Чем опасно подтверждение платежей и операций по SMS
Не так давно подтверждение данных с помощью SMS было самым безопасным способом. Однако злоумышленники освоили и эту степень защиты, поэтому она порядком устарела. Поговорим, как обезопасить себя от рук киберпреступников.
Заявление Минкомсвязи
Использование текстовых сообщений для проверки подлинности данных пользователей представляет опасность для банковских систем. Об этом сообщил представитель Минкомсвязи на заседании в Центральном банке, где рассматривали вопрос о передаче банку данных об изменении номера телефона владельца.
В связи с этим важно использовать способы, которые обеспечат большую безопасность во время подтверждения данных пользователя, таких как применение генераторов одноразовых паролей. Пользователи устанавливают приложение на мобильное устройство. После соединения с сайтом происходит генерация одноразовых паролей: каждый действует ограниченное время. Затем при посещении сайта вместо старого пароля нужно вводить тот, который предлагает приложение.
Многие платежные системы требуют ввести код для подтверждения операции, отправленный в SMS. После этого совершается оплата. Известно, что SMS-коды находятся на высоком уровне безопасности, если пользователь хранит в тайне пароли, коды, использует антивирусы. Технология формирования кода опасности не представляет. А вот SMS-канал, по которому он доставляется от банка пользователю, служит поводом для беспокойства. Аналитики по кибербезопасности не уверены в его полной защищенности.
Зашифрованный и независимый от мобильных операторов канал доставки паролей должен стать стандартом дистанционного банковского обслуживания. Этот способ не подвержен популярным угрозам, кроме одной — потеря смартфона пользователем. Тогда должен существовать метод переустановки приложения на новое устройство или временное использование кодов из текстовых сообщений восстановленного номера, что в свою очередь может стать поводом для появления других мошеннических схем.
Банки планируют переходить на сервисы генерации одноразовых паролей, только происходить это будет по мере развития технологий. Также они занимаются проработкой альтернативных способов подтверждения подлинности информации на более безопасные каналы.
Почему передача одноразового кода в SMS небезопасна
Интернет-банки отправляют текстовое сообщение с кодом для подтверждения входа в личный кабинет. Если кибермошенникам удается перехватить SMS, то они без труда попадают в него, и распоряжаются деньгами на свое усмотрение от имени пользователя.
В случае, когда злоумышленникам не удается перехватить сообщение, они могут позвонить жертве и представиться сотрудником банка с целью узнать код.
Как действуют мошенники
Совершение платежей онлайн настолько удобно и популярно, что ими пользуются практически все. Это привлекает злоумышленников, для которых перехват кода – обычное дело. Существует несколько способов компрометации SMS-канала:
- Троянские программы для перехвата сообщения с кодами и отправки их мошеннику. По этой схеме каждый год похищается более 50 млн. рублей со счетов российских граждан.
- Перевыпуск SIM-карты с номером потенциальной жертвы по поддельному паспорту или по сговору с сотрудником салона связи. Цена составляет около 50 тыс. рублей на черном рынке. После получения мошенник активирует ее в сети оператора, зачастую в ночное время, и за пару часов переводит все денежные средства из интернет-банка пользователя на подконтрольные счета в других финансовых организациях. Следующий шаг – мгновенное обналичивание денег через банкоматы.
Когда пользователь делает платежи с зараженного мобильного устройства, куда ему приходят сообщения, то скомпрометированными становятся оба канала аутентификации. Мошенники хорошо осведомлены о разовых паролях, в связи с этим создают вредоносное программное обеспечение для смартфонов, которое способно перехватывать коды. Тогда они попадают в личный кабинет и от имени владельца совершают покупки, переводят денежные средства на другие карточки и счета.
Генерирование разовых паролей на стороне пользователя безопаснее, потому что злоумышленникам сложнее перехватить их. Такой способ значительно повысит уровень безопасности.
Как повысить безопасность подтверждения платежей
Чтобы не стать жертвой киберпреступников, важно соблюдать следующие рекомендации:
- Используйте аналогичные способы подтверждения данных, такие, как push-уведомление или QR-код. В этом случае код не проходит через зашифрованные каналы, а напрямую отправляется в сервис банка.
- Внимательно читайте все запрашиваемые разрешения, особенно неизвестными приложениями. Это могут быть мошеннические действия.
- Вместе с программой или игрой есть риск установить опасное ПО, которое будет воровать информацию со смартфона или ПК. Чаще всего устройство сообщает об этом. Но для исключения опасности понадобится внимательность владельца.
- Никогда не храните пароли в открытом доступе и не отправляйте скан паспорта. Перехватить такой файл не составит труда. При необходимости посылайте фотографию паспорта, лучше если она будет нечеткой.
- Попросите старших родственников не сообщать ваши данные сотрудникам банка, которые могут позвонить. Пусть скажут, что они не владеют такой информацией, и лучше сотрудникам самим поговорить с владельцем.
Всегда защищайте свои мобильные устройства от троянов и компьютерных шпионов с помощью установки антивирусов. Будьте внимательны и не сообщайте никому свои данные. Так вы убережете себя от действий мошенников.