ЭкспертHi-Tech

Опасный смартфон

Кража смартфона еще не означает потерю денег с банковских счетов — если соблюдены правила безопасности

Алексей Долженков

Смартфон с каждым днем играет все большую роль как средство платежа: мы используем его для оплаты покупок в интернет-магазинах, заказа еды на дом, оплаты такси, да и просто на кассе вместо банковской карточки. По некоторым данным, в Москве уже до 60% безналичных покупок совершается с помощью смартфонов. Кроме того, все чаще через смартфон проводятся и банковские операции — с помощью мобильных приложений банков.

Однако далеко не все задумываются, насколько это безопасно и какими финансовыми последствиями может грозить. Так, согласно отчету ФинЦЕРТ Банка России, объем несанкционированных операций с платежными картами в 2018 году составил 1384,7 млн рублей, это на 44% больше, чем в 2017-м (961,3 млн рублей). В эту статистику входят операции, совершенные с помощью смартфонов через Apple Pay, Samsung Pay и других Pay, так как оплата через эти сервисы осуществляется все с тех же банковских карт. А согласно недавнему отчету Positive Technologies, у 61% российских интернет-банков имеются серьезные дыры в системе безопасности.

Важно отметить, что около 97% несанкционированных операций связаны с применением по отношению к нам — клиентам банков — методов социальной инженерии. Но краж денег и данных в организациях торговли и через банкоматы тоже становится все больше: в 2018 году так похитили 307 млн рублей, что на треть больше аналогичного показателя в 2017 году (232,6 млн рублей). В эту статистику входит и оплата товаров украденными картами и смартфонами, и снятие денег в банкоматах. Не стоит забывать, что с помощью смартфона тоже можно снять деньги в банкомате, оборудованным для бесконтактного обслуживания.

Впрочем, если посмотреть на относительные цифры, то ситуация выглядит вполне невинно: доля несанкционированных операций в общем объеме операций, совершенных с использованием платежных карт, в 2018 году составила всего-то 0,0018% против 0,0016% в 2017 году.

Простые правила

Чтобы обезопасить себя и не попасть в этот небольшой процент, нужно соблюдать довольно простые правила. Управление «К» МВД России рекомендует следующие правила безопасности — среди них как очевидные, так и те, о которых мало кто знает.

1. Используйте сложный пароль блокировки экрана и качественную антивирусную программу. Не входите в банковские приложения, используя отпечаток пальца или функцию распознавания лица.

2. Ни в коем случае не храните в телефоне логин и пароль от входа в мобильный банкинг.

3. Не храните в телефоне реквизиты карты: номер, срок действия, проверочный код и ПИН-код карты.

4. Избегайте входа в мобильный банкинг с чужих устройств.

5. При утрате телефона немедленно обратитесь в банк для блокировки карты и в офис мобильного оператора для блокировки сим-карты.

6. Не переходите по ссылкам из СМС, даже если в сообщении утверждается, что оно из банка.

7. Отключите функцию отображения текста входящих СМС-уведомлений на экране заблокированного телефона.

Специалисты по безопасности из независимых организаций и банков согласны с большинством из этих рекомендаций, разве что они (как и следовало ожидать) не столь категоричны насчет биометрических систем идентификации. Так, руководитель дирекции по мониторингу операций Альфа-Банка Алексей Голенищев рекомендует защитить смартфон от использования посторонними лицами, установив код разблокировки (PIN-код) или настроив разблокировку по лицу или отпечатку пальца. Он также призывает не хранить записанные ПИН-коды от карт и коды от приложения мобильного банкинга не только в самом смартфоне, но и на других носителях, и никому их не сообщать. «Никому не сообщайте и СМС-коды, приходящие от банка, кто бы вам ни звонил и кем бы он ни представлялся, даже сотрудником службы безопасности банка. Внимательно читайте СМС, в которых приходят коды, перед тем как вводить их при совершении платежа, — добавляет Алексей Голенищев. — Там должны быть корректно указаны вид операции и ее сумма».

Антивирусный эксперт Виктор Чебышев из «Лаборатории Касперского» добавляет, что нельзя устанавливать приложения из сторонних, неофициальных, источников, а также необходимо установить защитное решение на свой смартфон. «На текущий момент основная масса зловредных мобильных приложений, ориентированных на кражу финансовой информации, находится на сторонних источниках и предназначена для пользователей Android; как правило, это специально созданные сайты. В гораздо меньшей степени в невольном распространении зловредных приложений замечен официальный магазин Google Play. Однако мы все чаще фиксируем размещения зловредных приложений на подобном доверенном источнике», — объясняет г-н Чебышев.

Начальник отдела информационной безопасности Райффайзенбанка Денис Камзеев считает необходимым установить ПИН-код не только на телефон, но и на сим-карту, а также не использовать смартфон с правами администратора (root, jailbreak) и своевременно информировать банк о компрометации данных для входа в мобильный банк, утере телефона, сомнительных звонках.

В свою очередь Андрей Арсентьев, аналитик из ГК InfoWatch, напоминает, что пароли к почте также нельзя хранить на устройстве. «Пользователь должен знать алгоритм поиска телефона, например при помощи функции “Найти iPhone” через iCloud или другое устройство, и его блокировки по IMEI, чтобы оперативно отреагировать на потерю или кражу, — рассказывает г-н Арсентьев. — Кроме того, не стоит использовать публичные Wi-Fi-сети — через незащищенные соединения хакеры могут перехватить конфиденциальные данные пользователей».

Биометрия под вопросом

Что касается ненадежности биометрии, тут нужно учитывать несколько факторов. Мы оставляем свои отпечатки пальцев на всем, к чему прикасаемся. Современные технологии позволяют создать копию отпечатка пальца, сняв его с самого смартфона. К тому же еще в далеком 2014 году на ежегодном Всемирном конгрессе хакеров (Chaos Communication Congress) в Германии было продемонстрировано считывание отпечатка немецкого министра обороны с публично доступной высококачественной фотографии. Существуют также специальные программы для создания трехмерного образа лица человека по фотографии, этот образ с довольно неплохой вероятностью может обмануть системы распознавания лиц.

Конечно, создание образа лица, предоставление его системе считывания биометрии, создание копии отпечатка пальца — все это требует специального оборудования, специального программного обеспечения, а для отпечатка пальца еще и нестандартного, отсутствующего в продаже, 3D-принтера. Помимо этого нужны технические специалисты из спецслужб, высококлассные специалисты по кибербезопасности или хакеры мирового уровня. Все эти люди могут заработать неплохие деньги и без сотрудничества с карманными воришками. Так что опасения управления «К» по поводу биометрии все же выглядят несколько преувеличенными, хотя и не безосновательными. Вспомним также статистику: 97% несанкционированных операций связаны с социальной инженерией, 2% — с воздействием вредоносного кода и только 1% — с другими причинами.

Общие предупреждения и рекомендации редко стимулируют людей их соблюдать. Поэтому стоит разобрать, чем же конкретно грозит нарушение этих инструкций. Алексей Голенищев предупреждает, что если злоумышленники знают ПИН-коды от карт, коды от смартфона и от приложения мобильного банкинга (к примеру, если клиент хранит бумажку с записанными ПИН-кодами вместе со смартфоном), то они способны полностью «обчистить» счета клиента (например, снять наличные в банкомате по бесконтактной технологии через Apple Pay).

Казалось бы, этот сценарий возможен, если на телефоне и в мобильном приложении банка не подключены функции распознавания лица и отпечатков пальцев. Однако даже если они подключены, взлом смартфона при его физическом наличии возможен через доступ к системным файлам, просто сложность этого зависит от конкретной модели смартфона. При этом можно получить доступ к данным (включая ПИН-коды карт и логин, пароль от банковского приложения, если они были сохранены в явном виде), особенно если они дополнительно не закодированы. На руку жертве играет то, что это очень трудоемкий и требующий времени процесс. Но вот если на устройстве активирован режим разработчика/администратора (root, jailbreak и т. д.), то это очень сильно облегчает задачу преступникам. Кроме того, смартфон всегда можно сбросить до заводских настроек. При этом все данные будут потеряны, но останется номер, зарегистрированный в банке, да и модель телефона будет распознаваться как та же самая. А вот если ПИН-код установлен даже на сим-карте, то злоумышленнику не поможет и сброс до заводских настроек.

Что было в телефоне

Если преступнику удалось разблокировать телефон, но вы никаких паролей и данных карт в явном виде на нем не сохраняли, то максимум, что могут сделать с вашими деньгами, — воспользоваться СМС-банкингом. Apple Pay, Samsung Pay и другие Pay требуют дополнительной авторизации, как минимум для сумм свыше 1000 рублей. «Стоит отметить, что только имея доступ к СМС-банкингу, злоумышленник сможет украсть денежные средства с карты, в других случаях киберпреступник просто не сможет авторизоваться. Ну и, как правило, номинал операции при помощи СМС-банкинга невелик», — рассказывает Виктор Чебышев.

Риск возрастает, если вместе с телефоном были украдены физические карты. «В таком случае уровень опасности повышается на сто процентов, потому что во многих случаях номер карты — это учетные данные для входа в систему банк–клиент, а код авторизации приложения приходит в виде СМС, доступ к которым можно получить, вставив сим-карту в другое устройство», — поясняет г-н Чебышев. Впрочем, сейчас осталось довольно мало банков, которые позволяют активировать мобильное приложение с помощью одних только данных карты. В большинстве случаев процедура требует дополнительных шагов.

Андрей Арсентьев добавляет, что украденное устройство также может быть использовано в мошеннических целях. Например, с телефона или с привязанного к нему мессенджера злоумышленник может рассылать сообщения по вашей базе контактов с просьбой перевести деньги.

Подводя итог, можно сказать, что самыми опасными для хранения в явном виде, особенно при потере смартфона, являются логин и пароль от мобильного банка, ПИН-код карты и пароль от pay-сервисов (если в них включена эта опция, а не биометрическая идентификация). Самое же опасное — потеря ПИН-кода карты вместе с самой картой или с паролем от pay-сервисов. Этот вариант дает возможность снятия наличных в банкоматах. Если же вместе со смартфоном потеряны логин и пароль от мобильного банка, то у злоумышленников будет возможность только перевести деньги в безналичном виде, что оставляет значительно больше следов. Однако если мобильный банк позволяет менять ПИН-коды карт, то потеря логина и пароля от мобильного банка одновременно означает и потерю ПИН-кодов к вашим картам. Эта услуга встречается довольно редко, но, например, Сбербанк уже в ближайшее время планирует предоставить ее всем своим клиентам. Сейчас она находится в тестовой эксплуатации.

На страже денег

Сами банки тоже принимают меры для защиты от киберпреступников. Так, в Альфа-банке действует интеллектуальная система фрод-мониторинга, отслеживающая подозрительные транзакции по множеству критериев. Подозрительные транзакции блокируются, а если возникает опасения, что скомпрометированы конфиденциальные данные (кодовое слово, СМС-коды и т. д.), блокируются и счета клиента. Разблокировать их клиент сможет, пройдя идентификацию в отделении банка.

Райффайзенбанк также традиционно уделяет большое внимание безопасности своих сервисов, и мобильный банк не исключение. «Мы реализуем самые современные механизмы защиты, как на уровне инфраструктуры банка, так и на уровне мобильного приложения. Любое изменение функциональности мобильного приложения сопровождается проведением тестов на проникновение совместно с анализом защищенности», — поясняет Денис Камзеев.

«Если говорить о физической стороне безопасности смартфона, то здесь применяются различные способы контроля за активностью клиента и защиты его финансов, — рассказывает Виктор Чебышев. — Например, проверяется геолокация пользователя, серийный номер, марка и модель устройства. А для доступа в приложение банка используется биометрические способы авторизации».

В целом в «Лаборатории Касперского» склонны полагать, что при физической краже мобильного устройства основная цель — быстро его продать. А вот ситуация с кибератаками на финансовые приложения серьезная. «В 2018 году мы наблюдали эпидемию мобильных банковских “троянцев”. В частности, крайне активен был “троянец” Asacub, с ним, по нашим данным, в 2018 году столкнулось порядка миллиона пользователей по всему миру. И начало 2019 года показывает, что напор киберпреступников не ослабевает», — заключает г-н Чебышев.

Хочешь стать одним из более 100 000 пользователей, кто регулярно использует kiozk для получения новых знаний?
Не упусти главного с нашим telegram-каналом: https://kiozk.ru/s/voyrl