Правила безопасности в мобильном банке

  1. Мобильный банкинг: удобно, но безопасно?
  2. Мошенник использует наивность клиентов мобильного банкинга
  3. Поддельное СМС извлекает пароль для электронного банкинга
  4. Поддельная СМС «подставляет» получателя перевода - деньги идут на счет вора
  5. Взлом атаки с помощью QR-кода
  6. Мошенник использует программные бреши
  7. Жук-дракончик
  8. Атака через SSDP
  9. Основные принципы безопасности в мобильном банкинге
  10. Безопасность, используемая банками
  11. Помните правила безопасности мобильного банкинга!

Банк на телефоне - это удобное и функциональное решение. Тем не менее, динамичное развитие мобильных технологий несет с собой ряд угроз, в основном связанных с кибератаками. Стоит знать методы, используемые мошенниками, и в ваших собственных хорошо понимаемых интересах обеспечить безопасность мобильных транзакций.

По данным PFSA, за последние три с половиной года количество пользователей, использующих мобильный банкинг, увеличилось на 250% и составило около 4,3 млн. В прошлом году. Данные офиса также показывают, что в 2013 году процентная доля владельцев смартфонов, использующих мобильный банкинг, составляла 12%, а в 2015 году - 43%.

Вряд ли это удивляет, так как мобильные приложения обладают растущим диапазоном функциональных возможностей. Через них клиенты могут, например, проверить баланс счета, перевести деньги, внести депозит, сделать бесконтактный платеж по телефону и даже снять деньги в банкомате. Мобильные клиенты также получают доступ к специальным банковским продуктам, таким как программы скидок или мини-акции.

Мобильный банкинг: удобно, но безопасно?

В последнее время уязвимость в системах, установленных на смартфонах и планшетах, беспокоит Управление финансового надзора. ваше сообщение KNF подчеркнул, что клиенты, использующие мобильные банковские приложения, гораздо более уязвимы для хакерских атак, чем пользователи, использующие ноутбуки или настольные компьютеры.

Он также делает аналогичные заявления Отчет Akamai Technologies о сетевых угрозах и безопасности. Было обращено внимание на тот факт, что в первом квартале 2015 года до 20% всех кибератак были связаны со смартфонами и планшетами с доступом в Интернет. Мобильные устройства также заражены вредоносными вирусами, скрытыми в бесплатных играх, MP3 или текстовых сообщениях.

Такой большой рост виртуальных преступлений можно объяснить следующим образом:

  • пользователи мобильных устройств в меньшей степени, чем пользователи компьютеров, заботятся о безопасности (например, они не устанавливают антивирусные программы на свои телефоны, не читают SMS-сообщения с неизвестных номеров, не устанавливают лимиты для транзакций, выполняемых с использованием мобильного приложения),
  • в то же время мошенники используют все более изощренные методы, используя уязвимости в системах, установленных на телефонах и планшетах (например, протокол SSDP в операционной системе Windows или ошибка в библиотеке Android).

К сожалению, большинство пользователей банковских приложений не знают о масштабах угроз. Как показывает другой доклад, на этот раз подготовленный Фонд Кроненберга 52% поляков считают мобильный и интернет-банкинг исключительно безопасным способом проведения финансовых операций и даже не используют самую базовую защиту своего счета.

Мошенник использует наивность клиентов мобильного банкинга

В большинстве случаев хакеры врываются в телефон жертвы с помощью искусно созданного SMS. Сообщение, обычно поддерживаемое категорическим официальным тоном, содержит важную информацию из банка, например, команду установить последнюю версию мобильного приложения. Выполнение этого запроса позволяет хакерам установить на телефон вредоносное программное обеспечение, которое собирает конфиденциальные данные, чаще всего имя пользователя и пароль к учетной записи. Метод «on SMS» может иметь разные варианты - некоторые из них описаны ниже.

Поддельное СМС извлекает пароль для электронного банкинга

В этом случае вредоносная программа (установленная после выполнения ложной «команды» от банка) фиксирует полный пароль для онлайн-банкинга. Это делается следующим образом: первая попытка входа в систему не удалась, и пользователь должен повторить всю операцию, но во время второго входа в систему поле для ввода пароля вынуждает символы вводиться в других позициях. После объединения символов, полученных в обеих попытках, хакер получает полный пароль и, таким образом, свободный доступ к учетной записи.

пример:

пример:

Источником изображения является сайт ING Bank Śląski.

Помните! В случае неудачной попытки входа в свою учетную запись с замаскированным паролем, обратите внимание, что во время обеих попыток поля для ввода символов расположены точно в тех же местах. Если нет, остановите попытку входа в систему и уведомите свой банк.

Поддельная СМС «подставляет» получателя перевода - деньги идут на счет вора

Этот тип атаки произошел в октябре прошлого года и касался клиентов известного банка. Клиенты, использующие мобильный банкинг, получили SMS-сообщение о том, что по соображениям безопасности доступ к сервису транзакций был ограничен и необходима повторная проверка. Важно отметить, что «банк» не запрашивал конфиденциальные данные, такие как пароль учетной записи или PIN-код карты, клиенты должны были бы указать, например, номер счета или девичью фамилию матери. В то же время, зашитые в текстовом сообщении, вирус заразил их телефон и подготовил почву для воров для второго этапа мошенничества.

После предполагаемой проверки клиенту было предложено войти на сайт и проверить, работает ли он без проблем. К сожалению, он зашел не на сайт банка, а на страницу, идеально подготовленную хакерами (там даже содержалось предупреждение против киберпреступников и информация о необходимости соблюдения правил безопасности). Затем, с ложной стороны, появилась информация, что формула счета была изменена, и счет должен быть утвержден с новым кодом, отправленным банком. Его использование имело катастрофические последствия для клиента банка, потому что код изменил номер счета и определил вора в качестве определенного получателя. В результате все другие, казалось бы, правильно сделанные переводы были отправлены непосредственно на счет киберпреступников, и жертва не знала, что он отправляет деньги ворам.

Это стоит помнить:

  1. Перед каждым входом в систему транзакций с мобильного устройства проверяйте, имеет ли адрес браузера правильный банковский адрес - ему должен предшествовать ярлык https: // (а не http: //) и иметь сертификат безопасности - закрытый замок рядом с адресом сайта. , Как отличить подлинную сторону банка от ложной, мы объясним именно в этом статья );
  2. Запомните интернет-адрес вашего банка, тогда будет намного легче заметить любые отклонения;
  3. Если какое-либо сообщение или элемент мобильной службы вызывает у вас сомнения (например, процесс входа в систему занимает слишком много времени, появляются необычные команды) - немедленно прекратите действие.

Взлом атаки с помощью QR-кода

Этот метод менее известен, поэтому стоит описать его более точно. Чаще всего поддельные QR-коды прикрепляются к сообщениям электронной почты, отправляемым якобы банком или размещаемым на заслуживающих доверия материалах, например листовках или коммерческих презентациях. Задача состоит в том, чтобы пообещать клиенту, что после сканирования QR-кода он получит доступ к бесплатному и привлекательному банковскому приложению. Затем, ничего не подозревая, жертву просят установить программное обеспечение, которое контролирует телефон и содержащиеся в нем данные и позволяет, среди прочего:

  • переадресация звонков;
  • прослушивание разговоров с помощью микрофона на телефоне;
  • перенаправление SMS-сообщений (например, с кодами для авторизации транзакции);
  • восстановление заводских настроек и эффективная «очистка» телефона.

Как распознать такую ​​атаку? В инструкциях по установке запрашивается разрешение на установку приложения из ненадежных источников, а также на то, что приложение не проверяется антивирусным программным обеспечением из-за неверного результата сканирования.

Это стоит помнить:

  1. Банк никогда не просит своих клиентов установить дополнительные приложения или сертификаты электронной безопасности посредством текстовых сообщений или сообщений на сайте банка! Банк также не отправляет электронные выписки со счетов, упакованных в ZIP-файл, и не запрашивает несколько кодов с скретч-карты подряд. Если вы удовлетворяете этот тип запроса, игнорируйте их и свяжитесь с горячей линией вашего банка;
  2. Приложения для мобильных устройств можно загрузить только из официальных магазинов: AppStore (для iOS), Google Play (для Android), Windows Phone Store или Windows Store (для систем Windows). Программы, расположенные там, проходят проверку. Избегайте загрузки приложений от третьих лиц, например, передаваемых через Bluetooth;
  3. Не читайте QR-коды неизвестного происхождения.

Мошенник использует программные бреши

Хотя в ранее описанных методах использовалось безрассудство пользователей банковского мобильного приложения, в случае других атак сложно говорить об их небрежности или неосторожности. Киберпреступники все чаще используют уязвимости в программном обеспечении, установленном в мобильном телефоне, и таким образом получают доступ к конфиденциальным данным.

Жук-дракончик

Этот метод использует ошибку Stagefright, czylilukę в библиотеке, отвечающей за поддержку мультимедиа на Android. Ячейка может быть атакована с помощью специально созданного текстового сообщения, которое, например, предлагает вам загрузить файл MP3 или MP4 или развлекательное приложение. Однако, в отличие от типичного «фишинга», нет необходимости открывать корреспонденцию в форме электронного письма или текстового сообщения или загружать предлагаемые файлы. Злоумышленник только отправляет сообщение на указанный телефонный номер (обычно в виде MMS), а затем начинает исследовать его содержание, о котором пользователь не имеет ни малейшего представления.

Хотя после сообщения о проблеме Google разработал патч, позволяющий закрыть уязвимость, к сожалению, многие пользователи Android еще не получили его. Производители смартфонов и операторы мобильной связи, которые не всегда выполняют эту задачу, занимаются распространением исправлений, особенно в случае более старых моделей сотовых телефонов.

Подробнее о том, как бороться с этой проблемой, вы найдете здесь.

Атака через SSDP

В этом случае киберпреступники получают контроль над планшетом / смартфоном или компьютером, используя старый, несколько забытый протокол службы обнаружения SSDP в Windows 8.1, работающий с протоколом UpnP (Universal Plug and Play). Последнее решение обеспечивает прямую связь между компьютером и сетевыми устройствами, такими как принтеры, камеры, телевизоры или мультимедийные серверы. К сожалению, он содержит так называемые ошибка удаленного выполнения кода, позволяющая злоумышленникам обходить компьютерную безопасность и выполнять над ней различные операции верхнего уровня , например, загрузку без ведома пользователя вредоносного программного обеспечения. (подробное описание проблемы можно найти на сайт Microsoft). Чтобы обезопасить себя от хакеров, владелец компьютера или смартфона должен установить соответствующий патч или, если он не может загрузить патч сам - хотя бы отключить поддержку UpnP.

Это стоит помнить:

  1. Если вы используете телефоны Android, включите опцию, которая запрещает установку программного обеспечения из неизвестных источников.
  2. Отключите услугу Universal Plug and Play (UpnP) в настройках своего смартфона или компьютера.

Основные принципы безопасности в мобильном банкинге

Чтобы безопасно использовать свой банк на мобильном устройстве, всегда соблюдайте следующие правила:

  1. Во-первых, убедитесь, что SMS из банка действительно было отправлено вашим банком. Внимательно читайте сообщения, включенные в текстовые сообщения, особенно подтверждения выполненных транзакций. Всегда проверяйте, чтобы шаги, номер счета и сумма, указанные в сообщении, соответствовали заказам, которые вы заказали на сайте транзакции.
  2. Используйте законные антивирусные программы для защиты ваших мобильных устройств. Никогда не устанавливайте антивирус на свой телефон, на который вы получаете ссылку в SMS из «банка». Банки не отправляют такие смс!
  3. Не входите на свой банковский счет со сторонних планшетов и телефонов. Используйте принцип ограниченного доверия.
  4. Не облегчайте жизнь похитителю и не храните в памяти телефона такие важные данные, как пароль доступа к учетной записи или PIN-код карты.
  5. Если вы продаете или отдаете свой мобильный телефон другому лицу, не забудьте заранее отключить банковское приложение на этом устройстве.
  6. Используйте блокировку телефона с шаблоном или паролем - у вора будет гораздо более сложная задача.
  7. Не используйте мобильное приложение банка, подключаясь к общедоступным, открытым сетям Wi-Fi. Дома, если сеть хорошо защищена, вы не пострадаете. В других местах лучше использовать мобильный интернет.
  8. И последнее, но не менее важное: определите ежедневные лимиты транзакций в онлайн-банке (если ваш банк предоставляет такую ​​возможность). В ситуации, когда вор захочет превысить этот лимит, вы получите сообщение о необходимости связаться с банковским консультантом, и вас попросят подтвердить заказ.

Безопасность, используемая банками

Банки также знают о существующей угрозе, поэтому они внедряют ряд решений, которые мешают хакерам принять пароль и очистить учетные записи своих клиентов. Вот некоторые отдельные примеры обеспечения, которое в настоящее время используется финансовыми учреждениями:

  • Двухуровневый уровень безопасности - один для входа в учетную запись, другой для подтверждения транзакции. Самые популярные методы авторизации включают одноразовые пароли, SMS-пароли или токены.
  • Сопряжение телефона / планшета с учетной записью клиента - эта операция включает связывание определенного мобильного устройства с учетной записью пользователя. Этот процесс происходит через транзакционную службу на компьютере или мобильном телефоне - с использованием подключения к автоматической телефонной службе. Клиенту предлагается установить дополнительный PIN-код, который позволяет вам войти в мобильное приложение и одобрить транзакцию (впредь вам не нужно вводить логин и пароль для использования мобильного приложения). Поскольку PIN-код приложения не сохраняется в телефоне, хакер в случае атаки не может извлечь с устройства данные, необходимые для входа в полную версию веб-сайта транзакции. Кроме того, в случае кражи или потери телефона клиент может быстро заблокировать устройство через телефон доверия или службу транзакций банка.
  • Изображение безопасности - в некоторых банках - например, Alior Bank, T-Mobile, BZ WBK - каждый вход в систему электронного банкинга (после ввода идентификатора и перед вводом пароля) представлен выбранным клиентом изображением безопасности, которое помогает определить, страница, на которую вы входите, является подлинным веб-сайтом банка, а не страницей, которая была заменена для сбора данных. В случае отсутствия изображения или отображения другого, вы должны немедленно прекратить вход в систему и связаться со службой поддержки банка.
  • Биометрическая безопасность - все больше и больше банков внедряют меры безопасности, которые распознают человека на основе его физических характеристик (например, отпечатка пальца или изображения радужной оболочки глаза) или поведения (голос, стиль печати). Многие из этих функций уникальны (или почти уникальны - вероятность появления двух людей с одинаковыми отпечатками пальцев составляет около 1: 64 миллиона), а быстрое развитие технологий позволяет, например, отличить запись от «живого» голоса. Биометрические решения уже используются в банкоматах, но только недавно они были внедрены в приложение мобильного банкинга. В прошлом году этот метод аутентификации был введен mBank, но только для корпоративных клиентов, кроме того, с использованием устройств Apple. Отсканировав отпечаток пальца, пользователь получает доступ к своей учетной записи, хотя транзакции - по соображениям безопасности - все же необходимо авторизовать с использованием классических каналов (например, токена). Биометрическая регистрация также может использоваться клиентами других банков. ING Bank Śląski предоставляет такую ​​возможность клиентам с новыми моделями iPhone (отпечаток пальца должен быть отсканирован с помощью устройства чтения Touch ID, доступного на этих устройствах). Отпечаток пальца также можно авторизовать в банке Миллениум. В свою очередь, SMART Bank ввел голосовую авторизацию, где биометрическим фактором является звук нашего голоса.

Помните правила безопасности мобильного банкинга!

Стоит подчеркнуть, что меры предосторожности, применяемые банками, окажутся бессмысленными, если мы сами не подойдем к вопросу безопасности нашего счета и смартфона с осторожностью. - Этот человеческий фактор является ахиллесовой пятой банковских систем, - заявил Кевин Митник, один из самых известных сетевых хакеров, - и от этого заявления трудно отказаться.

Поэтому, если мы используем мобильный банкинг, не стоит недооценивать риск атаки и применять принципы безопасности на практике. В настоящее время многие банки публикуют предупреждения против новейших методов мошенников на своем сайте и рассказывают, как мы можем их защитить. Для вашего же удобства рекомендуется периодически просматривать эту информацию и помнить об этом при использовании своей учетной записи.

Мобильный банкинг: удобно, но безопасно?
Мобильный банкинг: удобно, но безопасно?
Как распознать такую ​​атаку?