Не так давно підтвердження даних за допомогою SMS було найбезпечнішим способом. Однак зловмисники освоїли і цей ступінь захисту, тому він порядком застарів. Поговоримо, як убепечити себе від рук кіберзлочинців.
Заява Мінкомзв’язку
Використання текстових повідомлень для перевірки автентичності даних користувачів становить небезпеку для банківських систем. У зв’язку з цим важливо використовувати способи, які забезпечать більшу безпеку під час підтвердження даних користувача, таких як застосування генераторів одноразових паролів. Користувачі встановлюють додаток на мобільний пристрій. Після з’єднання з сайтом відбувається генерація одноразових паролів: кожен діє обмежений час. Потім під час відвідування сайту замість старого пароля потрібно вводити той, який пропонує застосунок.
Багато платіжних систем вимагають ввести код для підтвердження операції, відправлений в SMS. Після цього відбувається оплата. Відомо, що SMS-коди перебувають на високому рівні безпеки, якщо користувач зберігає в таємниці паролі, коди, використовує антивіруси. Технологія формування коду небезпеки не становить. А ось SMS-канал, по якому він доставляється від банку користувачеві, є приводом для занепокоєння. Аналітики з кібербезпеки не впевнені в його повній захищеності.
Зашифрований і незалежний від мобільних операторів канал доставки паролів має стати стандартом дистанційного банківського обслуговування. Цей спосіб не схильний до популярних загроз, крім однієї – втрата смартфона користувачем. Тоді має існувати метод перевстановлення застосунку на новий пристрій або тимчасове використання кодів із текстових повідомлень відновленого номера, що своєю чергою може стати приводом для появи інших шахрайських схем.
Банки планують переходити на сервіси генерації одноразових паролів, тільки відбуватиметься це в міру розвитку технологій. Також вони займаються опрацюванням альтернативних способів підтвердження автентичності інформації на більш безпечні канали.
Чому передача одноразового коду в SMS небезпечна
Інтернет-банки надсилають текстове повідомлення з кодом на підтвердження входу в особистий кабінет. Якщо кібершахраям вдається перехопити SMS, то вони легко потрапляють до нього, і розпоряджаються грошима на власний розсуд від імені користувача.
У разі, коли зловмисникам не вдається перехопити повідомлення, вони можуть зателефонувати жертві та представитися співробітником банку з метою дізнатися код.
Як діють шахраї
Здійснення платежів онлайн настільки зручне та популярне, що ними користуються практично всі. Це приваблює зловмисників, для яких перехоплення коду – це звичайна справа. Існує кілька способів компрометації SMS-каналу:
- Троянські програми для перехоплення повідомлення з кодами та надсилання їх шахраю. За цією схемою щороку викрадають понад 50 млн. рублів з рахунків російських громадян.
- Перевипуск SIM-картки з номером потенційної жертви за підробленим паспортом або змовою зі співробітником салону зв’язку. Ціна становить близько 50 тис. карбованців на чорному ринку. Після отримання шахрай активує її в мережі оператора, найчастіше в нічний час, і за пару годин переказує всі кошти з інтернет-банку користувача на підконтрольні рахунки в інших фінансових організаціях. Наступний крок – миттєве переведення в готівку грошей через банкомати.
Коли користувач робить платежі із зараженого мобільного пристрою, куди йому надходять повідомлення, то скомпрометованими стають обидва канали аутентифікації. Шахраї добре обізнані про разові паролі, у зв’язку з цим створюють шкідливе програмне забезпечення для смартфонів, яке здатне перехоплювати коди. Тоді вони потрапляють до особистого кабінету та від імені власника роблять покупки, переказують кошти на інші картки та рахунки.
Генерування разових паролів на стороні користувача безпечніше, тому що зловмисникам складніше перехопити їх. Такий спосіб значно підвищить рівень безпеки.
Як підвищити безпеку підтвердження платежів
Щоб не стати жертвою кіберзлочинців, важливо дотримуватися таких рекомендацій:
- Використовуйте аналогічні способи підтвердження даних, такі як push-повідомлення або QR-код. І тут код не проходить через зашифровані канали, а безпосередньо відправляється у обслуговування банку.
- Уважно читайте всі дозволи, що запитуються, особливо невідомими додатками. Це можуть бути шахрайські дії.
- Разом із програмою чи грою є ризик встановити небезпечне ПЗ, яке краде інформацію зі смартфона чи ПК. Найчастіше пристрій повідомляє про це. Але для унеможливлення небезпеки знадобиться уважність власника.
- Ніколи не зберігайте паролі у відкритому доступі та не надсилайте скан паспорта. Перехопити такий файл не складе труднощів. При необхідності надсилайте фотографію паспорта, краще якщо вона буде нечіткою.
- Попросіть старших родичів не повідомляти ваші дані працівникам банку, які можуть зателефонувати. Нехай скажуть, що вони не мають такої інформації, і краще співробітникам самим поговорити з власником.
Завжди захищайте мобільні пристрої від троянів та комп’ютерних шпигунів за допомогою установки антивірусів. Будьте уважні та не повідомляйте нікому свої дані. Так ви вбережете себе від дій шахраїв.