Чим небезпечне підтвердження платежів і операцій по SMS

Чому передача одноразового коду в SMS небезпечна

Інтернет-банки надсилають текстове повідомлення з кодом на підтвердження входу в особистий кабінет. Якщо кібершахраям вдається перехопити SMS, то вони легко потрапляють до нього, і розпоряджаються грошима на власний розсуд від імені користувача.

У разі, коли зловмисникам не вдається перехопити повідомлення, вони можуть зателефонувати жертві та представитися співробітником банку з метою дізнатися код.

Як діють шахраї

Здійснення платежів онлайн настільки зручне та популярне, що ними користуються практично всі. Це приваблює зловмисників, для яких перехоплення коду – це звичайна справа. Існує кілька способів компрометації SMS-каналу:

1. Троянські програми для перехоплення повідомлення з кодами та надсилання їх шахраю. За цією схемою щороку викрадають понад 50 млн. рублів з рахунків російських громадян.
2. Перевипуск SIM-картки з номером потенційної жертви за підробленим паспортом або змовою зі співробітником салону зв’язку. Ціна становить близько 50 тис. карбованців на чорному ринку. Після отримання шахрай активує її в мережі оператора, найчастіше в нічний час, і за пару годин переказує всі кошти з інтернет-банку користувача на підконтрольні рахунки в інших фінансових організаціях. Наступний крок – миттєве переведення в готівку грошей через банкомати.

Коли користувач робить платежі із зараженого мобільного пристрою, куди йому надходять повідомлення, то скомпрометованими стають обидва канали аутентифікації. Шахраї добре обізнані про разові паролі, у зв’язку з цим створюють шкідливе програмне забезпечення для смартфонів, яке здатне перехоплювати коди. Тоді вони потрапляють до особистого кабінету та від імені власника роблять покупки, переказують кошти на інші картки та рахунки.

Генерування разових паролів на стороні користувача безпечніше, тому що зловмисникам складніше перехопити їх. Такий спосіб значно підвищить рівень безпеки.

Як підвищити безпеку підтвердження платежів

Щоб не стати жертвою кіберзлочинців, важливо дотримуватися таких рекомендацій:

1. Використовуйте аналогічні способи підтвердження даних, такі як push-повідомлення або QR-код. І тут код не проходить через зашифровані канали, а безпосередньо відправляється у обслуговування банку.
2. Уважно читайте всі дозволи, що запитуються, особливо невідомими додатками. Це можуть бути шахрайські дії.
3. Разом із програмою чи грою є ризик встановити небезпечне ПЗ, яке краде інформацію зі смартфона чи ПК. Найчастіше пристрій повідомляє про це. Але для унеможливлення небезпеки знадобиться уважність власника.
4. Ніколи не зберігайте паролі у відкритому доступі та не надсилайте скан паспорта. Перехопити такий файл не складе труднощів. При необхідності надсилайте фотографію паспорта, краще якщо вона буде нечіткою.
5. Попросіть старших родичів не повідомляти ваші дані працівникам банку, які можуть зателефонувати. Нехай скажуть, що вони не мають такої інформації, і краще співробітникам самим поговорити з власником.

Завжди захищайте мобільні пристрої від троянів та комп’ютерних шпигунів за допомогою установки антивірусів. Будьте уважні та не повідомляйте нікому свої дані. Так ви вбережете себе від дій шахраїв.