Вы используете устаревший браузер!

Страница может отображаться некорректно.

Онлайн по банкингу

Онлайн по банкингу

Другие выпуски этой рубрики (9)
  • добавить в избранное
    Добавить в закладки

Взлом интернет-банка: как не допустить перехвата проверочных кодов

Прочитали: 13105 Комментариев: 6 Рейтинг: 25

серада, 29 лістапад 2023

Даже при наличии двухфакторной аутентификации в онлайн-сервисе злоумышленники находят способы взлома профиля и перехвата доступа к данным жертвы.

Используя двухэтапную идентификацию, пользователи верят в сохранность средств на счете и конфиденциальность личной информации. И действительно, это однозначно надежнее, чем полагаться только на сложные и разные пароли для всех используемых сервисов. Но техническая подкованность интернет-мошенников и уровень киберпреступности растут вместе с развитием технологий информационной безопасности. Поэтому даже сложная система входа на устройство, в интернет-сервис или приложение не дает стопроцентной гарантии от кражи чувствительных данных. А поведение пользователей в интернете и за его пределами играет в защищенности данных не последнюю роль: некоторые действия могут стать зацепкой для мошенников и прямо влиять на вероятность взлома.

Мы уже знаем, что взломщики умеют добывать логины и пароли пользователей. Однако нельзя получить право доступа к данным без взлома второго фактора проверки.

О самых популярных вариантах 2FA, используемых интернет-банками, опасностях их взлома и обеспечении безопасности данных поговорим в сегодняшней статье.

Такие разные 2FA

В 2019 года самым популярным вторым фактором идентификации личности (или 2FA) были push-уведомления. В 2023 популярнее стали одноразовые пароли ОТР (one time password). Обычно они приходят в виде СМС на мобильное устройство.

А какие способы двухэтапной проверки используются в онлайн-банкинге?

Push-уведомление. Если мы говорим о совершении операций в банковском мобильном приложении, то для их подтверждения может приходить одноразовый код в том же приложении. Тогда для взлома злоумышленнику нужно получить доступ и к мобильному устройству, и к данным для входа в приложение. Это выглядит сложновыполнимой задачей для мошенников, потому что мобильный банк обычно защищает своих пользователей отдельным паролем (вот почему важно создавать разные сложные пароли для всех сервисов, которыми мы пользуемся) и нередко биометрической аутентификацией.

Если же представить сценарий, при котором пользователь проходит банковскую двухфакторную аутентификацию с помощью интернет-браузера, то, скорее всего, он получит не push-уведомление, а СМС с кодом для прохождения второго фактора верификации.

Одноразовый код в приложениях аутентификации. Такие приложения не только защищают интернет-банкинг, но и повышают безопасность привязанных к ним аккаунтов в сети. Это такие программы как Google Authenticator, FreeOTP и многие другие.

Они более надежны, чем коды в СМС, но ими пользуются реже, потому что не каждый сервис работает с таким способом аутентификации.

Код из электронной почты или СМС. Удобный и самый распространенный способ верификации. Иногда сообщение электронной почты может содержать ссылку для входа в систему, которая делает ненужной процедуру ввода имени пользователя и пароля. Но со ссылками всегда нужно быть начеку (об этом ниже), а коды из СМС и электронной почты особенно нравится перехватывать злоумышленникам.

Двухфакторный токен. Это автономное физическое устройство — как смарт-карта. Чтобы им воспользоваться, его нужно украсть: например, вытащить из портфеля, кармана или запертого на ключ шкафчика. Токены генерируют одноразовые пароли и защищают доступ к учетной записи пользователя на компьютере.

Этот вариант больше подходит для корпоративной защиты. Но, увы, даже такое устройство не защищает компьютер от захвата и удаленного управления при попадании на него троянской программы.

Биометрия. Вход в систему с помощью отпечатков пальцев или распознавания лица кажется идеальным вариантом, потому что ничего не нужно запоминать или носить с собой, а подделать такие данные крайне трудно, хотя в теории тоже возможно.

Нюанс: не все сервисы предлагают установить биометрическую защиту данных, потому что это дорого и требует особого наблюдения: реализация должна соответствовать букве закона, а данные пользователей — надежно храниться.

Взлом невозможен

Когда развиваются технологии засекречивания данных, за ними поспевают и технологии взлома, потому что второе — тоже прибыльный бизнес. Такое противостояние похоже на напряженную интеллектуальную игру или большой спорт с лазейками, уловками и жарким дыханием в спину соперника.

Двухфакторная аутентификация усложняет хакеру проведение атаки и доступ к личным данным. Но у мошенника тоже есть козырь — вымогательство и обман, которые приводят к тому, что жертва сама отдает «ключи».

Помните фильм «11 друзей Оушена»? А какая система защиты денежного хранилища была у владельца трех выдающихся казино в Лас-Вегасе Терри Бенедикта: вооруженная охрана, биометрические замки на дверях, камеры и шахты лифтов с датчиками движения. Не знаем, насколько сценарий реалистичный, но чтобы взломать аналогичную систему безопасности, кроме высокой технической подготовки нужны смекалка и артистизм.

Киберпреступник рассчитывает на то, что пользователь доверчив, любопытен, невнимателен и предпочтет простой путь решения проблемы. Например, мошенники с сервисов онлайн-объявлений устраивают все так, чтобы жертва, увидев срочное предложение, не проверяла условия сделки. Ее уводят на сторонние платформы и веб-страницы, где подсказывают действия, торопят и подыгрывают ради успешной наживы.

Интернет-мошенники и хакеры — те же предприимчивые актеры, поэтому в любом случае от пользователей требуется бдительность.

Отмычки и ключи

Чтобы пройти двухфакторную аутентификацию в интернет-банке, злоумышленнику чаще всего нужно перехватить проверочный код из СМС, приложения или электронной почты.

Теоретически можно подделать биометрические данные жертвы, хотя пока это больше похоже на фантастику или сюжет из фильма о проникновении грабителей в казино.

Иногда происходит клонирование сим-карты жертвы, хотя этот сценарий встречается реже перехвата одноразовых кодов.

Получить доступ к мобильному устройству можно и физически — украв его. Но есть и другие варианты, зависимые от человеческого фактора.

Социальная инженерия. Злоумышленники выдают себя за лицо, которое вправе узнать личные данные человека для подтверждения какого-то действия. Допустим, жертва получает звонок, её просят назвать все данные карты, логин и пароль для входа в аккаунт, аргументируя это какой-то необходимостью. Например, ради разблокировки учетной записи.

Нужно помнить, что максимальный объем запрашиваемых по телефону данных со стороны банка — это ФИО клиента и кодовое слово. Если опросная викторина содержит больше пунктов — выходите из игры.

Вредоносные программы. Это может быть использование шпионского или вирусного ПО.

Без действующего и постоянно обновляемого антивируса есть риск скачать программу-шпиона, которая отслеживает все действия пользователя на компьютере или мобильном устройстве и передает их третьей стороне. Или под видом полезного приложения загрузить троянскую программу, с помощью которой злоумышленник может установить полный дистанционный контроль над зараженным устройством.

Фишинг. Классика: имейл с предложением обновить информацию о банковском аккаунте. В письме пользователя аккуратно просят перейти по ссылке, ведущей на поддельную страницу банка. Не убедившись в достоверности веб-страницы, жертва отдает все данные от банковского профиля заинтересованным лицам.

Мошенники также умеют создавать дополнительные окна внутри поддельных веб-страниц для ввода в них проверочных кодов 2FA.

Использование общественного Wi-Fi. Публичные сети можно взломать, чтобы получить доступ к данным пользователей. Для этого достаточно, чтобы соединение оказалось незащищенным.

Если я использую ТОЛЬКО мобильное банковское приложение, по нему можно отследить все данные для входа, украсть их и попасть в учетную запись?

Зависит от типа атаки и конкретного устройства. Есть банковские трояны (для Android), которые могут считывать содержимое экрана, контролировать буфер обмена, делать скриншоты, перехватывать коды из СМС и других уведомлений. При этом в тех же банковских приложениях может быть активен системный запрет на создание скриншотов, а в более свежей версии ОС могут стоять ограничения на считывание содержимого. Поэтому ответ на вопрос такой: зависит от ряда факторов.

Если все-таки взломали

При обнаружении странной активности с банковским счетом нужно бить тревогу — срочно позвонить в службу поддержки банка и сообщить о подозрительных действиях.

Если аккаунт был действительно взломан, придется сделать следующее:

  • заблокировать счет,
  • договориться с банком о перевыпуске карты (чтобы данные старой карты нельзя было скомпрометировать повторно),
  • изменить пароли для входа в личный кабинет и мобильное приложение банка.

Даже если вы в сильном стрессе, удостоверьтесь, что действительно позвонили в службу поддержки банка. Настоящий сотрудник не станет спрашивать вас о выпущенных картах, счетах или секретных кодах, и тем более не пришлет очередной проверочный код в момент звонка.

Следующим этапом просканируйте антивирусом все ваши устройства на наличие вредоносного или шпионского ПО. Если нашли проблему — немедленно устраните.

Стоит также обратиться в правоохранительные органы, предоставив всю необходимую информацию для расследования инцидента.

Важно: банк не компенсирует ущерб от мошеннических транзакций, если пользователь сам выдал конфиденциальные данные или установил вредоносную программу. Просим вас быть бдительными и стараться не попадаться на уловки злоумышленников.

Антивирусная правДА! рекомендует

Вот небольшой чек-лист по безопасному использованию интернет-банкинга.

  • Обновляйте антивирус во избежание попадания шпионского и вредоносного ПО на ваш компьютер и смартфон. В сутки в вирусную лабораторию «Доктор Веб» поступает до миллиона потенциально вредоносных образцов. Не все из них вирусы, но вы только вдумайтесь в эту цифру! Все устройства должны быть защищены.
  • Используйте двухфакторную аутентификацию. При всех существующих методах взлома это пока самый надежный метод защиты, им нельзя пренебрегать.
  • Избегайте использования общедоступных Wi-Fi-сетей для финансовых операций. Проверяйте сертификаты безопасности веб-страниц при подключении к общественному интернету и не заходите в интернет-банк в ресторанах, кафе, аэропортах, кино и других публичных местах.
  • Пользуйтесь только сайтами с цифровым сертификатом безопасности. Проверить наличие сертификата можно кликнув по символу замка рядом с адресной строкой. Мы проиллюстрировали процесс такой проверки на скриншотах в статье о нейросетях. Советуем также сверять адрес в строке браузера с адресом оригинального сайта. Отличие может быть буквально в одном символе — тогда это подделка. Не вводите данные банковской карты и проверочные коды 2FA на неоригинальных веб-страницах.
  • Дополнительно убедитесь, что обращение об аутентификации направлено в настоящий банк, а не к мошенникам. На эту тему, а именно о TLS- и SSL-сертификатах, у нас есть исчерпывающий материал.
  • Не переходите по заманчивым ссылкам. Банки не присылают письма со ссылками — так поступают только фишеры. Фишингом также могут быть сообщения в мессенджерах и электронных письмах, которые обещают успех, запугивают или давят на жалость, просят проголосовать в конкурсах и т. п.
  • Перед скачиванием файла, установкой программы или приложения проверяйте надежность источника, чтобы не скачать вредоносное или шпионское ПО. Отметьте, как выполнена анимация на доступных для просмотра страницах, все ли шрифты одинаковые, не запрашивает ли страница или приложение слишком много конфиденциальных данных для перехода к дальнейшим действиям. Напомним: если вы добровольно отдадите все данные злоумышленникам, банк не вернет списанные со счета деньги.
  • Не сообщайте никому и никогда коды из СМС или электронной почты для успешного прохождения двухфакторной аутентификации. Эта информация должна быть известная только вам.

#банковская_карта #взлом #вредоносное_ПО #двухфакторная_аутентификация #онлайн-банкинг #персональные_данные #поддельный_банк #распознавание_лиц #СМС #социальная_инженерия #фишинг

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей