Перечислены самые распространенные способы обмана пользователей мобильного банка и методы защиты от них

Перечислены самые распространенные способы обмана пользователей мобильного банка и методы защиты от них
Перечислены самые распространенные способы обмана пользователей мобильного банка и методы защиты от них
Интернет-мошенники находят все новые способы завладеть деньгами пользователей мобильного банкинга.

Сообщает портал со ссылкой на СМИ.

Для этого используются баги банковских приложений, методы социальной инженерии, сторонние приложения и так далее. Арсенал злоумышленников постоянно расширяется, и для того, чтобы избежать обмана, нужно постоянно быть начеку.

В последние несколько лет мошенники регулярно воруют со счетов россиян внушительные суммы, и эти цифры постоянно растут. «Индустрия» обмана пользователей приложений мобильного банкинга постоянно развивается, и злоумышленники используют все новые и новые методы, позволяющие им получить доступ к средствам граждан. Газета «Известия» рассказала о наиболее распространенных способах, к которым прибегают мошенники, и о том, как защитить свои деньги.

Проблемы с шифрованием

На руку злоумышленникам часто играют банковские приложения. На первый взгляд, они достаточно надежно защищены от взломов, однако в них хватает уязвимостей, которые могут оказаться фатальными для пользователя. В частности, как отмечают эксперты, в некоторых из них права привилегированного клиента можно получить без надлежащей проверки. Кроме того, вопросы у специалистов вызывает уровень шифрования данных при их передаче между сервером и устройством.

Подобными багами и обусловлена популярность MitM-атак: в этом случае мошенник осуществляет ретрансляцию связи между двумя сторонами и при необходимости изменяет ее, а они, в свою очередь, продолжают считать, что общаются непосредственно друг с другом.

Киберпреступники пользуются целым рядом распространенных уязвимостей в приложениях банков: это, к примеру, хранение аутентификационных данных в коде в открытом доступе, интеграция с технологией Deep-links, открывающая возможность для создания запросов, не предусмотренных приложением, и не только. Мошенники могут воспользоваться отсутствием жесткой валидации запросов от мобильного приложения к банковским серверам и за счет этого установить фальсифицированный сертификат на устройство пользователя, подделав в запросе счет получателя перевода и обеспечив себе доступ к деньгам клиентов. Такой запрос не вызовет подозрения со стороны банка, если системой не предусмотрен запрет на посторонние сертификаты. Специалисты отмечают, что взломы происходят при отсутствии политики «полного недоверия», при которой любое устройство должно подтвердить свои права на запросы и доказать их отправку банковским приложением.

Ненадежная верификация

Эксперты также обращают внимание на проблемы с системой верификации пользователей при входе в приложения банков. По их оценке, серьезный риск представляют незащищенная ОС и отсутствие двухфакторной аутентификации – отдельного ПИН-кода для запуска приложения.

Дело в том, что в устройствах, работающих на платформе Android, существует возможность внесения изменений в мобильные приложения или перехвата его соединения с банком вредоносными программами. Впоследствии это ПО сможет производить платежи через атакованное им банковское приложение и даже отправлять SMS с подтверждением.

Специалисты расценивают верификацию платежей и самого клиента как «ахиллесову пяту» большинства банковских приложений, причем снизить риск не позволяет даже двухфакторная идентификация через SMS: проблема в том, что сообщение с запросом подтверждения отправляется на тот же телефон, где установлено банковское приложение. По мнению экспертов, большую надежность обеспечивает двухфакторная аутентификация с использованием разных устройств – мобильное приложение должно быть установлено на одном из них, а SMSс подтверждением будут приходить на другое.

«Служба безопасности»

Но взлом банковских приложений с помощью вредоносного ПО – это не самый распространенный способ обмана клиентов банков. Чаще всего, все же, используются методы социальной инженерии, успешно зарекомендовавшие себя в последние несколько лет. Значительная часть мошенничеств осуществляется именно с ее помощью, когда злоумышленники выманивают у своих жертв коды и пароли. В 2020 году такие преступления составили 64% от общего числа случаев мошенничества. «Средний чек» подобных транзакций увеличился до 8,6 тысячи рублей.

Несмотря на распространение данной схемы, большинство взломов происходит, когда мошенники представляются сотрудниками службы безопасности банка. Они общаются с клиентами под видом представителей финансовой организации, получают код из SMS, номер карты и защитный код, после чего списание средств не представляет никаких сложностей. Чаще всего пользователи добровольно предоставляют свои данные третьим лицам.

Часто происходит и так, что преступники, действуя также от лица сотрудников банка, убеждают собеседников установить определенное ПО на свое устройство – например, TeamViewer или AnyDesk, чтобы самим получить прямой доступ к работе со смартфоном клиента. В подобных случаях реальной службе безопасности банка бывает очень сложно выявить мошенника, поскольку отличить его действия от действий реального клиента практически невозможно.

Постоянная бдительность

Новости по теме: Биткоину прогнозируют подорожание до 100 тысяч долларов уже этом году

Эксперты дали рекомендации, позволяющие снизить риски хищения денежных средств с банковских счетов. Главная из них заключается в том, чтобы никогда не раскрывать персональные и личные данные людям, представляющимся сотрудниками колл-центра или службы безопасности, а в случае возникновения каких-либо сомнений перезванивать в сам банк по номеру, значащемуся на официальном сайте. Кроме того, лучше воздержаться от хранения важной информации – финансовых данных, ПИН-кодов, персональных данных и так далее – на мобильном устройстве. Не рекомендуется использовать слишком легкие, очевидные или повторяющиеся пароли.

Эксперты также предлагают с осторожностью относиться к повышению уровня привилегий приложения в ОС устройства и советуют тщательно следить за тем, какому приложению открывается доступ к данным, и к каким конкретно.

Если пользователь лишился денежных средств по собственной оплошности, как это происходит в большинстве случаев, банк едва ли вернет деньги, ведь клиент сам поверил мошенников или совершил необдуманные шаги. По закону финансовая организация обязана осуществить возврат средств, если клиент поставил ее в известность о подозрительной операции в течение суток с момента ее проведения. Но при этом со стороны пользователя не должно быть нарушений правил безопасности. В частности, он обязан не раскрывать посторонним информацию о данных карты и паролях – в противном случае деньги вернуть не удастся.

Специалисты обращают внимание, что на сегодняшний день банки располагают различными средствами и механизмами, которые позволяют обеспечить защиту от киберпреступников. Но банки не могут нести ответственность за то, какие программы скачивает на смартфон или иное устройство клиент, или каким-то образом это контролировать. Именно поэтому пользователи должны придерживаться мер безопасности и со своей стороны, не перекладывая эту задачу только на банк.


Распечатать
06 апреля 2025 В Государственной Думе предложили ввести запрет на продажу алкоголя в выходные дни
06 апреля 2025 «С ним нужно работать, как на волне»: коллеги Нагиева поделились, как взаимодействовать с актёром
06 апреля 2025 Премьер-министр Тюрингии Марио Фойгт рассказал, при каких условиях Германия может возобновить закупки газа у России
05 апреля 2025 Премьер-министр Франции предупредил, что политика Трампа нанесет ущерб самим Соединенным Штатам
05 апреля 2025 После освобождения из колонии Михаила Ефремова ожидает лечение и восстановление зубов, что обойдется в миллионы
05 апреля 2025 Убийство школьницы в Ульяновской области: новые версии произошедшего
05 апреля 2025 Как тарифы Трампа способствуют развитию китайской экономики
05 апреля 2025 В центре Москвы в Российской государственной библиотеке произошел пожар
05 апреля 2025 В США начались массовые протесты против пошлин и политики Трампа
05 апреля 2025 Строительный кран упал на бетономешалку в Москве: водитель едва не погиб
05 апреля 2025 В Мьянме после землетрясения более 200 человек считаются пропавшими без вести
05 апреля 2025 Роза Сябитова высказалась о свадьбе Лепса и Кибы: «Не думаю, что их отношения будут долгими»
05 апреля 2025 Billions through offshore accounts and not a penny for the front: who is covering up scammer Bohdan Prylepa in global cryptocurrency schemes?
05 апреля 2025 В Польше деятельность ячейки ГРУ координировал житель Ростова с криминальным прошлым
05 апреля 2025 Школьникам, занимающимся буллингом, предложили перейти на домашнее обучение
05 апреля 2025 В США ожидается более тысячи протестных акций против политики Трампа
05 апреля 2025 Ураганный ветер в Иркутской области оставил без электричества свыше 100 тысяч домов
05 апреля 2025 ХАМАС обнародовал видео с израильскими заложниками на фоне конфликта в Газе
05 апреля 2025 Эрдоган планирует посетить США, чтобы обсудить тарифы на турецкие товары
05 апреля 2025 Коррупционный скандал в Хакасии: как судья упустил мошенническую схему на сотни миллионов