Мобильный ва-банкинг

Банковская карта, хоть уже и не новый, но всё ещё мало изученный потребителем продукт, и меньше всего известно о его безопасности. Мы уже говорили о том, почему не стоит приклеивать стикер с пин-кодом на карту, почему не стоит при самостоятельной смене пин-кода выбирать комбинацию «1234» (кстати, открывает 5 из 10 домофонов), а сегодня поговорим о том, как пользоваться мобильным банкингом и не стать при этом жертвой мошенников. Специально для пользователей Сравни.ру директор исследовательского центра Digital Security Дмитрий Евдокимов рассказал, чем опасно подключение к общественному wi-fi, как отличить вредоносное ПО для смартфонов и у кого кроме вас есть доступ к вашей банковской карте.

– Увеличивает ли использование мобильного банкинга (МБ) вероятность потерять деньги от действий мошенников?

– Теоретически, конечно, увеличивает (ещё один путь к вашему счёту). Но в значительно меньшей степени по сравнению с обычными интернет-банк клиентами.

Фактически, всё зависит от уровня безопасности МБ и самого мобильного устройства – насколько регулярно оно обновляется. Также важно, как ведёт себя пользователь – устанавливает ли он различные подозрительные программы на свой девайс, подключается ли к открытым точкам доступа.

– Как часто происходят атаки на систему МБ? Можно ли считать, что МБ безопаснее, чем система дистанционного банковского обслуживания (ДБО)? Насколько интересен этот канал для мошенников?

– МБ пока что можно считать более защищённой системой, чем обычные системы интернет-банкинга. Причин этому несколько. Во-первых, удалённо «затроянить» мобильное устройство значительно труднее, чем обычный компьютер (особенно массово). Во-вторых, у злоумышленников всё поставлено на поток: массовые заражения компьютеров, последующее выявление банк-клиентов на них, проведение атаки и вывод денег. Атаки на мобильные платформы требуют от злоумышленников значительных трудовложений, а уверенности в получении прибыли нет… Поэтому пока в этой сфере злоумышленники действуют не очень активно.

Информации о частоте атак нет в открытом доступе. Но факты целенаправленных атак (на определённых клиентов определённого банка, о котором известно, что есть приличные финансы на счёте) имеются.

– Существует ли какая-то статистика по суммам, похищенным с карт через МБ?

– Банки не афишируют такую информацию, поскольку это может негативно сказаться на их репутации.

С другой стороны, у банков очень часто нет возможности чётко выявить причины и методы кражи денег у клиентов. Например, у клиента сняли деньги с карты через какой-нибудь интернет-магазин. Банку не выяснить: были ли карточные данные подсмотрены официантом в ресторане, когда клиент там расплачивался, или эти данные были украдены злоумышленником через МБ.  

Другой интересный пример связан с логическими уязвимостями (и совсем не связан с тем, как заботится о своей безопасности клиент), которые встречаются как в системах ДБО (дистанционного банковского обслуживания), так и в МБ. Например, злоумышленник (клиент того же банка, что и жертва) при проведении операции перевода денег со своей карты куда-то ещё, может указать не свою карту, а карту жертвы (другого клиента банка), и деньги снимутся с неё. Здесь всё зависит от того, есть ли проверка на серверной стороне у банка, и по опыту скажем, что она есть не всегда.

– Каким образом мошенники могут получить доступ к деньгам клиента?

– На сегодняшний день способов очень много, начиная от скиммеров на банкоматах и заражённых POS-терминалов, заканчивая атаками на ДБО, АБС (автоматизированную банковскую систему) и МБ. 

– Безопасно ли авторизоваться в МБ или ДБО через социальные сети (если такая функция предлагается)?

– Использование сторонних сервисов в таком критичном ПО – не самая лучшая идея.  Таких примеров мы еще не видели на практике.

–  Если в личном кабинете клиенту предлагается реклама на основе продуктов, которые он часто оплачивает картой, значит ли это что его личные данные не сохраняются в тайне? Кто получает к ним доступ?

– Получается, что используется таргетированная (целевая) реклама. Это не очень плохо. Главное – чтобы она была привязана обезличено. То есть важно, чтобы не было строгой связки конкретного человека и его предпочтений. Вместо этого должен быть просто идентификатор. Но у клиента нет возможности узнать, как это реализовано у конкретного банка.

Доступ к информации – отдельная тема. Всё зависит от того, как банк относится к безопасности. Номинально у всех банков доступ только операторов и администраторов ДБО. Фактически же при проведении аудитов мы не раз сталкивались с тем, что доступ ко всей информации о клиентах (иногда даже к их полным карточным данным) был у всех сотрудников банка. Что интересно, такой «беспредел» внутри совсем не зависит от размеров банка…

– Как отличить в магазинах приложений вредоносное ПО, которое сможет взломать ваш МБ?

– Вообще вредоносные приложения, нацеленные на МБ, можно разделить на два типа. Первые - это приложения-подделки, которые выдают себя за легитимные приложения для МБ от банка, а на самом деле воруют необходимую им информацию и отсылают злоумышленнику. Вторые выдают себя за что угодно. Для них главное – попасть на устройство пользователя. Например, могут себя выдавать за популярную игрушку. После попадания на устройства такое приложение повышает свой уровень привилегий в системе и ищет на устройстве приложения для МБ. После нахождения негативно вмешивается в их работу и также отсылает информацию злоумышленнику. 

Главный метод отличия: известность производителя ПО, количество скачиваний и положительных комментариев.

– На каких платформах больше вероятность нарваться на вирус?

– Наибольшая вероятность «поймать» вирус на мобильной платформе Android. Но если устанавливать только доверенное ПО (а не всё подряд), то шанс очень мал.

– Безопасно ли подключаться к общественному wi-fi, например, в метро?

– Нет. Это самый распространенный и реальный сценарий MitM-атаки. Может быть легко воспроизведён в кафе, торговом или бизнес-центре…

Но реально не важна «общественность» Wi-Fi, так как чаще в устройстве есть хотя бы одна сеть, для которой включено автоматическое подключение. Таким образом, атакующий может развернуть собственную Wi-Fi-сеть, полностью идентичную известной сети для мобильного устройства. В результате, устройство автоматически подсоединится к такой точке доступа и будет работать через нее. Таким образом, злоумышленник будет контролировать всю информацию между МБ и банком.

Т.е. если у вас включен Wi-Fi, то это почти эквивалентно подключению к общественному Wi-FI.

–  Нужно ли извещать банк о смене сим-карты, если не пользуешься МБ, но он подключён к старому номеру?

– Все зависит от реализации МБ – иногда это необходимо, иногда нет. Но лучше оповещать.

– Какие ещё меры предосторожности нужно знать клиенту банка, чтобы не стать жертвой мошенников?

– Пользователям необходимо постоянно использовать последние версии программного обеспечения для мобильного устройства (ОС, мобильное приложение), устанавливать только доверенное ПО, не проводить какие-либо критичные, финансовые операции в общественных сетях доступа (лучше использовать 3G).