Как воруют средства с банковских карт при помощи мобильных устройств
Неприятная статистика
В 2015 году количество случаев заражения мобильных телефонов вирусами, ворующими средства с банковских карт своих хозяев, пугающе возросло. По словам экспертов «Лаборатории Касперского» ранее обнаруживалось в среднем 3-4 банковских вируса за месяц, но в сентябре текущего года ситуация изменилась: количество выявленных за месяц модификаций вирусов достигает 250. И это не предел. По словам антивирусного эксперта Романа Унучека в «Лаборатории Касперского» уверены, что сейчас мошенники еще только примериваются для того, чтобы в ближайшее время сделать массовую рассылку вредоносного ПО. Причем узнать о мошеннических действиях со счетом можно только с помощью антивирусных программ или постоянно отслеживая трансакции по счету – вирусные программы отключают уведомления.
Недавно ассоциация банков Сингапура предупреждала пользователей мобильных телефонов на платформе Android о новом вирусе, который распространяется через поддельные, несертифицированные обновления для приложения-мессенджера WhatsApp. При установлении обновлений популярная программа требовала ввод персональных данных, в том числе и деталей банковских карт. После это встроенные в поддельное обновление вирусы отправляли информацию к мошенникам.
Существует и другие схемы, хищение в которых осуществляется с помощью зараженного программного обеспечения. «Поймать» такой вирус можно где угодно в интернете — от социальных сетей до обычных новостных сайтов. Клиент, устройство которого заражено, при попытке войти в личный кабинет перенаправляется на фальшивые «фишинговые» сайты, на первый взгляд практически не отличимые от сайтов Интернет-банков. На таком сайте потенциальную жертву могут попросить ввести мобильный телефон, идентификаторы и пароли, а также другие персональные данные, необходимые мошенникам для обмана.
Вот типичный пример подобного мошенничества: при попытке клиента открыть сайт Сбербанка России с зараженного ПО, клиент перенаправляется на страницу сайта-ловушки, имитирующего маркетинговый опрос. В данной ситуации клиента попросили ввести свой логин личного кабинета Сбербанк Онлайн якобы с целью исследования удобности услуг Сбербанка:
При вводе идентификатора вирус получит возможность принимать и пересылать злоумышленникам SMS-пароли для входа и подтверждения любых операций в «Сбербанк Онлайн».
Опасны даже «обычные» телефоны
Атакам мошенникам подвержены не только пользователи Android. Для того, чтобы оказаться жертвой мошенничества даже не обязательно быть обладателем смартфона. У злоумышленников есть множество путей реализации подобных атак, причем затраты на проведение атаки могут быть весьма низкими по сравнению с возможной выгодой.
На сим-карту пользователя делается дубликат. Обычно такие дубликаты используются для того, чтобы разговаривать за чужой счёт, но иногда мошенникам везет, и они попадают на номер, привязанный к «Мобильному банку». Далее дело нескольких минут. Деньги со счёта карты переводятся на номер какого-нибудь телефона, оттуда на другой телефон, а оттуда на Qiwi-кошелёк, с которого уже на какой-нибудь виртуальный счёт. Отследить такую цепочку становится практически невозможно.
Один из самых распространенных видов мошенничества выглядит так: на мобильный телефон жертвы приходит SMS-оповещение о переводе на ее счет определенной суммы с чужой карты. Также в SMS-сообщении находится ссылка при переходе по которой на телефон и устанавливается вирус, открывающий злоумышленникам доступ к услуге «Мобильный банк». По статистике около 90% таких случаев происходит с клиентами Сбербанка.
Еще один «популярный» случай мошенничества с мобильным банком включает в себя телефонные переговоры: владелец карты получает SMS-сообщение, якобы от банка, в котором указано, что карта заблокирована, а также дается номер, по которому можно решить эту ситуацию. Ответивший по этому номеру якобы сотрудник банка просит для разблокировки карты продиктовать CVV-код (цифры с оборотной стороны карты). Узнав эту информацию, преступники получают возможности подключиться к «Мобильному банку» и «обнулить» счет.
На ваш телефон также может поступить звонок от «инженера» компании-оператора мобильной связи, который сообщит, что происходит проверка качества связи, и попросит нажать #90, или #09, или любую другую комбинацию цифр и символов. Ввод диктуемых символов обеспечит злоумышленникам доступ к вашей SIM-карте. Такие убытки, конечно, несопоставимы с ограблением банковской карты, однако приятного мало.
Многие приложения для мобильного банкинга содержат уязвимости и недостатки, которые могут привести к хищению денежных средств. Уровень защищенности мобильных банков в большинстве случаев не превосходит уровня защищенности обычных мобильных приложений, в то время как связанные с ними риски подразумевают повышенные требования по безопасности. Очевидно, что специалисты по информационной безопасности банков должны уделять безопасности мобильных банков не меньше внимания, чем безопасности интернет-банков.
Как не стать жертвой мошенников?
Для того, чтобы уберечь деньги на банковских счетах от кражи с помощью мобильных девайсов, наиболее действенным вариантом был бы полный отказ от работы с финансами на смартфонах и планшетах, однако очевидно, что для большинства это не приемлемо. Соблюдение простых правил, указанные ниже, сможет по крайней мере уменьшить риск кражи ваших средств.
- Самым простым вариантом будет завести второй смартфон и использовать его исключительно для мобильного банкинга.
- Используйте антивирус для мобильных устройств.
- Не устанавливайте на мобильный телефон, особенно если на него зарегистрирован мобильный банк, приложения из неизвестных источников.
- Не сообщайте посторонним лицам, даже сотрудникам банка, PIN- или CVV-код, срок действия карты, идентификатор, пароль интернет-банка и одноразовые пароли для проведения операций.
- Помните, банк никогда не рассылает клиентам ссылки или указания на установку приложений через SMS, MMS или e-mail и не запрашивает пароли для отмены операций в онлайн-режиме.
- Для входа в личный кабинет требуется только идентификатор и пароль (иногда одноразовый). Любой другой персональной информации для этого не нужно
- Всегда внимательно проверяйте текст SMS-сообщения с одноразовыми паролями — реквизиты получателя в сообщении должны соответствовать реквизитам платежа, набранного клиентом. Вводить одноразовые пароли следует только в том случае, если они совпадают.
- Если вы делаете покупки через интернет, постарайтесь завести для этих целей отдельную пластиковую карту и никогда не держите на такой карте сумму, потеря которой могла бы вас огорчить
- Пополняйте пластиковую карту для онлайн покупок, непосредственно перед покупкой.
- При любых подозрениях на то, что кто-то посторонний пытается взломать пароль, или запросах на выполнение непонятных операций нужно срочно обратиться в банк.