Перечислены самые распространенные способы обмана пользователей мобильного банка и методы защиты от них

Перечислены самые распространенные способы обмана пользователей мобильного банка и методы защиты от них
Перечислены самые распространенные способы обмана пользователей мобильного банка и методы защиты от них
Интернет-мошенники находят все новые способы завладеть деньгами пользователей мобильного банкинга.

Сообщает портал со ссылкой на СМИ.

Для этого используются баги банковских приложений, методы социальной инженерии, сторонние приложения и так далее. Арсенал злоумышленников постоянно расширяется, и для того, чтобы избежать обмана, нужно постоянно быть начеку.

В последние несколько лет мошенники регулярно воруют со счетов россиян внушительные суммы, и эти цифры постоянно растут. «Индустрия» обмана пользователей приложений мобильного банкинга постоянно развивается, и злоумышленники используют все новые и новые методы, позволяющие им получить доступ к средствам граждан. Газета «Известия» рассказала о наиболее распространенных способах, к которым прибегают мошенники, и о том, как защитить свои деньги.

Проблемы с шифрованием

На руку злоумышленникам часто играют банковские приложения. На первый взгляд, они достаточно надежно защищены от взломов, однако в них хватает уязвимостей, которые могут оказаться фатальными для пользователя. В частности, как отмечают эксперты, в некоторых из них права привилегированного клиента можно получить без надлежащей проверки. Кроме того, вопросы у специалистов вызывает уровень шифрования данных при их передаче между сервером и устройством.

Подобными багами и обусловлена популярность MitM-атак: в этом случае мошенник осуществляет ретрансляцию связи между двумя сторонами и при необходимости изменяет ее, а они, в свою очередь, продолжают считать, что общаются непосредственно друг с другом.

Киберпреступники пользуются целым рядом распространенных уязвимостей в приложениях банков: это, к примеру, хранение аутентификационных данных в коде в открытом доступе, интеграция с технологией Deep-links, открывающая возможность для создания запросов, не предусмотренных приложением, и не только. Мошенники могут воспользоваться отсутствием жесткой валидации запросов от мобильного приложения к банковским серверам и за счет этого установить фальсифицированный сертификат на устройство пользователя, подделав в запросе счет получателя перевода и обеспечив себе доступ к деньгам клиентов. Такой запрос не вызовет подозрения со стороны банка, если системой не предусмотрен запрет на посторонние сертификаты. Специалисты отмечают, что взломы происходят при отсутствии политики «полного недоверия», при которой любое устройство должно подтвердить свои права на запросы и доказать их отправку банковским приложением.

Ненадежная верификация

Эксперты также обращают внимание на проблемы с системой верификации пользователей при входе в приложения банков. По их оценке, серьезный риск представляют незащищенная ОС и отсутствие двухфакторной аутентификации – отдельного ПИН-кода для запуска приложения.

Дело в том, что в устройствах, работающих на платформе Android, существует возможность внесения изменений в мобильные приложения или перехвата его соединения с банком вредоносными программами. Впоследствии это ПО сможет производить платежи через атакованное им банковское приложение и даже отправлять SMS с подтверждением.

Специалисты расценивают верификацию платежей и самого клиента как «ахиллесову пяту» большинства банковских приложений, причем снизить риск не позволяет даже двухфакторная идентификация через SMS: проблема в том, что сообщение с запросом подтверждения отправляется на тот же телефон, где установлено банковское приложение. По мнению экспертов, большую надежность обеспечивает двухфакторная аутентификация с использованием разных устройств – мобильное приложение должно быть установлено на одном из них, а SMSс подтверждением будут приходить на другое.

«Служба безопасности»

Но взлом банковских приложений с помощью вредоносного ПО – это не самый распространенный способ обмана клиентов банков. Чаще всего, все же, используются методы социальной инженерии, успешно зарекомендовавшие себя в последние несколько лет. Значительная часть мошенничеств осуществляется именно с ее помощью, когда злоумышленники выманивают у своих жертв коды и пароли. В 2020 году такие преступления составили 64% от общего числа случаев мошенничества. «Средний чек» подобных транзакций увеличился до 8,6 тысячи рублей.

Несмотря на распространение данной схемы, большинство взломов происходит, когда мошенники представляются сотрудниками службы безопасности банка. Они общаются с клиентами под видом представителей финансовой организации, получают код из SMS, номер карты и защитный код, после чего списание средств не представляет никаких сложностей. Чаще всего пользователи добровольно предоставляют свои данные третьим лицам.

Часто происходит и так, что преступники, действуя также от лица сотрудников банка, убеждают собеседников установить определенное ПО на свое устройство – например, TeamViewer или AnyDesk, чтобы самим получить прямой доступ к работе со смартфоном клиента. В подобных случаях реальной службе безопасности банка бывает очень сложно выявить мошенника, поскольку отличить его действия от действий реального клиента практически невозможно.

Постоянная бдительность

Новости по теме: Биткоину прогнозируют подорожание до 100 тысяч долларов уже этом году

Эксперты дали рекомендации, позволяющие снизить риски хищения денежных средств с банковских счетов. Главная из них заключается в том, чтобы никогда не раскрывать персональные и личные данные людям, представляющимся сотрудниками колл-центра или службы безопасности, а в случае возникновения каких-либо сомнений перезванивать в сам банк по номеру, значащемуся на официальном сайте. Кроме того, лучше воздержаться от хранения важной информации – финансовых данных, ПИН-кодов, персональных данных и так далее – на мобильном устройстве. Не рекомендуется использовать слишком легкие, очевидные или повторяющиеся пароли.

Эксперты также предлагают с осторожностью относиться к повышению уровня привилегий приложения в ОС устройства и советуют тщательно следить за тем, какому приложению открывается доступ к данным, и к каким конкретно.

Если пользователь лишился денежных средств по собственной оплошности, как это происходит в большинстве случаев, банк едва ли вернет деньги, ведь клиент сам поверил мошенников или совершил необдуманные шаги. По закону финансовая организация обязана осуществить возврат средств, если клиент поставил ее в известность о подозрительной операции в течение суток с момента ее проведения. Но при этом со стороны пользователя не должно быть нарушений правил безопасности. В частности, он обязан не раскрывать посторонним информацию о данных карты и паролях – в противном случае деньги вернуть не удастся.

Специалисты обращают внимание, что на сегодняшний день банки располагают различными средствами и механизмами, которые позволяют обеспечить защиту от киберпреступников. Но банки не могут нести ответственность за то, какие программы скачивает на смартфон или иное устройство клиент, или каким-то образом это контролировать. Именно поэтому пользователи должны придерживаться мер безопасности и со своей стороны, не перекладывая эту задачу только на банк.


Распечатать
03 апреля 2025 Трамп вводит 20% пошлины на товары из ЕС
03 апреля 2025 Трамп повышает пошлины на импорт автомобилей
03 апреля 2025 Скандал с Шуваловой в Большом театре: как коррупция в искусстве снижает значимость достижений
03 апреля 2025 Риск военного конфликта с Ираном увеличивается в условиях отсутствия ядерного соглашения
03 апреля 2025 После выхода из тюрьмы Михаил Ефремов станет самым высокооплачиваемым актером в России
03 апреля 2025 В Атлантическом океане было задержано судно с 6,5 тоннами кокаина
03 апреля 2025 Крупные компании в России создают «теневую биржу» для обмена валюты на более выгодных условиях
03 апреля 2025 Дмитриев приехал в Вашингтон для переговоров с Уиткоффом
03 апреля 2025 Кэролайн Ливитт опровергла предположения о том, что Илон Маск покинет свою должность в компании DOGE
03 апреля 2025 Иран отрицает слухи о закрытии воздушного пространства
03 апреля 2025 Трамп объявил о введении 10-процентных пошлин для всех стран на основе принципа взаимности
03 апреля 2025 Дания опровергла слухи о том, что США оккупировали Гренландию
03 апреля 2025 Z-блогеры прогнозируют снижение активности после окончания войны
03 апреля 2025 Берлинская ярмарка отменила сеанс автографов с Кашиным
03 апреля 2025 Состояние Маска уменьшилось на 100 миллиардов долларов из-за протестов против Tesla
02 апреля 2025 Ольга Орлова поделилась своими способами, которые помогают справиться с болью после развода
02 апреля 2025 Генеральная прокуратура настаивает на конфискации имущества бывшего сотрудника Росприроднадзора на сумму 480 миллионов рублей
02 апреля 2025 Дело в отношении вора в законе Виктора Панюшина было возвращено прокурору, поскольку суд обнаружил процессуальные нарушения
02 апреля 2025 Тайные взаимодействия Мишустина: как его ближайшее окружение влияет на государственные контракты и налогообложение
02 апреля 2025 Управление ФНС по контролю: коррупционные схемы и борьба за влияние