Бизнес Экономика Как защитить свой мобильный банк?

Как защитить свой мобильный банк?

У стремительно растущей популярности онлайн– и мобильного банкинга есть и обратная сторона. Как отмечают эксперты, в последнее время все реже приходится сталкиваться со скиммингом – установкой на банкомат считывающих устройств. Зато значительно участились попытки взлома систем дистанционного банковского обслуживания, кражи паролей в мобильных банковских приложениях и различные схемы «социального обмана».

По статистике Банка России, количество несанкционированных операций, проведенных через банкоматы или платежные терминалы в 2014 году, снизилось в два раза по сравнению с предыдущим. Скиммеры атаковали банкоматы в 21% случаев, а доля незаконных операций в Сети достигла 65,8%. Всего в ЦБ за прошлый год зафиксировали почти 5 тыс. попыток снять либо перевести чужие деньги через Интернет, а общая стоимость операций равнялась 1,64 млрд рублей. При этом подавляющее большинство попыток мошенников были успешными.

«Рост числа преступлений в сфере онлайн-банкинга в первую очередь связан со степенью проникновения систем ДБО: так, сейчас 40% клиентов нашего банка являются пользователями мобильного и интернет-банкинга, и эта цифра растет с каждым месяцем», – говорит начальник управления развития мобильных сервисов «МДМ Банка» Павел Михалёв.

Кроме того, эксперт связывает снижение уровня скимминговых атак с недавним введением уголовной ответственности за такие преступления. «В июне этого года вступили в силу поправки в Уголовный кодекс РФ, предусматривающие ответственность до 6 лет за скимминг, тогда как преступники, ворующие деньги у клиентов банка через digital, зачастую получают условный срок», – отмечает Павел Михалёв.

Эксперты и представители правоохранительных органов связывают это еще с несколькими факторами. Во-первых, повысился уровень защищенности банковских карт: с 1 июля этого года банки обязаны снабжать все выпускаемые карты чипом. В отличие от «простых», оснащенных магнитной лентой, карты с чипами требуют ввода PIN-кода при каждой платежной операции. А это усложнило жизнь скиммерам, которым, помимо перехвата данных о карте в банкоматах, теперь нужно добывать и PIN-код.

Вычисляя слабые места современных банковских технологий, мошенники изобретают всё новые способы обмана.

«Мошенники используют различные технические уловки, при этом большинство из них сводится к выманиванию у пользователя личной информации, необходимой для проведения операций с его счетами, – говорит начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева. – Расчет делается на невнимательность и доверчивость – в частности, это фишинг (ссылка на поддельную страницу банка, на которой запрашивается логин и пароль для входа в интернет-банк, одноразовые коды, реквизиты банковской карты и т.п.) или троянская программа, подкладывающая фальшивую интернет-страницу и направляющая введённые клиентом данные злоумышленникам».

Аналитическое агентство Markswebb Rank & Report провело исследование безопасности интернет– и мобильных банков. В исследовании изучалась надежность защиты систем ДБО 20 банков с наибольшим количеством пользователей онлайн-версии банка. Во всех банках сотрудники агентства сначала действовали как клиенты, а потом – как мошенники. То есть сперва заводили дебетовые карты, регистрировались в соответствующих интернет-банках и пытались совершить покупки. А затем пробовали подобрать пароль, перевыпускали сим-карту, привязанную к счету, и так далее.

Как показало исследование, в целом у российских банков не очень жесткие требования к безопасности. К примеру, пять банков вообще не используют одноразовые пароли для аутентификации (входа в интернет-банк) пользователя, в двух банках SMS-пароль от одной операции можно использовать для подтверждения другой, а подтвердить номер телефона после перевыпуска сим-карты требуют только четыре банка, остальные продолжают присылать пароли на новый номер, рассказывает гендиректор Markswebb Rank & Report Алексей Скобелев.

Наибольшее количество баллов получили «Ситибанк», «Альфа-Банк», «Тинькофф Банк», ВТБ24 и «Русский Стандарт». Последние строчки в рейтинге достались Райффайзенбанку, «МТС Банку» и «Бинбанку».

Между тем, как рассказал начальник отдела развития интернет-банка физических лиц «Бинбанка» Евгений Локтев, система защиты онлайн-банка «Бинбанка» продумана до мелочей. «Для входа в систему используется имя пользователя и пароль, для быстрого входа (когда приложение уже установлено и первый вход осуществлен) используется код или отпечаток пальца (для некоторых моделей телефонов, поддерживающих данную функцию), при входе в систему клиент получает сообщение о входе на зарегистрированный клиентом номер мобильного телефона, при совершении критических финансовых операций используются одноразовые пароли, которые также высылаются на зарегистрированный клиентом номер мобильного телефона», – перечислил он.

Эксперты сходятся во мнении: самой уязвимой частью мобильного банка является сам пользователь. «Злоумышленник просто может подсмотреть логин и пароль для входа в мобильный банк – например, в кафе или транспорте, – говорит Павел Михалёв. – Нередко пользователи также подвергаются атакам через так называемую социальную инженерию, когда злоумышленники обманным путем под видом знакомых или родственников выманивают у доверчивых людей персональные данные».

«Мошенники потрясающе изобретательны и великолепно умеют втираться в доверие, – согласен Евгений Локтев, а потому рекомендует никому ни при каких обстоятельствах не давать информацию о себе, которая может быть использована для входа в интернет– или мобильный банк. – И это не всегда именно напрямую имя пользователя и пароль, но и персональные данные, знание которых может быть использовано мошенниками для изменения пароля через колл-центр банка».

А чтобы максимально усложнить задачу по взлому мобильного банка в случае утери или кражи смартфона или планшета, эксперты по банковской безопасности рекомендуют хорошо продумать пароль. «Если говорить о технических методах проникновения в систему, то основным из них является «брутфорс» – простой перебор сочетаний логинов-паролей. Мы используем специальный метод для защиты от подобных атак, – рассказывает Павел Михалев. – Даже имея логин и пароль к мобильному банку «жертвы», злоумышленник не сможет провести неавторизованные операции, потому что операции подтверждаются одноразовыми СМС-паролями».

Очевидное правило: пароль должен состоять из разных символов – прописных и строчных букв, цифр, значков (например, % или $). Стоит избегать очевидных цифровых (12345) и буквенных (qwerty, «пароль») комбинаций. Пароли, которые легко ассоциируются с вами: фамилия, дата рождения или город – также небезопасны. Павел Михалев также рекомендует использовать биометрическую аутентификацию в мобильном банке с помощью технологии Touch ID на iPhone и графического ключа на смартфонах на базе Android.

А тем, кто проводит в интернет– и мобильном банке операции на крупные суммы, а также хочет обеспечить максимальную безопасность платежам, Елена Дегтева рекомендует пользоваться генератором паролей. «Его можно использовать в течение нескольких лет, что позволит реже обращаться в офис банка», – напоминает она.

«Мошенники могут звонить или отправлять SMS-рассылки от имени банка для получения конфиденциальных данных: логина, пароля, одноразового кода подтверждения платежа, данных кредитной карты», – предупреждает начальник управления экономической безопасности АО «Райффайзенбанк» Вадим Будаев.

Как правило, на мобильный телефон клиента банка приходит SMS о том, что его банковская карта якобы заблокирована либо по ней осуществляются подозрительные трансакции. В сообщении настоятельно рекомендуется связаться со «службой безопасности банка» или «отделом безопасности Visa». Здесь же указан и номер телефона для связи – как правило, мобильного, но с городским кодом. При звонке на такой номер афера развивается по нескольким сценариям: чаще всего мошенник, выдающий себя за «работника службы безопасности банка», вынуждает доверчивого клиента сообщить свои паспортные данные и реквизиты банковской карты, после чего снимает деньги с его счета. Иногда картой напрямую оплачивается счет мобильного телефона, после чего деньги обналичиваются через компанию – оператора связи. В другом случае, выполняя инструкции «сотрудника банка», клиент привязывает к мобильному телефону мошенника свой онлайн-банк, и тот опустошает его счет. Еще один вариант: потерпевший по указанию мошенника вставляет свою карту в банкомат и вводит ряд команд «для разблокирования карты». На самом же деле эти команды обеспечивают перевод денег со счета потерпевшего на счет мошенника. Иногда, но гораздо реже, отмечает Вадим Будаев, злоумышленники используют менее «технологичный» метод мошенничества, суть которого в получении по поддельной доверенности SIM-карты, привязанной к мобильному номеру телефона жертвы.

Эксперты предупреждают: ни один российский банк, а тем более платежные системы Visa и Master Card никогда не производят рассылки SMS о блокировке карты и тем более о «подозрительных трансакциях». Поэтому при получении подозрительного сообщения владелец банковской карты ни в коем случае не должен звонить по указанному номеру телефона, а немедленно обратиться в банк по телефону, который имеется на самой банковской карте.

Вернуть украденные мошенниками деньги крайне сложно. Прежде всего потерпевшему придется доказать, что он сам не «помог» аферистам получить доступ к своему счету. «К сожалению, российское законодательство в данной области несовершенно, но по каждому факту мошенничества проводится расследование, – рассказывает Павел Михалёв. – В тех случаях, когда клиент не нарушал условий банковского договора, мы всегда идем навстречу».

Так что сколь бы ни были совершенны применяемые банком технологии безопасности, они не имеют смысла, если пренебрегать элементарными правилами безопасности в Интернете.

Как защитить онлайн-банк:
– никогда не скачивайте мобильное приложение банка на неофициальных ресурсах или со сторонних сайтов, так как они могут быть заражены вирусами, устанавливайте программы только через официальные магазины: Google Play, Apple Store, Windows Store;
– владельцам мобильных устройств на базе Android рекомендуем в разделе «Настройки»-«Безопасность» убрать галочку с графы «Неизвестные источники», это позволит защитить гаджет от установки приложений со сторонних сайтов;
– установите антивирус и регулярно осуществляйте сканирование гаджета, в настройках антивируса активируйте проверку приложений при установке;
– не прибегайте к взлому системы защиты устройства: Root (на платформе Android) и Jailbreak (на платформе iOS), это значительно повышает уязвимость смартфона для вредоносных программ;
– включите на устройстве функцию автоблокировки и защитите его паролем;
– не храните на устройстве логины и пароли, номера карт, паспортные данные и прочую конфиденциальную информацию, чтобы она не стала достоянием посторонних в случае утери гаджета.
– не открывайте подозрительных ссылок в Интернете, полученных по почте, в сообщении или из социальных сетей.
– будьте внимательны, и в случае нестандартного поведения устройства при использовании мобильного банка, появления запроса на предоставление дополнительной информации о платежных картах или отказа от регистрации устройства в сети оператора (SIM-карта недействительна) обращайтесь в банк для блокировки системы.

Фото: Фото с сайта Shutterstock.com
ПО ТЕМЕ
Лайк
LIKE0
Смех
HAPPY0
Удивление
SURPRISED0
Гнев
ANGRY0
Печаль
SAD0
Увидели опечатку? Выделите фрагмент и нажмите Ctrl+Enter
ТОП 5
Рекомендуем