Как воруют средства с банковских карт при помощи мобильных устройств

Неприятная статистика

В 2015 году количество случаев заражения мобильных телефонов вирусами, ворующими средства с банковских карт своих хозяев, пугающе возросло. По словам экспертов «Лаборатории Касперского» ранее обнаруживалось в среднем 3-4 банковских вируса за месяц, но в сентябре текущего года ситуация изменилась: количество выявленных за месяц модификаций вирусов достигает 250. И это не предел. По словам антивирусного эксперта Романа Унучека в «Лаборатории Касперского» уверены, что сейчас мошенники еще только примериваются для того, чтобы в ближайшее время сделать массовую рассылку вредоносного ПО. Причем узнать о мошеннических действиях со счетом можно только с помощью антивирусных программ или постоянно отслеживая трансакции по счету – вирусные программы отключают уведомления.

Недавно ассоциация банков Сингапура предупреждала пользователей мобильных телефонов на платформе Android о новом вирусе, который распространяется через поддельные, несертифицированные обновления для приложения-мессенджера WhatsApp. При установлении обновлений популярная программа требовала ввод персональных данных, в том числе и деталей банковских карт. После это встроенные в поддельное обновление вирусы отправляли информацию к мошенникам.

Существует и другие схемы, хищение в которых осуществляется с помощью зараженного программного обеспечения. «Поймать» такой вирус можно где угодно в интернете — от социальных сетей до обычных новостных сайтов. Клиент, устройство которого заражено, при попытке войти в личный кабинет перенаправляется на фальшивые «фишинговые» сайты, на первый взгляд практически не отличимые от сайтов Интернет-банков. На таком сайте потенциальную жертву могут попросить ввести мобильный телефон, идентификаторы и пароли, а также другие персональные данные, необходимые мошенникам для обмана.
Вот типичный пример подобного мошенничества: при попытке клиента открыть сайт Сбербанка России с зараженного ПО, клиент перенаправляется на страницу сайта-ловушки, имитирующего маркетинговый опрос. В данной ситуации клиента попросили ввести свой логин личного кабинета Сбербанк Онлайн якобы с целью исследования удобности услуг Сбербанка:

При вводе идентификатора вирус получит возможность принимать и пересылать злоумышленникам SMS-пароли для входа и подтверждения любых операций в «Сбербанк Онлайн».

Опасны даже «обычные» телефоны

Атакам мошенникам подвержены не только пользователи Android. Для того, чтобы оказаться жертвой мошенничества даже не обязательно быть обладателем смартфона. У злоумышленников есть множество путей реализации подобных атак, причем затраты на проведение атаки могут быть весьма низкими по сравнению с возможной выгодой.

На сим-карту пользователя делается дубликат. Обычно такие дубликаты используются для того, чтобы разговаривать за чужой счёт, но иногда мошенникам везет, и они попадают на номер, привязанный к «Мобильному банку». Далее дело нескольких минут. Деньги со счёта карты переводятся на номер какого-нибудь телефона, оттуда на другой телефон, а оттуда на Qiwi-кошелёк, с которого уже на какой-нибудь виртуальный счёт. Отследить такую цепочку становится практически невозможно.

Один из самых распространенных видов мошенничества выглядит так: на мобильный телефон жертвы приходит SMS-оповещение о переводе на ее счет определенной суммы с чужой карты. Также в SMS-сообщении находится ссылка при переходе по которой на телефон и устанавливается вирус, открывающий злоумышленникам доступ к услуге «Мобильный банк». По статистике около 90% таких случаев происходит с клиентами Сбербанка.

Еще один «популярный» случай мошенничества с мобильным банком включает в себя телефонные переговоры: владелец карты получает SMS-сообщение, якобы от банка, в котором указано, что карта заблокирована, а также дается номер, по которому можно решить эту ситуацию. Ответивший по этому номеру якобы сотрудник банка просит для разблокировки карты продиктовать CVV-код (цифры с оборотной стороны карты). Узнав эту информацию, преступники получают возможности подключиться к «Мобильному банку» и «обнулить» счет.

На ваш телефон также может поступить звонок от «инженера» компании-оператора мобильной связи, который сообщит, что происходит проверка качества связи, и попросит нажать #90, или #09, или любую другую комбинацию цифр и символов. Ввод диктуемых символов обеспечит злоумышленникам доступ к вашей SIM-карте. Такие убытки, конечно, несопоставимы с ограблением банковской карты, однако приятного мало.

Многие приложения для мобильного банкинга содержат уязвимости и недостатки, которые могут привести к хищению денежных средств. Уровень защищенности мобильных банков в большинстве случаев не превосходит уровня защищенности обычных мобильных приложений, в то время как связанные с ними риски подразумевают повышенные требования по безопасности. Очевидно, что специалисты по информационной безопасности банков должны уделять безопасности мобильных банков не меньше внимания, чем безопасности интернет-банков.

Как не стать жертвой мошенников?

Для того, чтобы уберечь деньги на банковских счетах от кражи с помощью мобильных девайсов, наиболее действенным вариантом был бы полный отказ от работы с финансами на смартфонах и планшетах, однако очевидно, что для большинства это не приемлемо. Соблюдение простых правил, указанные ниже, сможет по крайней мере уменьшить риск кражи ваших средств.

1. Самым простым вариантом будет завести второй смартфон и использовать его исключительно для мобильного банкинга.
2. Используйте антивирус для мобильных устройств.
3. Не устанавливайте на мобильный телефон, особенно если на него зарегистрирован мобильный банк, приложения из неизвестных источников.
4. Не сообщайте посторонним лицам, даже сотрудникам банка, PIN- или CVV-код, срок действия карты, идентификатор, пароль интернет-банка и одноразовые пароли для проведения операций.
5. Помните, банк никогда не рассылает клиентам ссылки или указания на установку приложений через SMS, MMS или e-mail и не запрашивает пароли для отмены операций в онлайн-режиме.
6. Для входа в личный кабинет требуется только идентификатор и пароль (иногда одноразовый). Любой другой персональной информации для этого не нужно
7. Всегда внимательно проверяйте текст SMS-сообщения с одноразовыми паролями — реквизиты получателя в сообщении должны соответствовать реквизитам платежа, набранного клиентом. Вводить одноразовые пароли следует только в том случае, если они совпадают.
8. Если вы делаете покупки через интернет, постарайтесь завести для этих целей отдельную пластиковую карту и никогда не держите на такой карте сумму, потеря которой могла бы вас огорчить
9. Пополняйте пластиковую карту для онлайн покупок, непосредственно перед покупкой.
10. При любых подозрениях на то, что кто-то посторонний пытается взломать пароль, или запросах на выполнение непонятных операций нужно срочно обратиться в банк.