Как обезопасить мобильное приложение банка от взлома мошенниками

Новости о кибератаках и утечках баз данных регулярно появляются в СМИ. Преступники взламывают компьютеры, смартфоны и планшеты для кражи персональных данных. Как обезопасить мобильное приложение банка от взлома и почему проще предотвратить утечку, чем вернуть украденное, разобрался специалист Банкcток.

Какие данные нужны мошенникам

Чтобы получить доступ к деньгам, которые хранятся на банковском счете, мошенники стремятся заполучить как можно больше ваших персональных данных. При этом проще увести деньги с банковской карты, чем напрямую со счета. Поэтому в первую очередь мошенники ориентированы на них. 

Некоторые банки выпускают карты, у которых на лицевой стороне, размещены только наименования банка, самой карты и платежной системы. Эти сведения ничего не дадут злоумышленникам. Но гораздо чаще встречаются карты, у которых на лицевой стороне больше информации. Кроме перечисленных реквизитов указаны:

• фамилия и имя владельца;
• номер из 16 цифр;
• срок действия карты.

Только этих сведений тоже будет недостаточно, чтобы увести сумму со счета. Поэтому мошенники разными способами стараются выяснить секретную информацию. Как правило, это:

1. Пин-код для подтверждения операций в офлайне. Его используют в банкоматах, магазинах и других расчетах. Этот пароль мошенники могут подсмотреть или подобрать, если он простой. Если комбинация цифр сложная, карта заблокируется после трех неверных попыток подтверждения. Но иногда владельцы карт сами пишут пароль на пластике, чем помогают злоумышленникам.
2. CVV или CVC-код — трехзначный пароль, который написан на оборотной стороне карты. Его используют для подтверждения операций в онлайне — переводы, оплата подписок, а также товаров и услуг в интернет-магазинах. Этот код, как правило, находится под защитным слоем на всех картах, который стирается при активации пластика. CVV или CVC-код нельзя изменить. Именно поэтому при утере или краже большинство банков рекомендуют блокировать карту и выпускать новую, так как данные уже могли быть скомпрометированы.
3. Одноразовый код для подтверждения онлайн-операций. Как правило, это шестизначная комбинация цифр. Код приходит на мобильный телефон в виде смс или на адрес электронной почты. Самый удобный способ настроить push-уведомления, тогда поле подтверждения в мобильном приложении банка заполняется автоматически.

Также злоумышленники могут охотиться за логинами, паролями и пин-кодами от личного кабинета или мобильного приложения банка. Самые распространенные методы, которые используют мошенники, чтобы заполучить секретные данные — социальная инженерия и фишинг. 

Социальные инженеры выманивают информацию, втираясь в доверие к жертве или, наоборот, запугивая ее. А фишеры скидывают жертвам вредоносные файлы или ссылки, которые помогают злоумышленникам получить нужные данные или удаленный доступ к банковским приложениям.

Подробнее о том, какие данные и реквизиты можно передавать третьим лицам, а какие небезопасно, читайте в отдельной статье Банкcток. 

Если владелец счета или карты сам допустил утечку данных, банк никак не компенсирует потерянные деньги. Это касается как компрометации паролей и других секретных данных, так и установки шпионских программ на свои гаджеты.

Какие риски у пользователей мобильных приложений банков

Банки регулярно тестируют свои мобильные приложения и личные кабинеты на уязвимость и устойчивость к кибератакам. Все новые защитные коды прописывают в обновлениях.

Самые распространенные риски у пользователей мобильных приложений банков:

• небезопасное хранение учетных данных, более актуально для устройств на базе Android;
• некорректная работа криптографических проверок, что может приводить к перехвату сетевого трафика;
• уязвимость операционной системы устройства, если производитель прекращает его техподдержку;
• установка поддельных приложений, которые маскируются под официальные;
• мошеннические программы-банкеры, которые перехватывают смс-подтверждения банков.

Главная цель всех злоумышленников — увести деньги со счетов и карт жертв. Однако достигают они ее по-разному:

• перехватывают данные, чтобы вывести все доступные деньги со счета клиента;
• крадут информацию, чтобы потом связаться с жертвой и обманным путем вынудить ее перевести деньги на подставные счета и карты;
• дистанционно оформляют кредитные карты от имени клиента, чтобы вывести весь доступный кредитный лимит.

От технических брешей и атак клиентов защищают антифрод-системы банка. Все остальные риски пользователям придется избегать самостоятельно.

Что облегает мошенникам доступ

Большинство тех, кто становится жертвами мошенников и теряет деньги с банковских счетов и карт, вольно или невольно становятся «соучастниками» преступления. Это неприятно осознавать, но как показывает статистика — это именно так. 

Тем, кому удалось доказать банку свою непричастность к уводу денег и вернуть сумму, в 2021 и 2022 годах было не более 7-7,5%. Все остальные так и остались ни с чем, а в худшем случае еще и с кредитом, который нужно возвращать.

Использование нестандартной клавиатуры

Использование нестандартных клавиатур снижает уровень безопасности. Речь о специальных мобильных приложениях для гаджетов. Они выглядят красиво и необычно, по сравнению со стандартными решениями. Но мало кто знает, какую именно информацию могут собирать эти клавиатуры о пользователях.

В 2017 году сотрудники Kromtech Security Center выяснили, что у виртуальной клавиатуры AI.type нет защиты. Поэтому данные пользователей могли быть доступны всем желающим даже без ввода пароля. На момент исследования ПО использовали более на более, чем на 31 млн гаджетов.

Установка программ неизвестного происхождения

Наиболее известный в РФ пример — троян FANTA. Начиная с 2019 года ущерб от этого ПО достиг 35 млн рублей. 

Целевая аудитория трояна — пользователи, которые размещали объявления о купле-продаже на Avito. Клиенты сами устанавливали его при переходе на фишинговый сайт. Ссылка приходила в смс на телефон. В итоге FANTA атаковала данные россиян, которые пользовались услугами 70 разных банков.

Подключение к Wi-Fi в публичных местах

Общественный Wi-Fi — небезопасный способ выхода во всемирную сеть. Особенно критично при таком подключении, проводить любые платежные операции в мобильных приложениях банка, в личном кабинете или вводить данные платежных карт.

Мобильные операторы могут присоединяться к публичному Wi-Fi по недостаточно защищенному каналу связи. В итоге есть риск стать жертвой атаки, при которой данные между клиентом и сервером будет перехватывать кто-то еще.

Простой код доступа

Чем надежнее защищен доступ к деньгам, тем лучше. Но очень многие не ставят пароли на включение мобильного телефона, а для входа в мобильное приложение используют простейшие комбинации, вроде 1111 или 1234. 

Такие комбинации настолько элементарны, что взломать их можно за несколько секунд. После этого злоумышленник получает доступ не только к деньгам на счете. Он может запросить выпуск кредитной карты, а после этого вывести всю сумму через подставных лиц или электронные кошельки.

Как защититься

Защитить свои деньги от посягательства злоумышленников, можно только регулярно соблюдая правила финансовой безопасности и кибергигиены.

Установите антивирус

Антивирус нужен не только для стационарного компьютера или ноутбука, но и для всех гаджетов, с помощью которых вы входите в интернет-банк и пользуетесь банковскими приложениями. Это защитит не только от кибератак, но и от переходов по вредоносным ссылкам. 

Однако не стоит полностью полагаться только на антивирус. Будьте бдительны к любым ссылкам и сайтам, на которые переходите. Не забывайте обновлять защитные системы, устаревший антивирус будет менее надежен, хотя вы можете на него полагаться.

Регулярно обновляйте систему

Поиск уязвимостей в системах и защитах приложений — регулярная задача не только техподдержки разработчика, но и мошенников. И если первые это делают, чтобы защитить пользователей, то вторые — чтобы взломать.

Чтобы защитить устройство и деньги, регулярно скачивайте обновления производителей и поставщиков системы. Пользуйтесь последней версией, это усилит антивирусную и общую защиту, и снизит риск взлома.

Чтобы не пропустить, когда появится новая версия, подключите функцию автообновления системы. Как правило, она доступна в настройках гаджета или самого приложения.

Скачивайте ПО с проверенных источников

Не качайте приложения для смартфонов и планшетов с непроверенных ресурсов. Для устройств на базе Android используйте магазин приложений Google Play, для iOs — AppStore, также можно использовать RuStore, NashStore, RuMarket, специализированные типа Huawei AppGallery, Samsung Galaxy Store и многие другие.

Изучите отзывы пользователей и ответы техподдержки, прежде чем установит приложение. Проверьте, когда проводилось последнее обновление. Как правило, разработчик в описании указывает эту дату, а также какие ошибки были исправлены, и что появилось нового. Если последнее обновление было давно, это повод насторожиться. Возможно, разработчик запустил новое приложение, а это уже не поддерживается.

Если на смартфоне или планшете есть приложениями, которыми никто давно не пользуется, их безопаснее удалить. Очень часто система сама собирает все неиспользуемые приложения в одну папку. Удаляйте не только ярлык с главного экрана, но и все ПО из памяти планшета или смартфона. 

Не устанавливайте на свои гаджеты приложения по просьбе малознакомых или неизвестных вам людей. Часто мошенники маскируют вредоносное ПО «полезными» функциями. Например, сервис рекомендуют установить, так как без него нельзя устроиться на работу или получить «пассивный» доход. 

За такими предложениями, как правило, скрываются программы для дистанционного доступа к персональным данным, и в том числе к банковским приложениям. С их помощью преступники перехватывают смс, одноразовые пароли для подтверждения банковских операций, переводят деньги и даже могут оформить онлайн-заявку на кредитную карту.

Следите за настройками конфиденциальности 

При установке любого приложения, обращайте внимание, к каким данным вы предоставляете доступ. Стоит ли делиться с приложением для учета доходов и расходов вашей геолокацией? Нужно ли приложению для учета калорий давать доступ к базе ваших телефонных контактов? 

Разрешайте доступ только к тем данным, которые действительно нужны для нормальной работы сервиса. Например, приложению для вызова такси не обойтись без геолокации. Фитнес-браслету в некоторых случаях можно дать доступ к списку контактов, если хотите во время тренировки получать уведомления, кто вам звонит, а не просто считать сожженные калории. Если считаете, что приложение запрашивает излишние данные, которыми вы не готовы делиться, выберите приложение с другими настройками конфиденциальности.

Если во время использования приложения приходит новое пользовательское соглашение, не соглашайтесь не глядя. Возможно, новые условия неприемлемы для вас.

Регулярно меняйте пароли

При первичной установке паролей уделяйте процессу максимум внимания. Используйте сложные комбинации из цифр, прописных и строчных букв. Если это возможно добавляйте специальные символы. Откажитесь от паролей связанных с датой рождения, именем и фамилией. Эти данные легко найти. Для каждого аккаунта и приложения используйте разные пароли.

Пароли к банковским приложениям или любым другим, которые дают доступ к вашим деньгам, каждый раз вводите вручную. Не используйте сохранение для автоматического ввода.

Если в приложении предусмотрена блокировка с помощью графического ключа или по отпечатку пальца, используйте их. Такие пароли взломать в разы сложнее, чем состоящие только из цифр.

Настройте двойную аутентификацию. Это когда вход нужно каждый раз подтверждать паролем из смс или пуш-уведомления. Также можно настроить, чтобы код для разового доступа приходил на электронную почту. 

Раз в три месяца меняйте пароли. Не используйте предыдущие 5-6 комбинаций. Если будете следовать таким правилам, мошенникам будет сложнее пробраться к вашим деньгам.

На данный момент у нас всё! Мы благодарны, что Вы уделили время этой статье. Уверены, Вы не потратили время зря, больше полезной информации вы сможете найти в Экономических советах.