Читаем Цифровой журнал «Компьютерра» № 164 полностью

Опубликовано 13 марта 2013

Управлять своими деньгами с помощью компьютера и смартфона достаточно просто — из экзотической новинки такие сервисы превратились в стандартный сервис большинства крупных финансово-кредитных учреждений РФ. Все проблемы пользователей таких систем, связанные с потерей денег, возникают в результате целенаправленных атак весьма просвещённых компьютерных бандитов. Полностью от них защититься нельзя, но снизить угрозу «вскрытия» своего банковского счёта — реально.

Несмотря на то что смартфонов и «мобильных» пользователей интернет-банками больше, чем тех, кто осуществляет доступ с компьютера, чаще всего атакам подвергаются именно версии систем дистанционного банковского обслуживания, которые установлены на обычных компьютерах. Дело в том, что эти системы базируются на распространённых операционных системах, для которых существует огромное число специально «заточенных» компьютерных вирусов. Со смартфонами ситуация другая. Несмотря на то что смартфон всё-таки можно потерять, приложение «мобильного банка» ничего особенно не скажет злоумышленнику — пара логин/пароль там не хранится, никаких логов активности не ведётся, а шифрования передаваемых данных в целом достаточно для того, чтобы клонировать такие системы с пользовательскими данными было нереально. Так что «карта угроз» здесь совсем другая. Корпоративных счетов здесь обычно нет, чаще всего таким доступом пользуются только частники, и уровень общей безопасности (как, впрочем, и величина среднего остатка по счёту) не особенно велик.

Кейлоггеры

Если нельзя взломать, то можно подсмотреть — именно такой принцип используют компьютерные взломщики достаточно часто. Самое ценное в любом смартфоне — это информация, введённая пользователем. В отличие от компьютера, много текстовых данных со смартфона утащить не получится — достаточно сложно что-то набивать пальцем даже на большом сенсорном экране. Поэтому кейлоггеры — специальные программы, которые записывают в память устройства все нажатия клавиш для последующей передачи злоумышленникам, здесь используются часто. Поступают они на устройства чаще всего как «добавка» к какому-либо вполне респектабельному приложению, которое было взято из сомнительного источника. А данные отправляют по беспроводной сети, к которой пользователь и так подключён круглые сутки. Достаточно определить запуск программы-клиента для мобильного банка, и можно начинать сканирование и передачу данных. Из-за их небольшого объёма отправку таких пакетов на удалённый веб-сервер злоумышленников никто и не заметит.

Подмена SIM-карты

Конечно, только логин-пароль для большинства банков не подходит: нужны дополнительные коды подтверждения операций. Особенной любовью у злоумышленников пользуются те системы, где одноразовые коды для подтверждения операций приходят вам прямо на SMS. Получить копию вашей SIM-карты вполне реально — достаточно сдать «левую» нотариальную доверенность для смены идентификационного модуля (оператор связи обычно нотариусу для проверки не звонит) или нарисовать нужный паспорт (но это будет дорого). А чаще — просто подкупить сотрудника фирменной розничной сети оператора связи. И вуаля, можно работать — логин-пароль известны, SIM-карта есть. Обычно все подобные операции проводятся стремительно — получили дубликат симки и сразу начинаем «потрошить» интернет-банк конкретного пользователя с выводом средств на другие счета. И ведь ему даже SMS-уведомления не будут приходить: некуда. В таком случае может спасти, конечно, автоматическое уведомление по электронной почте и привычка регулярно звонить по своему мобильнику. Если «сеть не найдена», то впору поменять SIM-карту самому как можно скорее или хотя бы заблокировать её до вашего персонального обращения в офис оператора связи.

Программы-перехватчики

В последнее время для владельцев устройств, которые работают на ОС Android, подмена симки не обязательна. С помощью кейлоггера злоумышленники узнают пароль и логин для входа в интернет-банк, а потом перехватывают SMS-сообщения с кодами, которые банковский сервис отправляет на телефон жертвы для подтверждения операций. То есть на смартфоне пользователя стоит специальное вирусное ПО, которое получает SMSки от банка, скрывает их от владельца терминала и мгновенно пересылает злоумышленникам. Получается «волшебно» — можно в режиме реального времени грабить банковский счёт пользователя, причём так, что он ничего не заметит. Чтобы заставить пользователя установить программу-перехватчик, его заражённый смартик направляют на подложную страничку банка, где и предлагается установить «обновление системы безопасности».

Пароли