Киберподкоп

На дворе 2018 год, и мало кто захочет идти в банк, чтобы сделать перевод с одного счёта на другой. Это нормально - технологии привносят с собой удобство, и человек быстро привыкает к хорошему (а отвыкает медленно). И удобство часто перевешивает такие понятия, как безопасность - её же нельзя потрогать.


А последствия очевидны. В 2017 году факты мошенничества в России в среднем регистрировались каждые три минуты, в том числе и мошенничества с использованием средств дистанционного банковского обслуживания. А раскрываемость мошенничеств в РФ - лишь 25%.

Двухфакторная аутентификация превращается в однофакторную

Ещё есть места в Интернете, где совершать покупки онлайн можно безо всяких двухфакторных аутентификаций, одноразовых паролей по СМС и новомодных технологий вроде 3DSecure. Тут всё очевидно: украл злоумышленник данные с карты и давай опустошать её счёт.

Но всё-таки ситуация улучшается: сейчас такие сайты ещё поди найди... Даже биткоины купить - и то не только проверочный код придёт, но ещё и паспорт потребуют!

podkop


Но тут в дело вступает смартфон. По разным оценкам, количество вредоносного программного обеспечения, создаваемого для смартфонов (в подавляющем большинстве - на базе Android), уже либо вплотную приблизилось к количеству ВПО для обычных компьютеров, либо - превысило его. И некоторые трояны просто-напросто перехватывают смски, не показывают их пользователю, пересылают злоумышленнику...

За вас могут сделать что угодно, и вы сами это же всё и подтвердите - даже не узнав об этом. Вот у автора этих строк телефон, завязанный на аутентификацию платежей одноразовыми номерами, кнопочный. Знаете, что я делаю с вредоносными СМС? Ничего - часто я даже не могу их прочесть.

Троян с доставкой на дом

Распространяются банковские трояны обычно в каталогах приложений или с помощью спама. Каталоги непонятных сайтов троянами заражены почти наверняка, но дело обстоит даже хуже - трояны умеют пролезать в приложения на Google Play. В худших ситуациях скачать такое приложение успевают миллионы людей. Удивительно, но сторонний антивирус, сканирующий приложения на гуглплей пачками, находит больше, чем сам гугл при проверке приложений перед добавлением.

Почему так происходит - не очень понятно. Есть версия, что поведенческие механизмы, проверяющие, что приложение делает, не помогает, если в троянец вшит таймер отложенного запуска.

Или если по разным критериям троян определяет, что его тестируют, а не запускают на настоящем устройстве. Так или иначе, но вывод тут простой: качать приложения нужно с большой осторожностью, даже из официальных магазинов.

podkop


Есть вариант и со спамом. Если вам от товарища приходит загадочная смс, например, с предложением об обмене с доплатой на сайте объявлений, а вы ничего там и не выставляли и ничем не интересовались - срочно сообщите этому самому товарищу, что его телефон взломали. Многие люди, не думая, щёлкают по ссылкам в таких сообщениях, потом устанавливают предложенное приложение... А потом их список контактов получает то же самое.

Черный банкинг

Буквально несколько месяцев назад исследовали очередной банковский троян подобного типа, получили доступ к командному серверу - и на счетах владельцев заражённых устройств аналитики насчитали более 78 миллионов рублей. Там даже статистика была. Скажем, в какой-то день удалось назаражать людей на целых 13 рублей на счету - суммарно! Но шутки шутками, а когда счёт заражённых идёт на тысячи, все эти копейки складываются в серьёзные суммы.

Чтобы потерять деньги, не обязательно даже пользоваться онлайн-банкингом.

Многие банки подключают пользователям мобильный банкинг, в котором можно переводить деньги между счетами частных лиц внутри этого банка буквально парой смсок. Так и работают подобные трояны - смс на мобильный банк запрашивает состояние счёта, потом порциями переводит всё, что есть на этом счету, на сторонний счёт, который потом оперативно опустошается - а пользователь ничего даже не замечает, поскольку до него эти смс и смс об успешной операции не доходят.

Враги - повсюду

Есть и другие способы относительно несложного отъёма денег у населения. Трояны, например, могут:

  • изображать окна банка, подменяя фальшивыми настоящие,

  • могут подменять окна платёжных систем вроде PayPal,

  • могут выманивать одноразовые пароли с помощью социальной инженерии.

Эксперты даже просят не писать в соцстеях о том, как на вас нажились мошенники с помощью социальной инженерии, поскольку это даёт подробный план работающей атаки другим людям.podkop


Кстати, важно отметить - в отличие от атак с использованием ВПО, социальная инженерия отлично работает хоть на iOS, хоть вообще на кнопочном телефоне. Никому нельзя верить! Даже вроде бы служебным номерам входящих звонков и смс - отображаемый номер можно подменить.

Глас вопиющего в пустыне

Безопасность, как всегда, сражается с удобством, и лучший способ быть максимально безопасным - это не делать на телефоне, подключённом к мобильному банкингу, ничего, кроме этого самого банкинга.

По аналогии с компьютером в организации, на котором стоит банк-клиент: в идеале он должен стоять в тёмной комнате, ключи от которой есть только у ответственных лиц, на нём никто не должен сидеть в "Одноклассниках", а связь с сетью организации должна быть как минимум существенно ограничена.

Но это всё известно давным давно, а воз и ныне там. Удобство побеждает! Посему - будьте бдительны и установите антивирус на смартфон.


02 июля 2018г. / Индустрия 4.0
3418 | Обсудить в   
Кирилл Кожевников
Автор блога АйТи
Чек-лист настоящих облаков
Как витать в облаках и не терять на этом деньги
Сервисы современного облака
10 главных технологических трендов на 2019 год
Кибер-шериф в цифровой Америке: DMCA
Верить нельзя никому. Мне - можно.
Масштаб и экономика кибер-угрозы: можно ли верить цифрам
Электронная, цифровая, прогрессивная
Инфобезопасность в компании: виновные и ответственные
Кибервор должен сидеть в кибертюрьме
пРи|||лиТЕ БNТкоиh NЛN МbI БYDЕМ пРиCbIлАТb пО 1 БайТу Ва|||иХ ДАННЫХ
Электронные архивы: рукописи не горят, не теряются и экономят время
Где хранить электронный архив: в облаках или под подушкой?
Банкоматы ломают не только кувалдой
Документооборотень: о чем нужно помнить, внедряя СЭД
Интернет чужих вещей
Где самое слабое звено?
Кирку в руки и полезай в шахту: вредоносный майнинг криптовалют
Главный вирус - между стулом и клавиатурой
Свободное плавание СЭД
И дела вести, и бобра спасти
Блокчейн - цепь неслучайностей
Телефоннер, сканертрон и роутербот против офисных сотрудников
Чем свободное ПО лучше, чем проприетарное?
Всевидящее складское око
Вкалывают роботы, счастливы банкиры


Еще по теме
Чек-лист настоящих облаков

Чек-лист настоящих облаков

Что такое облака на самом деле, чем они отличаются от виртуализации, кто действительно продаёт высокие технологии, а кто просто прикрывается модным термином ― баталии на этот счёт начали греметь уже много лет назад и до сих пор не стихают.

181
Как витать в облаках и не терять на этом деньги

Как витать в облаках и не терять на этом деньги

Человеку со стороны может показаться, что «облака» ― это такой buzzword, который используют просто потому, что это (было) модно. Как искусственный интеллект в наше время или блокчейн немного раньше.

176
Сервисы современного облака

Сервисы современного облака

Когда-то под видом облаков нам всем продавали в целом обычную аренду оборудования. Чуть позже начали предлагать виртуализацию, но без особой автоматизации и возможностей использования ресурсов по-умному.

205