Купить мерч «Эха»:

Отключение интернета на массовых акциях Как используют данные о нас Новинки Samsung - Вячеслав Касимов - Точка - 2019-08-11

11.08.2019
Отключение интернета на массовых акциях Как используют данные о нас Новинки Samsung - Вячеслав Касимов - Точка - 2019-08-11 Скачать

А.Плющев

Сегодня у нас Вячеслав Касимов, директор департамента информационной безопасности Московского кредитного банка. И с этого разговора мы начинаем небольшую серию таких диалогов о то, что такое онлайн-банкинг и какие опасности он таит. Чего стоит избежать, чего ожидать и так далее. На самом деле штука довольно удобная. Очень многие люди пользуются этим, все больше и больше людей. Видимо, даже когда ты встречаешь кого-то, ты по умолчанию подозреваешь, что у него где-то есть онлайн-банкинг и так далее.

Но другое дело, что есть и мошенники. Они получают доступ к онлайн-банкам, крадут средства граждан. И чем популярнее эта штука, тем больше охотников за нашими деньгами. Поговорим о правилах безопасности при совершении разных банковских операций в онлайн. Вообще, прежде всего, каким образом хакеры могут получить доступ к мобильным онлайн-банкам?

В.Касимов

Если говорить о том, как могут получить доступ, то существует порядка, наверное, двух, все-таки итоговых техник, как это можно совершить. Первая и, наверное, достаточно простая техника — это когда, по сути, у самого же клиента выпытывают или какими-то обманными путями получают данные, чтобы, представившись им, войти в интернет-банк и, соответственно, дальше попробовать какие-то операции сделать.

А зовется подобная техника социальной инженерией. Достаточно распространена сейчас, если смотреть по статистике попыток хищений, и сводится к тому, что злоумышленник звонит человеку, представляясь, например, работником банка, звонить могут, причем в широковещательном режиме, когда не знают ни имени, ни какого банка клиент, ни каких-то еще дополнительных данных.

А.Плющев

То есть наобум так.

В.Касимов

Да, наобум звонок: «Здравствуйте, мы из службы безопасности вашего банка. Скажите, пожалуйста, кто вы». К сожалению, хватает людей, которые, действительно, начинают с ними разговаривать, рассказывать, кто они такие, в том числе, диктовать номера карт. При этом если начинают диктовать номера карт, то там очень быстро ориентируются на той стороне, потому что первые 6 цифр — это БИН карты, он вполне себе характеризует, какой банк это выдал. И в зависимости от этого БИНа, от номера карта выбирают правильный банк для того, чтобы дальнейшие операции совершать. Но это как бы первый режим.

Второй — это когда получают такие сведения о том, что же за человек, как его зовут, может быть, даже получают информацию, в каком банке он обслуживается. Тогда это уже адресная проработка и вполне акцентированный разговор. Естественно, в этом случае немножечко опасней становится, потому что человек начинает верить, если его называют по имени отчеству. Действительно, возникает ощущение, что это из банка звонят.

Соответственно, дальше узнают номер карты и второе, что нужно узнать, это одноразовый пароль, который приходит. Называют его кодом подтверждением чего-нибудь, чтобы не заблокировали карту или еще какая-нибудь беда не приключилась. И клиенты, как правило, достаточно охотно его диктуют, и получается нехорошая ситуация, когда списываются деньги. А также могут не через онлайн банк украсть, а попытаться украсть через переводы карта — карта. Это проще, потому что нет еще одно итерации.

То есть в случае интернет-банка надо войти и правильные данные ввести и следующей итерацией совершить транзакцию и еще раз подтвердить тем же самым одноразовым паролем. В случае перевода карта — карта только одна итерация, то есть правильно ввести данные карты и правильно ввести один одноразовый пароль. Поэтому в основном видим, что пытаются таким образом украсть деньги.

Если говорить про вторую технику, она тоже большая, обширная, распространенная, но технически более сложная. Здесь мы говорим, по сути, про некоторые вирусы, которые могут жить на устройствах клиентов. Они, как правило, представляют из себя такие а-ля кухонные комбайны, которые умеют работать с множеством интернет-банков и создавались как раз для того, чтобы можно было в каком-то таком мультибанковом режиме красть у людей деньги.

Что они из себя представляют? Это, по сути, некоторая программа, которая незаметно запускается на устройство человека. Появляется она там либо из-за того, человек установил её самостоятельно. Ему выдавали эту программу как что-то полезное для него, либо прошел по какой-нибудь ссылке, либо еще может быть ситуация, когда прислали это, допустим, по почте или в какой-нибудь мессенджер в виде какого-то файлика, который человек, не думая, открыл. И дальше уже дело техники, причем хорошей такой техники, каким образом скачивается, загружается, запускается вирус.

Соответственно, после этого вирус умеет перехватывать ввод с клавиатуры и умеет как некоторая опция выставлять какой-то псведосайт псевдобанка. На самом деле деле это ресурс злоумышленника, с помощью которого, собственно, и происходит кража вводимых данных. Получается достаточно непрозрачно, наверное, для человека, потому что ему видится, что он зашел на сайт интернет-банка привычный, вводит там данные. Но, допустим, это перехватывается вирусом и вводится уже на действительный сайт. Соответственно, после этого происходит кража, потому что просто подставляются данные, куда отправить деньги. То есть клиент вводит одно, например: «Хочу пополнить такую-то карту», а на самом деле злодеи перехватывают этот ввод, передают это в банк, но подставляют другой номер карты.

Чуть менее распространено, технически более сложно, но, с точки зрения маржинальности для злодеев это, наверное, более выгодно, потому что сложно заметить простому человеку, что такое с ним происходит.

А.Плющев

Давайте уточню. Больше всего этому подвержены мобильные устройства на платформе Андроид, затем какие-нибудь компьютеры на Windows, ну, и потом всё остальное.

В.Касимов

Сложно говорить, больше Андроид или Windows, потому что, в принципе, так посмотреть — приблизительно одинаковое количество вредоносов для них выпускается. На Apple да, немножечко повеселее, но, тем не менее, случаются некоторые всплески, когда и для операционных систем, которые выпускает Apple так же появляются вирусы и так же это начинает работать.

А.Плющев

Как клиентам, в принципе, обезопасить свои денежные средства и данные?

В.Касимов

Если мы говорим про первую технику, связанную с социальной инженерией, то самое главное, никому не верить. Никогда не нужно верить входящему звонку, который не был инициирован самим клиентом. И если запрашиваются какие-то данные, то единственно возможный и правильный вариант, допустим, спросив, что за сотрудник сейчас звонит, давайте я вам сейчас перезвоню. Как правило, этого достаточно для того, чтобы последующих хищений с использованием именно социальной инженерией не произошло.

На самом деле банки могут звонить только с целью предложить какие-то продукты, но это не обслуживание клиента. Насколько мне известно, в тех банках, в которых я работал, я не видел ни одного процесса обслуживания, когда банк сам инициирует, допустим, какую-то транзакцию, звоня клиенту. Поэтому да, не верите…

А.Плющев

Иногда проверяют транзакцию, когда ты покупаешь что-нибудь крупное.

В.Касимов

А это уже, на самом деле, как банк защищает своих клиентов. То есть используется же антифрод -системы, которые анализируют платежи, которые поступают от клиента на предмет того, соответствует ли этот платеж профилю клиента, вовремя он совершен или не вовремя; сумма, которую пытаются сейчас списать, она составляет какой-то процент от остатка по счету или не составляет. И, соответственно, если платеж вызывает подозрение, тогда банк перезванивает, но в этом случае клиент уже сам, по сути, инициировал взаимодействие и знает, что он сейчас совершил платеж, а звонящий знает и сам называет параметр транзакции, который клиент совершает для того, чтобы клиент просто подтвердил — да или нет, мое или не мое.

А.Плющев

Продолжим о способах обезопасить свои данные. Потому что, наверное, не верь, не бойся не проси — не единственный способ, да?

В.Касимов

Следующие действия — понятно, что пароль и пин-коды никому диктовать нельзя — это еще по-прежнему остается просто. А дальше начинается техника. Потому что если мы говорим про вирусы, которые могут селиться на устройствах клиентов, то здесь важно соблюдать некоторые правила, скажем так, цифровой гигиены. Во-первых, любые операционные системы, которые используются, они должны быть обновляемыми. То есть вышло обновление — не поленитесь, поставьте его, пожалуйста, вне зависимости от того, на ноутбук или компьютер его нужно поставить, на телефон или планшет.

Во-вторых, если возникает потребность установки каких-то программ, то нужно понять, из какого источника ставится эта программа, проверен источник или нет. Например, если мы говорим про те же самые устройства на Андроиде, — это из Play Market ставится программа или это просто где-то на просторах интернета найдено и с какого-то сайта скачено.

А.Плющев

Прямо скажем, даже если устанавливаете программу и Play Market — это не является стопроцентной гарантией.

В.Касимов

Не является, поэтому если вы ставите программу из Play Market, то смотрите, кто представитель этой программы, особенно если вы собираетесь поставить себе приложение банковское. На самом деле надо посмотреть количество скачиваний в первую очередь. Если там несколько миллионов, то с огромной вероятностью, что приложение хорошее.

А.Плющев

То есть его бы уже поймали, если бы оно было нечестным.

В.Касимов

А если количество скачивания там 150, толком отзывов нету, но при этом это банковское приложение, то это, очевидно, должно насторожить: очень странно, что у банка так мало клиентов, которые скачали приложение.

Продолжая. Нужно очень внимательно относиться ко всяким входящим сообщениям, которые приходят на телефон или на почти электронную в том же самом ноутбуке и смотреть, а это, вообще, ожидаемое письмо было или нет, это источник какой-то доверенных, известный или нет. И, соответственно, вне зависимости, вложение или ссылка какая-то приходит, внимательно смотреть, оно, вообще, нужно для посещения или открытия или совершенно не востребовано и непонятно, что от меня хотят. Если не востребовано и непонятно, что хотят, то лучше просто проигнорировать. Надо будет — перезвонит или другим способом свяжется человек или продублирует и чуть более подробно опишет, что же он от вас хочет. Если не надо — ну, как бы не вы же инициатор этого взаимодействия.

А.Плющев

У нас Вячеслав Касимов, директор департамента информационной безопасности Московского кредитного банка. И мы продолжим разговор о безопасности онлайн-банков в наших следующих программах.


Напишите нам
echo@echofm.online
Купить мерч «Эха»:

Боитесь пропустить интересное? Подпишитесь на рассылку «Эха»

Это еженедельный дайджест ключевых материалов сайта

© Radio Echo GmbH, 2024