в чем опасность мобильного банка
Чего стоит опасаться при пользовании мобильным банком
Мобильный банк – это очень удобный инструмент, но вместе с тем требующий особого внимания со стороны пользователя. Обеспечение безопасности данных клиентов в первую очередь – задача банка. Но это не значит, что клиент может совсем забыть о ней. Сравни.ru составил список неотъемлемых рисков мобильного банкинга и советов по поводу того, как их избежать.
Чтобы начать говорить о рисках, давайте сперва разберёмся в основных принципах работы мобильного банка. Управление счётом с телефона может осуществляться 2-мя способами:
1. Через банковское приложение. Как правило, это самостоятельная программа, позволяющая отправлять платежи и проверять состояние счёта. Программа функционирует вне зависимости от наличия соединения с интернетом;
2. Через интернет-банк (в случае, если телефон поддерживает интернет-соединение).
Оба этих способа связаны с хранением персональных данных на устройстве и их беспроводной передачей. Преступники редко посягают на банковские системы безопасности, они ищут слабые места на стороне клиента. Найдут ли они их?
Риски, связанные с хранением данных на устройстве
Ненадёжный пароль
Практически все мобильные банковские сервисы требуют авторизации для проведения транзакций. То есть, чтобы посмотреть выписку или заплатить за товар/услугу, пользователь сначала должен ввести свой логин (ID) и пароль. По неофициальной статистике, пароли более 30% наших сограждан состоят только из цифр, 20% – только из маленьких латинских букв, 30% – из цифр и маленьких латинских букв. И только оставшиеся 20% пользователей составляют более надёжные с точки зрения информационной безопасности комбинации. И это касается не только почтовых ящиков и профилей в социальных сетях. Если бы банки не предъявляли определённых требований к пользовательским паролям, и те были бы элементарными. Да, 90% паролей сейчас воруются посредством фишинга, и в данном случае криптостойкость на результат никак не влияет. Однако это совершенно не значит, что нужно оставлять мошенником дополнительный шанс.
Вредоносные программы и фишинг
Если телефон имеет функцию выхода в интернет, то процесс его использования для обмена информацией с банком обрастает дополнительными рисками. Но это не повод бежать от прогресса. В конце концов, у всех нас есть персональные компьютеры, и мы используем их для выхода во всемирную сеть – прекрасную и опасную, соблюдая определённые меры предосторожности. В случае с мобильным меры аналогичны. Не загружайте подозрительные файлы и ПО, не переходите по ненадёжным ссылкам, пользуйтесь антивирусом – соблюдайте сетевую гигиену.
Утеря устройства
Пользуясь мобильным как инструментом управления банковским счётом, нужно всегда держать в уме то, что устройство может быть утеряно. Не храните данные доступа к мобильному банку в заметках и SMS-сообщениях, используйте дополнительные способы защиты от несанкционированного доступа – второй PIN-код, код блокировки клавиатуры и меню телефона и пр.
Риск перехвата данных в процессе передачи
Помните, что мобильный банк – это современно, удобно и выгодно. Пользуйтесь им с умом и оцените преимущества, так и не столкнувшись с недостатками.
Мобильный банкинг безопасен? 9 советов по безопасности на 2021 год
Мобильный банкинг-это простой и удобный в навигации сервис, который стал неизбежной частью нашей повседневной жизни. Независимо от того, являетесь ли вы студентом или выпускником, мобильные банковские приложения выводят наш финансовый опыт на совершенно новый уровень. Быстрый, удобный и удобный-все эти прилагательные относятся к мобильному банкингу на наших смартфонах. Но насколько безопасен мобильный банкинг?
Как и большинство цифровых технологий, мобильный банкинг-это мощный инструмент, использующий конфиденциальную информацию. В данном случае это связано с финансами. К сожалению, как и мобильные финансовые технологии, атаки хакеров также развиваются и развиваются со временем.
В этой статье мы научим вас, что делать, чтобы обеспечить безопасность вашего мобильного банкинга, и поделимся некоторыми советами по безопасности, как предотвратить утечку данных при выполнении финансовых операций со смартфона.
Каковы риски мобильного банкинга?
Как мы уже упоминали выше, мобильные банковские приложения сохраняют важную информацию, такую как регистрационные данные, номер банковских карт, номера счетов и т. д. Поскольку нам необходимо подключиться к всемирной паутине для совершения любых финансовых операций на наших смартфонах, риски обмена этой информацией с другими людьми становятся еще выше,а это плохо влияет на безопасность
Еще один факт, заслуживающий упоминания здесь, заключается в том, что с мобильными банковскими приложениями потерять свой телефон гораздо страшнее, чем это было даже 5 лет назад. Воры могут не только украсть ваш смартфон, и вы никогда не получите его обратно. Более того, если они войдут в ваши банковские приложения, то смогут получить доступ к вашим банковским картам, счетам и даже документам, которые вы использовали для личной проверки у своего поставщика финансовых услуг. Поэтому всегда помните что безопасность превыше всего.
Знать методы кражи
Если мы знаем, как хакеры пытаются украсть банковские реквизиты в мобильных приложениях, мы будем знать, как обезопасить себя от таких преступных попыток. Давайте рассмотрим наиболее распространенные методы мошенничества и кражи, когда речь заходит о мобильном банкинге:
9 советов по поддержанию безопасности вашего мобильного банкинга
9 советов по поддержанию безопасности вашего мобильного банкингаМы подготовили список из 9 небольших, но эффективных советов, чтобы убедиться, что ваши банковские приложения безопасны:
Методы обеспечения безопасности
Осталось ли что-нибудь еще, чтобы сделать ваш мобильный банкинг еще более безопасным? На самом деле, да. Есть еще несколько вещей, которые защитят вас и ваши умные устройства.
Часто задаваемые вопросы о безопасном мобильном банкинге:
Часто задаваемые вопросы о безопасном мобильном банкинге:Что безопаснее: мобильный банкинг или интернет-банкинг?
На данный момент невозможно сказать, насколько безопасны приложения мобильного банкинга и интернет-банкинга. Оба эти сервиса работают только с помощью Интернета, что уже представляет определенные риски. Однако безопасность мобильного банкинга тесно связана с тем, как вы используете свое интеллектуальное устройство. Независимо от того, предпочитаете ли вы мобильный или интернет-банкинг, существуют надежные способы сделать эти процессы безопасными и защищенными.
Как я могу защитить свой мобильный банкинг?
Есть много способов сделать это. Используйте пароли, отпечатки пальцев или технологии распознавания лиц для блокировки экрана. Кроме того, используйте многофакторную аутентификацию для своих банковских приложений. Всегда устанавливайте последние обновления для всех ваших приложений и телефонов.
Безопасно ли иметь мобильное банковское приложение?
Да, это абсолютно безопасно, если вы будете следовать основным советам по безопасности, таким как использование паролей на вашем смарт-устройстве, избегание публичных сетей Wi-Fi и установка только надежных приложений.
Можно ли взломать мобильный банкинг?
Несмотря на все уровни защиты, мобильные банковские приложения все еще могут быть взломаны. Тем не менее, если вы делаете свой мобильный банкинг безопасно, вероятность того, что ваши данные будут украдены, не очень высока.
Почему опасно устанавливать мобильный банк
Установка приложений банков на смартфон в определенных случаях представляет опасность для устройства. Об этом заявил гендиректор некоммерческой организации «Цифровые платформы» Арсений Щельцин, передает «Прайм».
Эксперт предупреждает, что сервисы мобильного банкинга могут привести к утечке данных пользователя, а также упрощают мошенникам процесс кражи его денег. Щельцин отмечает, что эти приложения делают удобнее работу с банком и упрощают операции с деньгами, но не все программы действительно принадлежат самим банкам.
По словам Щельцина, неофициальный софт используется для сбора чужих персональных данных, которые затем несколько раз перепродаются: рекламным агентствам или мошенникам для незаконного применения этой информации. Поэтому стоит обращать внимание на разработчика приложения, которое вы собираетесь устанавливать на смартфон.
Проблемой может стать и постоянное расширение функциональности мобильных банков. Постоянные изменения повышают риск появления новых уязвимостей, через которые злоумышленники могут получить доступ к устройству. Так преступники заносят вредоносное ПО на девайс, которое впоследствии начинает самостоятельно управлять банковским приложением, даже переводить деньги.
Щельцин рекомендует использовать мобильные антивирусы на смартфоне для защиты от распространенных видов мошенничества. Кроме того, эксперт советует разделять счета и платежи и не работать с большими суммами через мобильный банк. Есть и более стандартные рекомендации: не переходить по подозрительным ссылкам в SMS от неизвестных отправителей и даже от ваших контактов. Также стоит избегать приложений, которые запрашивают очень много разрешений.
Успешный вход: как воруют деньги через мобильный банк
Хакеры и мошенники осваивают новые способы атаковать пользователей мобильного банкинга. Одни используют уязвимости банковских приложений. Другие — старую добрую социальную инженерию. К звонкам «службы безопасности» и просьбам вернуть переведенные «по ошибке» средства добавляются всё новые способы обмана. Насколько безопасны приложения банков, как защитить свой аккаунт, и можно ли вернуть деньги в случае их кражи, выясняли «Известия».
Слабое шифрование
Хотя на первый взгляд банковские приложения достаточно надежно защищены, багов в них всё равно достаточно. К ним, например, эксперты относят отсутствие проверки на получение прав привилегированного пользователя (root-прав) на самом устройстве, а также слабое шифрование данных при их передаче между сервером и устройством.
Как поясняет Александр Зубриков, руководитель направления информационной безопасности ITGLOBAL.COM, отсюда и популярность MitM-атак (когда злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что непосредственно общаются друг с другом).
Одна из уязвимостей, которую наиболее часто эксплуатируют хакеры, — хранение аутентификационных данных в коде приложения в открытом виде.
— Слабые места банковских приложений связаны с окружением на устройстве и интеграцией с технологией Deep-links. Данная технология позволяет определить, как открывать ссылку: в браузере или приложении. Эксплуатация Deep-links со стороны хакеров позволяет им производить не предусмотренные приложением запросы и проникать в его защищенный контур, — поясняет Тимурбулат Султангалиев, директор практики информационной безопасности компании AT Consulting (входит в Лигу цифровой экономики).
Распространенная уязвимость на стороне банка — отсутствие строгой валидации запросов от мобильного приложения к серверам банка. В итоге злоумышленники могут установить фальшивый сертификат на устройство клиента и подделать в запросе счет получателя перевода, таким образом получая доступ к денежным средствам клиентов.
При этом, если отсутствует строгий запрет на сторонние сертификаты или их валидация, банк сочтет запрос легитимным и отправит деньги клиента мошенникам, поясняет руководитель службы информационной безопасности Servicepipе Никита Прохоренко. По его словам, чаще всего к взломам приводит отсутствие политики полного недоверия, когда устройство должно «доказать», что имеет права на такого рода запросы, и то, что запрос действительно отправлен клиентским приложением.
Аутентификация пользователя
Вопросы у специалистов по-прежнему вызывает и система верификации пользователя при входе в приложения. К основным рискам мобильных банковских приложений они относят незащищенную операционную систему и отсутствие двухфакторной аутентификации (отдельного ПИН-кода для запуска).
Как поясняет Евгений Суханов, директор департамента информационной безопасности компании Oberon, в открытых операционных системах Android есть возможность вносить изменения в мобильное приложение либо перехватить его соединение с банком вредоносным ПО. Оно впоследствии сможет осуществлять платежи через зараженное приложение, включая отправку подтверждающих СМС.
Вообще, верификация платежей и самого пользователя, по мнению многих экспертов, — наиболее уязвимое место банковских приложений, даже при наличии двухфакторной идентификации через СМС. Как отмечает Павел Катков, владелец IT-legal компании «Катков и партнеры», СМС-сообщение, как правило, приходит на тот же телефон, на котором стоит взламываемое банковское приложение.
Более надежной специалисты считают двухфакторную аутентификацию с использованием разных устройств: когда мобильное приложение установлено на одно устройство (телефон, планшет), а подтверждение об операции приходит на другое устройство.
Пароли и сторонние приложения
Впрочем, взлом приложений для обмана клиентов кредитных организаций используется всё же не так часто — на первый план выходит по-прежнему социальная инженерия. Львиная доля мошенничеств реализуется при помощи получения кодов и паролей.
— Большинство взломов происходит, когда мошенники связываются с потенциальной жертвой под видом службы безопасности банка, под видом сотрудников банка и получают СМС-код, номер карты и защитный код, — указывает Роман Хорошев, основатель краудлендинговой платформы «Джетленд».
Нередко злоумышленники (используя, например, всё тот же звонок «из службы безопасности банка»), убеждают жертв установить на устройство специальное ПО, позволяющее «расшарить» происходящее на экране смартфона, например, TeamViewer или AnyDesk.
— После установки программы мошенники могут проводить операции от имени клиента, напрямую подключившись к его устройству. Отличить действия мошенника, выдающего себя за реального клиента, становится сложно, но по-прежнему возможно — например, используя поведенческий анализ, — отмечает Дмитрий Стуров, исполнительный директор, начальник управления информационной безопасности банка «Ренессанс Кредит».
Как рассказал Юрий Орлов, директор по информационной безопасности QBF, доля операций, так или иначе связанных с социальной инженерией, в 2020 году составила 64% от общего числа случаев мошенничества. Вырос и средний чек подобных «транзакций» — с 7,6 тыс. до 8,6 тыс. рублей. В большинстве случаев пользователи добровольно предоставляют свои данные третьим лицам.
Что делать
Чтобы минимизировать риск, эксперты советуют следовать базовым правилам, главное из которых — никогда не сообщать персональную и личную информацию звонящим из «колл-центров» и всегда перезванивать в сам банк. Не стоит хранить критичные данные (финансовую информацию, аутентификационные и персональные данные) непосредственно на мобильном устройстве. Не надо использовать слишком простые и повторяющиеся пароли.
Рискованным эксперты считают и повышение уровня привилегий в ОС устройства: установку джейлбрейка в iOS или root-прав для Android. И рекомендуют внимательно следить за тем, какому приложению открывается доступ к данным, и к каким именно.
Стоит помнить и том, что если деньги украдены по вине пользователя или по его оплошности (как и происходит чаще всего), то банк вряд ли вернет средства. Так, по закону банк обязан вернуть деньги, если клиент уведомил о подозрительной операции в течение суток с момента ее совершения. Но при этом он не должен нарушить правила безопасности — в частности, не сообщать никому данные карты и пароли.
— В арсенале банков сегодня большой комплекс средств и механизмов защиты от кибермошенников, но банки не могут отвечать за то, какое ПО загружает на свой телефон или другое устройство клиент, или как-то это контролировать, — указывает директор департамента информационной безопасности МКБ Вячеслав Касимов.
Ваш телефон — ключ к вашим деньгам или о безопасности входа в мобильное приложение Сбербанка
Представьте ситуацию: оставили вы на 5 минут без присмотра телефон (например, на зарядке). Возвращаетесь и видите SMSку о переводе крупной суммы денег 3-ему лицу. Представили? А это ведь легко может быть реальностью… В статье пойдёт речь о не очень безопасной системе входа в мобильное приложение Сбербанка, дабы предупредить пользователей о возможности финансовых потерь.
После того, как у меня затупил телефон, мне пришлось сбросить его к заводским настройкам. Установив из Play-маркета приложение «Сбербанк Онлайн», и прождав значительное время, пока приложение сканирует телефон на наличие вирусов, создаётся полное ощущение, что тут всё хорошо с безопасностью. Но каково же было моё удивление, когда после ввода логина и готовности ввести пароль, вместо него меня просят ввести SMS-код, который тут же пришёл на этот же телефон!
Сначала я подумал, что возможно где-то на карте памяти сохранился какой-нибудь идентификатор сессии, из-за которого не надо проходить процедуру ввода пароля, а достаточно пройти упрощённую процедуру подтверждения по SMS. Но это было не так.
Тогда мы с коллегой решили проверить на его телефоне, смогу ли я войти в его приложение. Мы берём его телефон, открываем приложение, выбираем «Сменить пользователя» в меню, вводим логин (который секретным не является и используется им на разных сервисах). И, бинго, опять вводим SMS-код и оказываюсь внутри приложения с полным доступом ко всем финансам! Всё дело заняло пару минут времени.
А как же блокировка телефона по паролю/секретному ключу/отпечатку пальца, спросите вы? Ну во-первых, дело тут не в устройстве а SIM-карте. И полный возврат к заводским настройкам также может свести на нет всю защиту, просто это будет немного дольше.
Кроме того, в ОС куча приложений, которые просят разрешений на чтение SMS. Не удивлюсь, если появится вирус, способный сымитировать вход в приложение с чтением и последующим входом кода из SMS.
А что Сбербанк?
Через обратную связь я писал дважды об этой проблеме сбербанку и оставил отзыв на banki.ru. Но сбербанк судя по всему не считает это проблемой. Кроме того, в условиях использования был найден следующий пункт:
Не совмещайте устройства доступа к системе «Сбербанк Онлайн» и устройства получения SMS-сообщений с подтверждающим одноразовым паролем (например, мобильный телефон, смартфон или планшет). Для мобильных устройств созданы специализированные версии системы.
При утрате мобильного телефона, на который Вы получаете сообщения с SMS-паролем, сразу же обратитесь к оператору сотовой связи и заблокируйте SIM-карту.
То есть фактически приложение нельзя ставить на тот же телефон, на который приходят SMS-ки.