Пароль от кошелька: как не лишиться денег, используя интернет-банк
Функционал современных приложений для интернет-банкинга охватывает практически весь спектр услуг для частных лиц. Открыть вклад, получить кредит, приобрести ценные бумаги — операции, которые раньше требовали физического присутствия клиента, теперь можно совершить с помощью смартфона. Но за этой простотой скрываются свои опасности: потерять деньги со счета очень легко, а вот вернуть их в большинстве случаев куда сложнее: банк потребует от вас доказательств непричастности к операциям. О том, как избежать самых частых ошибок, — в материале РИА Новости.
Android против вирусов и iOS
Основная рекомендация банков, предлагающих своим клиентам возможности мобильного банкинга, — установить на смартфоне антивирусное ПО. Особенно внимательными здесь стоит быть пользователям Android-платформ.
"Если сравнивать две популярных мобильных платформы — Android и iOS, устройства на базе Android наиболее подвержены атакам различных вирусов и вредоносных программ", — утверждает Наталья Масарская, руководитель отдела развития электронного бизнеса Райффайзенбанка.
"Подцепить" вирус, например кейлоггер, который будет тайно записывать ваши данные авторизации, могут и владельцы Apple, но это гораздо сложнее: сказываются особенности и большая закрытость операционной системы. Поэтому у пользователей iOS особой необходимости в сторонних антивирусах нет, главное — своевременно обновляться.
Пароли в заметках и взломщики
Есть и банальные меры безопасности: никому ни при каких обстоятельствах не передавать свои логины и пароли и не сохранять их непосредственно на устройстве.
Эксперты уверяют, что взломать основной пароль на смартфоне злоумышленникам совсем не сложно. Хорошая новость для обычных потребителей, впрочем, заключается в том, что массовый взлом устройств частных лиц — явление крайне редкое.
Как правило, фродовые операции в онлайне, которые совершаются путем взломов или установки вирусов, осуществляются в отношении корпоративных клиентов банков — юридических лиц.
"Вряд ли кто-то будет взламывать телефон, найденный на улице или в метро. Это дорогостоящая операция, делать ее рандомно, не зная, сколько на счетах денег, не имеет никакого смысла", — уверяет Масарская.
Социальная инженерия
Что же касается обычных потребителей, то их деньги с банковских счетов, как правило, похищают методами социальной инженерии.
В основе подобных схем — получение личной персональной информации, такой как логин, постоянный и одноразовый пароли всеми возможными способами. Как правило, это всегда коммуникация через телефон: мошенник представляется либо сотрудником банка, либо известной организации. Сюда же относятся и столь популярные сегодня "разводки" на популярных площадках купли-продажи вроде "Авито", когда мошенники, представляясь покупателями, по телефону выманивают персональные данные.
Рут-права и джейлбрейк — это риск
Телефон, на котором установлено мобильное приложение одного, а тем более нескольких банков, обязательно должен быть защищен паролем.
Если мобильный телефон утерян и не запаролен, а данные, которые находятся на нем, незашифрованы (опция шифрования данных доступна пользователям большинства популярных мобильных платформ), это очень плохо.
С введением бесконтактных платежей Android Pay и Apple Pay пароль от телефона — фактически пароль от кошелька", — говорит Максим Болышев, заместитель директора департамента банковского ПО RS-Bank, R-Style-Softlab (компания-разработчик системы "Сбербанк-Онлайн"). В такой ситуации пропажа телефона грозит потерей всех денег с банковской карты.
Чтобы не поймать вирус, приложения нужно устанавливать только с официальных площадок вроде AppStore и Google Play.
На свой страх и риск действуют владельцы смартфонов, которые устанавливают так называемые джейлбрейки на устройства iOS и рут-права на Android. Эти операции позволяют получить доступ к файловой системе устройства и шире использовать его возможности. Но здесь нюанс: телефон или планшет в этом случае, даже при наличии на нем антивирусного ПО, становится более уязвимым к вредоносному ПО: ведь расширенные права в этом случае получают и программы, установленные на устройство.
Все вирусы и трояны, оказавшиеся на таком устройстве, смогут более эффективно отслеживать активность, которую ведет пользователь, и передавать ее злоумышленникам.
Фейковые Wi-fi сети
Сами банкиры утверждают: интернет-банк можно свободно использовать, подключившись к Wi-Fi сети, поскольку каждый банк встраивает защиту от хакеров непосредственно на уровне своего приложения.
"Через публичные сети можно производить абсолютно любые онлайн-транзакции, никаких рисков здесь нет, переводите хоть десятки миллионов в любую сторону, разумеется, в рамках разрешенных лимитов", — говорит Масарская. Чтобы это делать без риска, нужно соблюдать основные меры безопасности: никогда никому не передавать логин и пароль для доступа в онлайн-банк, вводить их таким образом, чтобы нельзя было видеть со стороны, и не давать пользоваться смартфоном или компьютером другим людям.
Но, как утверждают разработчики приложений мобильного банкинга, не все так просто. При подключении к общедоступной сети Wi-Fi становится видимым, например, MАС-адрес телефона, и этими данными может воспользоваться злоумышленник, сидящий неподалеку с нужным оборудованием и сканирующий подключения.
Кроме того, публичная сеть Wi-Fi, к которой телефон попытается подключиться, может оказаться поддельной.
"Нередки случаи, когда злоумышленники меняют одну букву в названии Wi-Fi-сети, например кофейни, создают cвою фейковую сеть, делают ее абсолютно открытой. Поэтому лучше сверять каждую букву в названии сети", — рекомендует Болышев.
Если сеть не "левая", пользоваться мобильными банковскими приложениями в общественных сетях можно: такие приложения заведомо знают IP-адрес сервера, с которым надо соединиться, и устанавливают с ним защищенное соединение. Получается что-то вроде тоннеля, через который происходит передача данных: риски проникновения хакеров к этим данным минимальны.
Ряд экспертов, впрочем, настроены категорично. "Через публичные сети вообще не стоит переводить деньги. Где гарантия, что через эту сеть к вашему компьютеру или телефону не подключатся еще несколько человек?", — отмечает Михаил Тепляков, старший финансовый советник "Шумаков и партнеры".
Сканирование лица — это плохо
Последний писк технологий мобильной верификации пользователей — сканирование отпечатка пальцев (функция Touch ID). С точки зрения защиты телефона это достаточно качественная технология, она ничем не уступает кодовому паролю. К тому же прикладывать палец гораздо проще и удобнее, чем по нескольку раз вводить пин-код.
Ряд производителей гаджетов, впрочем, пошли еще дальше, предложив в качестве верификации сканирование лица владельца устройства для получения доступа к телефону.
Но, как выяснилось, и эта защита небезупречна. Так, оснащенный этой продвинутой системой флагманский смартфон Samsung Galaxy S8 удалось обмануть в два счета. Блогеры из Marcianophone сумели разблокировать устройство, показав ему селфи с экрана другого гаджета.