Киберподкоп

На дворе 2018 год, и мало кто захочет идти в банк, чтобы сделать перевод с одного счёта на другой. Это нормально - технологии привносят с собой удобство, и человек быстро привыкает к хорошему (а отвыкает медленно). И удобство часто перевешивает такие понятия, как безопасность - её же нельзя потрогать.

А последствия очевидны. В 2017 году факты мошенничества в России в среднем регистрировались каждые три минуты, в том числе и мошенничества с использованием средств дистанционного банковского обслуживания. А раскрываемость мошенничеств в РФ - лишь 25%.

Двухфакторная аутентификация превращается в однофакторную

Ещё есть места в Интернете, где совершать покупки онлайн можно безо всяких двухфакторных аутентификаций, одноразовых паролей по СМС и новомодных технологий вроде 3DSecure. Тут всё очевидно: украл злоумышленник данные с карты и давай опустошать её счёт.

Но всё-таки ситуация улучшается: сейчас такие сайты ещё поди найди... Даже биткоины купить - и то не только проверочный код придёт, но ещё и паспорт потребуют!

Но тут в дело вступает смартфон. По разным оценкам, количество вредоносного программного обеспечения, создаваемого для смартфонов (в подавляющем большинстве - на базе Android), уже либо вплотную приблизилось к количеству ВПО для обычных компьютеров, либо - превысило его. И некоторые трояны просто-напросто перехватывают смски, не показывают их пользователю, пересылают злоумышленнику...

За вас могут сделать что угодно, и вы сами это же всё и подтвердите - даже не узнав об этом. Вот у автора этих строк телефон, завязанный на аутентификацию платежей одноразовыми номерами, кнопочный. Знаете, что я делаю с вредоносными СМС? Ничего - часто я даже не могу их прочесть.

Троян с доставкой на дом

Распространяются банковские трояны обычно в каталогах приложений или с помощью спама. Каталоги непонятных сайтов троянами заражены почти наверняка, но дело обстоит даже хуже - трояны умеют пролезать в приложения на Google Play. В худших ситуациях скачать такое приложение успевают миллионы людей. Удивительно, но сторонний антивирус, сканирующий приложения на гуглплей пачками, находит больше, чем сам гугл при проверке приложений перед добавлением.

Почему так происходит - не очень понятно. Есть версия, что поведенческие механизмы, проверяющие, что приложение делает, не помогают, если в троянец вшит таймер отложенного запуска.

Или если по разным критериям троян определяет, что его тестируют, а не запускают на настоящем устройстве. Так или иначе, но вывод тут простой: качать приложения нужно с большой осторожностью, даже из официальных магазинов.

Есть вариант и со спамом. Если вам от товарища приходит загадочная смс, например, с предложением об обмене с доплатой на сайте объявлений, а вы ничего там и не выставляли и ничем не интересовались - срочно сообщите этому самому товарищу, что его телефон взломали. Многие люди, не думая, щёлкают по ссылкам в таких сообщениях, потом устанавливают предложенное приложение... А потом их список контактов получает то же самое.

Черный банкинг

Буквально несколько месяцев назад исследовали очередной банковский троян подобного типа, получили доступ к командному серверу - и на счетах владельцев заражённых устройств аналитики насчитали более 78 миллионов рублей. Там даже статистика была. Скажем, в какой-то день удалось назаражать людей на целых 13 рублей на счету - суммарно! Но шутки шутками, а когда счёт заражённых идёт на тысячи, все эти копейки складываются в серьёзные суммы.

Чтобы потерять деньги, не обязательно даже пользоваться онлайн-банкингом.

Многие банки подключают пользователям мобильный банкинг, в котором можно переводить деньги между счетами частных лиц внутри этого банка буквально парой смсок. Так и работают подобные трояны - смс на мобильный банк запрашивает состояние счёта, потом порциями переводит всё, что есть на этом счету, на сторонний счёт, который потом оперативно опустошается - а пользователь ничего даже не замечает, поскольку до него эти смс и смс об успешной операции не доходят.

Враги - повсюду

Есть и другие способы относительно несложного отъёма денег у населения. Трояны, например, могут:

  • изображать окна банка, подменяя фальшивыми настоящие,
  • могут подменять окна платёжных систем вроде PayPal,
  • могут выманивать одноразовые пароли с помощью социальной инженерии.
Эксперты даже просят не писать в соцстеях о том, как на вас нажились мошенники с помощью социальной инженерии, поскольку это даёт подробный план работающей атаки другим людям.
Эксперты даже просят не писать в соцстеях о том, как на вас нажились мошенники с помощью социальной инженерии, поскольку это даёт подробный план работающей атаки другим людям.

Кстати, важно отметить - в отличие от атак с использованием ВПО, социальная инженерия отлично работает хоть на iOS, хоть вообще на кнопочном телефоне. Никому нельзя верить! Даже вроде бы служебным номерам входящих звонков и смс - отображаемый номер можно подменить.

Глас вопиющего в пустыне

Безопасность, как всегда, сражается с удобством, и лучший способ быть максимально безопасным - это не делать на телефоне, подключённом к мобильному банкингу, ничего, кроме этого самого банкинга.

По аналогии с компьютером в организации, на котором стоит банк-клиент: в идеале он должен стоять в тёмной комнате, ключи от которой есть только у ответственных лиц, на нём никто не должен сидеть в "Одноклассниках", а связь с сетью организации должна быть как минимум существенно ограничена.

Но это всё известно давным давно, а воз и ныне там. Удобство побеждает! Посему - будьте бдительны и установите антивирус на смартфон.

Кирилл Кожевников
Автор блога АйТи

Вам понравилось? Поставьте лайк и подпишитесь на новые статьи!