно, куда пользователь вводит персональные данные, которые затем попадают к злоумышленникам. Кроме того, банковские трояны могут перехватить sms- сообщения, предназначенные для аутентификации пользователя. Например, похититель банковских учётных данных для Android под названием BankBot, размещенный в Google Play, маскировался под официальные банковские приложения и крал учетные данные.

Также одним из самых «успешных» вредоносов стал FakeSpy, основной удар от которого получили корейские пользователи.  Жители скачивали вирусное ПО FakeSpy, которое имитировало приложения местных финансовых организаций. После установки, вредонос получал доступ к SMS-сообщениям, информации об устройстве, а также мог обновлять настройки девайса.

Помимо подделки официальных сервисов злоумышленники создают приложения, с дополнительными услугами.  Например, зловредное приложение Currency Converter, замаскированный под конвертер валют Currency Converter, которое на самом деле загружало вредоносные данные — связанные с банковским вредоносным ПО Anubis.

Компрометация устройства

Современные гаджеты хорошо защищены от несанкционированного использования. Однако существуют способы взломать эту защиту и получить возможность делать всё что угодно. На устройствах Apple эта процедура называется джейлбрейк. Как правило, её проводят сами пользователи, чтобы получить доступ к файловой системе iPhone, iPod или iPda и устанавливать приложения не только из App Store.

Аналогичная процедура для Android-устройств называется рутованием. Она также позволяет получить полный контроль над гаджетом и сделать то, что в обычных условиях операционная система не разрешает, например, ограничить сетевую активность каких-то приложений, удалить неудаляемое предустановленное ПО и даже разогнать процессор.

Используя фишинг, злоумышленники могут с лёгкостью установить вредоносное ПО на рутованный или джейлбрейкнутый смартфон, чтобы похитить учётные данные к банковским системам или перехватить их во время работы. Как правило, жертва ничего не замечает, и только лишившись всех денег, вспоминает, что «просто перешла по ссылке в письме» или «запустила обновление для Flash Player, которое предложил скачать один сайт».

Помимо этого, Android стал мишенью для злоумышленников из-за сервиса специальных возможностей. Скаченный зловред Anubis в составе фейкового приложения, использовал уязвимость сервиса, чтобы фиксировать нажатия клавиш, создавать снимки экранов во время того, когда пользователь вводил учетные данные, и шифровать файлы, хранящиеся во внешнем хранилище устройства.

Скомпрометированные сети

Подключаясь к публичным беспроводным сетям, стоит осознавать уровень риска, которому вы себя подвергаете. Хакеры могут взломать точку доступа Wi-Fi и добавить в прошивку специальные программы, которые будут перенаправлять всех подключившихся беспроводной сети на мошеннические сайты или заменять рекламные баннеры на странице на вредоносные и перехватывать все учётные данные, которые вы введёте.

Другой вариант атаки на пользователей публичных сетей — установка фальшивой точки доступа неподалёку от популярного заведения. Полностью контролируя трафик точки доступа, хакеры также могут перенаправить вас на фишинговый сайт или перехватить все логины и пароли.

Опасный голосовой помощник

Было обнаружено, что голосовой помощник Siri может легко дать доступ к sms-банкингу постороннему человеку. Если мобильный банк владельца IPhone имел возможность проводить операции с помощью СМС-сообщений по номеру телефона, то даже на заблокированном экране и при определённом наборе команд Siri могла делать денежный переводы. Таким образом, потеря или кража смартфона позволила бы злоумышленникам выводить деньги через смартфон.

4 шага к защите ваших денег

Шаг 1. Обеспечьте безопасность устройства

  • Приобретая бывшее в употреблении устройство, сделайте полный сброс настроек, чтобы гарантировать отсутствие предустановленного вредоносного ПО.
  • Включите пароль, графический ключ или биометрическую защиту, чтобы посторонние не смогли использовать устройство в ваше отсутствие.
  • Устанавливайте последние обновления операционной системы и программ. Обновления исправляют выявленные уязвимости, через которые хакеры и вредоносы могут внедриться на ваше устройство.
  • Не делайте джейлбрейк или рут гаджета, который вы используете для онлайн-банкинга и платежей. Преимущества полного контроля над устройством меркнут на фоне рисков, которые создаёт взлом.
  • Используйте функцию удалённой блокировки и очистки данных, чтобы в случае потери или кражи мобильного устройства преступники не получили доступ к финансовой информации.
  • Отключите работу голосового помощника на заблокированном экране.

Шаг 2. Обеспечьте безопасность приложений

  • Устанавливайте программы только из доверенных источников, таких как App Store или Play Market.
  • Будьте внимательнее даже к официальным магазинам и проверяйте, как минимум, в какой категории размещено приложение.
  • Устанавливайте все обновления банковских приложений, чтобы защититься от выявленных уязвимостей.
  • Запретите доступ к банковским приложениям с экрана блокировки, а также вывод их уведомлений на заблокированном смартфоне.

Шаг 3. Обеспечьте сетевую безопасность

  • Не пользуйтесь банковскими приложениями при подключении к открытым беспроводным сетям. Если сделать это всё-таки необходимо, в обязательном порядке используйте VPN для шифрования трафика или мобильный интернет 3G/LTE.
  • Подключаясь к сайту банка с мобильного устройства, убедитесь, что используется https-подключение.
  • Используя функцию бесконтактной оплаты с помощью смартфона (NFC), будьте внимательны и по возможности отключайте эту функцию, когда не используете её, чтобы не дать возможности преступникам воспользоваться вашими деньгами с помощью NFC-снифера.

Шаг 4. Защитите учётные данные

  • Отключите функцию автозаполнения для логинов и паролей в банковских приложениях или браузерах при работе с банками.
  • Не сохраняйте логины и пароли в браузере или в незащищённых программах для заметок. Установите менеджер паролей.
  • Пусть ваши пароли будут сложными и уникальными. Создавайте их в менеджере паролей и регулярно меняйте каждые 2-3 месяца.
  • Обязательно включите двухфакторную аутентификацию для банковских приложений, и тогда преступники, похитившие ваш логин и пароль, не смогут подключиться к банку от вашего имени без ввода дополнительного кода.
  • Проверяйте банковский счёт на предмет нелегальных транзакций.
  • Научитесь распознавать фишинговые сообщения и никогда не сообщайте мошенникам финансовые данные.
Темы:Банки и финансыTrend MicroМихаил Кондрашин

Еще темы...