Как защитить деньги от киберпреступников: несколько простых способов

Ярослав Бабин
Ярослав Бабин

Старший эксперт отдела исследований безопасности банковских систем Positive Technologies

Расскажите друзьям
Полина Константинова

Банкоматы и терминалы, мобильные банковские приложения, онлайн-банки, бесконтактные карты, карты с чипом и с магнитной полосой, зарплатные, кредитные…. Технологии повсюду, неудивительно, что доступ ко всему этому великолепию хотят заполучить киберпреступники. При этом используют они самые нетривиальные способы хищения денег.

Старший эксперт отдела исследований безопасности банковских систем Positive Technologies Ярослав Бабин рассказывает, что делать пользователям, чтобы защитить свои средства. Как не пострадать от мошенников, расплачиваясь кредитной картой в магазине или при снятии наличных в банкомате, как безопасно пользоваться банковскими онлайн- и мобильными приложениями?

6 правил безопасного пользования кредитными картами

  1. Расплачиваетесь одной картой за продукты на кассе и кеды в интернет-магазине? Пора с этим завязывать. Используйте разные карты для разных нужд. Нет, конечно, не нужно заводить десяток платежных карт – так можно и запутаться. Достаточно иметь две карты к одному счету: одну для оплаты онлайн, другую – для офлайн-платежей и снятия наличных в банкомате. Так, при покушении на одну их ваших карт, вы сможете оперативно заблокировать ее, и использовать вторую без какого бы то ни было риска для сбережений.

  2. Поставьте на все карты лимиты. Можно установить лимит суммы для единовременного списания средств с карты, например, для снятия в банкомате наличных. Можно установить лимит на списание в день. Конечно, любую сумму жалко отдавать мошенникам, но согласитесь, расстаться за раз с целой зарплатой – не только жалко, но и глупо.

  3. Пользуйтесь услугой SMS-оповещений, чтобы моментально узнавать обо всех транзакциях. Так, в случае несанкционированного списания вы сможете быстро позвонить в банк и сообщить о мошеннической транзакции и при необходимости заблокировать карту. Кстати, номер телефона для звонка в банк всегда пишут на обороте карты.

  4. Поменяйте карту с магнитной полосой на карту с чипом. Сейчас практически все банки перешли на выпуск «чипованных» карт, но, если вы по какой-то причине не сменили старую карту с магнитной полосой на карту с чипом, срочно займитесь этим. Злоумышленники могут атаковать платежные терминалы и перехватывать данные карт с магнитной полосой.

  5. Установите мобильный банкинг на свой смартфон, чтобы злоумышленники не могли снять ваши деньги, узнав PIN-код от карты. Имея две карты и приложение вы, в случае кражи, взлома или утраты карты, сможете перевести все деньги на другую. В приложениях некоторых банков также бывает функционал по блокировке карты. Кстати, запомните кодовое слово, банки часто его требуют для идентификации владельца карты, а вот клиенты частенько забывают.

  6. Не раскрывайте данные карты. Никому не говорите PIN и CVV (3 цифры с обратной стороны), желательно не раскрывать номер карты и дату окончания действия. Помните, что сотрудники банка никогда не запрашивают эту информацию, а в случае номера карты могут запросить только последние 4 цифры.

При оценке степени защищенности финансовых приложений наши эксперты выявили, что в среднем онлайн-банки защищены лучше мобильных банков. На каждое из исследованных мобильных приложений пришлось менее одной критической уязвимости, в то время как в каждом онлайн-банке их было больше. Эксплуатация таких уязвимостей позволяет злоумышленнику, например, получить доступ к личной информации клиентов, а иногда и сведениям, составляющим банковскую тайну: к данным банковских карт, информации об остатках денежных средств на счетах, к графикам платежей по кредитам.

К примеру, уязвимость в системе платежей card2card одного популярного банка позволяла узнать баланс карты другого пользователя, зная лишь номер его карты. Эта информация не слишком публичная, но и некритичная, многие дают номера карт друзьям и даже выкладывают их в интернет для получения платежей. Так, методом простого перебора злоумышленники могли определить баланс карты другого пользователя и перевести деньги себе на счет. Уязвимость в системе другого банка позволяла просматривать историю платежей любого пользователя.

Банковские приложения: как не стать жертвой взлома

Обиднее всего при краже смартфона вдруг осознать, что все ваши сбережения в руках злоумышленников: PIN-коды, записанные в «Заметках», и ваш мобильный банкинг. Впрочем, чтобы проникнуть в святая святых вашего смартфона, злоумышленнику вовсе не обязательно вас грабить. Случается, что ему и вовсе не нужен ваш смартфон – достаточно сим-карты и данных банковской карты. Злоумышленники активируют украденную сим-карту в новом устройстве. На нем устанавливают мобильное банковское приложение, вводят туда данные карточки и попадают в личный кабинет.

Как безопасно пользоваться мобильным и интернет-банкингом? Существуют несколько самых простых и действенных способа:

  • Включите вход в приложение по PIN-коду. В одних приложениях это предусмотрено по умолчанию, в других – настраивается. В любом случае установите в настройках блокировку экрана с помощью отпечатка пальца, пароля или ПИН-кода.

  • Часто на заблокированном экране телефона отображается сообщение от банка. Настройте эту опцию так, чтобы отображалось только наименование отправителя, но содержимое сообщения было скрыто.

  • Установите PIN-код на вашу сим-карту. Так, если злоумышленник каким-то образом получит вашу SIM-карту, то он не сможет ее активировать и получать SMS-сообщения с одноразовыми паролями для подтверждений транзакций.

  • Устанавливайте программы только из официальных магазинов. Вероятность установить вредоносное приложение оттуда намного ниже, так как все программы проходят проверку.

  • Не используйте системное ПО с root-доступом или jailbreak. Это значительно снижает уровень защищенности устройства и упрощает атаку для злоумышленника.

Что касается мобильных приложений, злоумышленники обычно пишут некое вредоносное ПО, которое может перехватить SMS-сообщения (например, сообщение, которое отправляет банк для подтверждения транзакции) или красть данные карты жертвы. Например, вам может прийти оповещение якобы от банковского приложения, при открытии которого вас попросят ввести данные карты. Либо вам может прийти SMS- или MMS-сообщение, содержащее ссылки на фальшивые версии популярных приложений.

Так, например, вредонос Marcher успешно выдает себя за приложения WhatsApp, Runtastic, Netflix, Super Mario Run и многие другие. Киберпреступники также могут сделать поддельное приложение, которое выглядит, как настоящее приложение банка. После скачивания злоумышленники могут узнать логин и пароль от мобильного банка, а иногда и вывести средства со счета.

Главная рекомендация здесь, конечно, связана с сугубо человеческим фактором – не устанавливайте подозрительные, незнакомые приложения. Чтобы обезопасить себя и свои средства, устанавливайте приложения только с официальных сайтов банков или из официальных магазинов.

В случае с банковскими веб-приложениями вредоносное ПО может подменять реквизиты адресата ‒ обманутый пользователь будет незаметно для самого себя переводить деньги мошенникам. Пользователю банковского веб-приложения рекомендуется устанавливать и своевременно обновлять антивирусные программы, браузеры, остальное ПО и остерегаться подделок: ссылка на официальное приложение обычно расположена на сайте банка. Наконец, следовать простому, старинному, но верному правилу: не входить в свой онлайн-банк с чужого устройства.


Живые деньги: как безопасно снять наличные

Деньги (аналоговые, наличные) частенько нужны как воздух. Так что банкомат – вещь полезная. Но тоже в некоторой степени опасная. Существует масса способов украсть деньги с карты при использовании банкомата. К счастью, с ними можно бороться:

  • Не снимайте деньги в незнакомых банкоматах или банкоматах, расположенных на улицах. Злоумышленникам проще получить доступ к такому банкомату и разместить на нем специальные устройства, которые будут перехватывать данные с вашей карты, снимать вводимый PIN-код с помощью камеры или тепловизора, получить информацию с карты посредством скиммера. Снимайте деньги в банкоматах, которые стоят в охраняемых местах (например, в отделениях банков) там у злоумышленника меньше шансов воткнуть в него свое устройство. Помните – атакуют то, что менее защищено.

  • Если все-таки так сложилось, что вам пришлось снимать деньги в незнакомом банкомате на улице, не поленитесь сделать простейший шаг к собственной безопасности – осмотрите банкомат, особенно то место, куда вы вставляете карту. Мошенники обычно приклеивают специальные накладки-скиммеры (пластиковая накладка, прикрепляемая к кардридеру, миниатюрная видеокамера, специальные накладки на клавиатуру, считывающие порядок набора ПИН-кода), которые перехватывают данные с карт. Такие накладки могут выглядеть как часть банкомата. Но они бывают очень слабо закреплены. Если видите или чувствуете на ощупь, будто у банкомата отваливается деталь в районе отсека, куда вставляется карта, воспользуйтесь другим банкоматом.

  • Существуют специальные антискимминговые устройства, которые мигают зеленым светом. Они специально выпускаются под модели банкоматов и работают по следующему принципу: не дают возможность установить злоумышленнику скимминговое устройство. Беда в том, что злоумышленники научились делать скимминговые устройства под видом антискимминговых, так что мигающее приспособление может принадлежать как самому банку, так и злоумышленнику. Проверяем конструкцию на устойчивость: приклеенный скиммер, скорее всего, будет шататься, а настоящий антискиммер, наоборот, ‒ надежно установлен.

  • Прикрывайте рукой PIN-пад банкомата (клавиатуру для ввода PIN-кода). Ведь злоумышленникам нужно каким-то образом сфотографировать ваш PIN-код или подсмотреть его. Так что прикрывать его рукой очень правильно и полезно. Используйте банкомат с «крыльями» на клавиатуре. Злоумышленникам намного сложнее установить накладку на PIN-пад, а камере сложнее заснять ваш ПИН-код.

Часто безопасность наших денежных средств находится в наших руках, и для того, чтобы ее обеспечить, мы можем самостоятельно снизить все риски, исключить все, что может нам навредить. Если вы будете следовать всем описанным выше советам, это существенно снизит риски. У злоумышленника останутся только сложно реализуемые способы атаки на пользователя, но они трудозатратнее, поэтому менее выгодны и интересны.


Материалы по теме:

Актуальные материалы — в Telegram-канале @Rusbase

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter


Комментарии

Зарегистрируйтесь, чтобы оставлять комментарии и получить доступ к Pipeline — социальной сети, соединяющей стартапы и инвесторов.
AIOne
14 декабря 2018
Ещё события
Реклама помогает Rusbase


Разместить рекламу



Telegram канал @rusbase