В современном мире достаточно много людей, тем более, среди присутствующих на этом форуме, пользуются банковскими услугами: открывают счета, заводят платежные карты, используют интернет-банкинг, мобильный банкинг. Безусловно, это очень просто и удобно, поскольку можно быстро расплатиться в магазине, пополнить счёт на мобильном или сделать быструю покупку в интернете. Но, вместе с этим, у банковских клиентов возникает ряд разных опасностей, для избегания которых нужно принимать комплексные меры.
1. Социальная опасность
Существует неограниченное количество примеров применения социально-психологических приёмов для совершения хищения денег и паролей, самые распространённые из которых: фишинг, эмоциональные сообщения или беседа с целью получить деньги (выпрашивание денег бомжами, немыми и т.д.). Главный принцип социальных атак – выманивание денег путём игры на человеческих эмоциях и чувствах.
Фишинг
Пользователям услугами Интернет-банкинга большую угрозу представляет фишинг, поскольку человек не может собственными глазами оценить поведения и намерения жулика. Типичные инструменты данного вида – электронная почта и фальшивые веб-ресурсы. Кроме того, фишеры используют бот-сети – компьютерные сети, состоящие из некоторого количества хостов, с запущенными ботами (автономным программным обеспечением, с помощью которого бот-сеть расширяется).
Виды фишинга:
► Почтовый
Социальными хакерами отсылается письмо с просьбой выслать свои данные. Чтобы получатель «клюнул» на это, фишеры активно играют на человеческих чувствах, страхах и желаниях. Например, выиграш в лотерею, помощь бездомным или ложное сообщение о взломе банковской базы данных – все эти эмоциональные сообщения провоцируют выссылать конфиденциальные данные.
► Онлайновый
Суть этого вида фишинга – в создании поддельного банковского сайта, для которого выбирается очень похожее доменное имя и создается идентичный дизайн. По данным Американского провайдера Return Path, по количеству поддельных Web-ресурсов первое место принадлежит Интернет-банкингу. Довольно часто подобные сайты создаются и для «онлайн-продаж».
► Комбинированный
Это смешанный тип из двух предыдущих. Создается поддельный сайт определенной организации, на который затем заманиваются потенциальные жертвы с помощью электронных писем. Фишеры используют приемы психологии, чтобы убедить получателя перейти по ссылке. На сегодня, этот метод самый распространенный, поскольку его сложнее обнаружить, чем предыдущие виды фишинга.
► Вишинг
Реализуется с помощью технологии передачи языкового сигнала через сети Интернет Voip (Voice over IP). Жулики звонят своим жертвам, сообщая о проблемах банка (конечно, они придуманные: взлом базы данных, сбой банковской системы и т.д.). Вишерам нужен первый звонок, чтобы узнать пароли. Второй звонок – чтобы ослабить бдительность жертвы, уверяя, что проблема решилась.
► Смишинг
Владелец телефона может обмениваться информацией с банком-эмитентом с помощью коротких сообщений (например, получение одноразовых паролей). Но это тоже опасно, поскольку даннные банковской карты поступают мобильным операторам. Это не может гарантировать сохранение конфиденциальности информации. Мошенники отправляют банковским клиентам SMS-сообщение с ссылкой на фальшивый Web-ресурс и мотивирующим сообщением войти на этот сайт.
2. Инженерно-техническая опасность
Этот вид опасности также очень распространен на сегодняшний день, а его средства и методы все больше усовершенствуются. Главными опасностями в этом направлении являются вредоносные программные обеспечения (или так-называемые банковские трояны), а также использование аппаратов для считывания данных с банковских карт: скимминг и шимминг.
Банковские трояны
Вредоносные программные обеспечения «воруют» конфиденциальные данные банковских клиентов, когда те пользуются интернет-банкингом или мобильным банкингом, скачивая всевозможные приложения для своих смартфонов. Наиболее распространёнными среди таких вирусов являются ZeuS и его подвид – Citadel. Главной целью злоумышленников, что используют ZeuS, является кража аутентификационных данных пользователей от разных сервисов, включая Интернет-банкинг. Ворованная таким образом информация используется для перевода денежных средств на подставные счета, с которых снимается наличка «мулами» - особами, готовыми снимать деньги сомнительного происхождения за небольшой процент. После того, как вирус попадал в систему, троянская программа перехватывала регистрационные данные, получив которые, злоумышленник делал переводы небольшой суммы денег на счета сообщников, тем самым затрудняя нахождение счёта взломщика. Некоторые версии ZeuS маскировались под цифровой подписью лаборатории Касперского. Citadel – это модифицированная версия трояна ZeuS, что заразила больше 10 тыс. персональных компьютеров и, за данными спецслужб США, стала инструментом кражи больше 500 миллионов долларов.
Скимминг
Скимминг – наиболее распространённый способ среди электронных краж данных банковских карт. Суть этого способа состоит в использовании технического прибора, который считывает информацию с ленточной карточки (поэтому чипованные карты гораздо надёжнее). Это приспособление можно увидеть невооружённым взглядом, если внимательно присмотреться к оборудованию терминала, поскольку он сравнительно габаритный. Шимминг – разновидность скимминга. Его отличие заключается в использовании шиммера – гибкой платы, толщиной как человеческий волос. Прибор устанавливается в кардридер банкомата. Заметить шиммер с помощью человеческого глаза – нереальная задача. Это приспособление с легкостью «считывает» магнитную карту.
3. Механическая опасность
Кроме физических повреждений и физической кражи, механической опасностью является визуальный контакт с Вашей банковской картой.
Визуальный контакт
Больше всего уязвимы ленточные карты. Но карты с чипом тоже могут подвергаться опасности. Например, официант в ресторане или человек в очереди в аптеку увидит Ваши карточные данные (СVV, имя, номер карты и срок действия) а потом он может пользоваться этими дынными в Интернете или создать такую же карту, как у Вас (перенести данные Вашей карты на пустую магнитку – и большинство банкоматов не заметит разницы). Также, продавцы или официанты могут просмотреть запись на камере, перед которой вы вводили пароль при расчёте, поэтому будьте бдительны.
Защита финансов
1. Техническая защита
► Антивирусы
Чтобы защитить свой ПК или смартфон от троянов, необходимо обновлять систему и установить хороший антивирус. В топ-5 рейтинга лучших антивирусов за 2016 год вошли: «Avira» – 5-ое место, «Антивирус Касперского» оказался 4-ым, 3-ю позицию занял «Dr. Web», «Сomoda» – 2-ой, а первым стал «360 I-Security». Также, для того, чтобы не заразить свой гаджет вредоносным программным обеспечением, нужно загружать Java-приложения c провереных сайтов, о чём свидетельствует https протокол в адрессной строке сайта и изображение зелёного замочка слева. Желательно сделать закладку, чтобы всегда попадать на нужный веб-ресурс.
► ОТP (one time password) – одноразовые пароли
Примером одноразовых паролей могут быть SMS-пароли, скретч-карты или TAN-коды (transaction number codes) – одноразовые пароли с алфавитно-цифровыми символами. Запись в списке TAN обозначается как просроченная, когда Вы воспользуетесь командой «скопировать пароль» такой записи. Это специальные пароли, которые используются некоторыми банками: Вам необходимо подтвердить проведение транзакций с использованием таких кодов. Это обеспечивает дополнительную защиту, поскольку злоумышленник не может выполнить транзакцию, даже, если знает пароль Вашего банковского счёта.Использование одноразовых паролей само по себе не защищает от атак, основанных на активном вмешательстве в канал связи, используемый для аутентификации. Поэтому нужны дополнительные технологии для корректной работы паролей.
►Jinn
Достаточно специфический и недешевый способ защиты банковских паролей (но, достойным ресурсам необходима достойная защита), принцип которого в следующем: с флешки запускается безопасная среда, которая изолирует одно ядро процессора, что исполняет исключительно программный код, отвечающий за подписание платежа. Любой другой код выполняться не может. Для доверенной визуализации Jinn-Client использует графический адаптер и монитор пользователя. Он перелавливает управление графическим адаптером и клавиатурой на себя, переключает графический адаптер в текстовый режим и совершает пользователю показ документа, который нужно подписать. Документ подписывается в доверенной среде и отправляется в клиентскую операционную систему.
2. Организационная защита
► Создание еще одного номера телефона. Владельцы банковских счетов сами создают себе опасность, размещая номера своих мобильных телефонов, что привязаны к счёту, предоставляя хороший материал социальным хакерам.
► Если клиенту не нужно переводить одну валюту в другую, нужно отключить услугу конвертации денег.
► Иметь минимум 2 телефонных номера, один из которых будет привязанным к банковским счетам. Именно его нельзя распространять.
► Не разрешать обслуживающему персоналу уносить Вашу карту из зоны Вашей видимости.
► Быть стойким к психологическим влияниям и не реагировать на провокационные сообщения, не сообщать конфиденциальные данные по телефону.
► Завести несколько карт, чтобы все деньги не находились на одной карточке, в случае кражи.
Итоги. Защита собственных денег не есть одноразовой процедурой. Это сложный процесс, который требует постоянной бдительности и внимательности. Надеюсь, что описания видов атак позволят Вам избежать их, а данные в конце статьи рекомендации в этом помогут. Уважаемые читатели, приходилось ли Вам когда-нибудь попадаться на уловки мошенников или терять деньги из-за своей невнимательности? Какие средства защиты средств и банковской информации вы знаете? Буду рада новым рекомендациям!
------------------------
Автор: Wonderfully
Авторские права на статью принадлежат mmgp.ru