какой процент россиян защищает смартфон пин кодом
Успешный вход: как воруют деньги через мобильный банк
Хакеры и мошенники осваивают новые способы атаковать пользователей мобильного банкинга. Одни используют уязвимости банковских приложений. Другие — старую добрую социальную инженерию. К звонкам «службы безопасности» и просьбам вернуть переведенные «по ошибке» средства добавляются всё новые способы обмана. Насколько безопасны приложения банков, как защитить свой аккаунт, и можно ли вернуть деньги в случае их кражи, выясняли «Известия».
Слабое шифрование
Хотя на первый взгляд банковские приложения достаточно надежно защищены, багов в них всё равно достаточно. К ним, например, эксперты относят отсутствие проверки на получение прав привилегированного пользователя (root-прав) на самом устройстве, а также слабое шифрование данных при их передаче между сервером и устройством.
Как поясняет Александр Зубриков, руководитель направления информационной безопасности ITGLOBAL.COM, отсюда и популярность MitM-атак (когда злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что непосредственно общаются друг с другом).
Одна из уязвимостей, которую наиболее часто эксплуатируют хакеры, — хранение аутентификационных данных в коде приложения в открытом виде.
— Слабые места банковских приложений связаны с окружением на устройстве и интеграцией с технологией Deep-links. Данная технология позволяет определить, как открывать ссылку: в браузере или приложении. Эксплуатация Deep-links со стороны хакеров позволяет им производить не предусмотренные приложением запросы и проникать в его защищенный контур, — поясняет Тимурбулат Султангалиев, директор практики информационной безопасности компании AT Consulting (входит в Лигу цифровой экономики).
Распространенная уязвимость на стороне банка — отсутствие строгой валидации запросов от мобильного приложения к серверам банка. В итоге злоумышленники могут установить фальшивый сертификат на устройство клиента и подделать в запросе счет получателя перевода, таким образом получая доступ к денежным средствам клиентов.
При этом, если отсутствует строгий запрет на сторонние сертификаты или их валидация, банк сочтет запрос легитимным и отправит деньги клиента мошенникам, поясняет руководитель службы информационной безопасности Servicepipе Никита Прохоренко. По его словам, чаще всего к взломам приводит отсутствие политики полного недоверия, когда устройство должно «доказать», что имеет права на такого рода запросы, и то, что запрос действительно отправлен клиентским приложением.
Аутентификация пользователя
Вопросы у специалистов по-прежнему вызывает и система верификации пользователя при входе в приложения. К основным рискам мобильных банковских приложений они относят незащищенную операционную систему и отсутствие двухфакторной аутентификации (отдельного ПИН-кода для запуска).
Как поясняет Евгений Суханов, директор департамента информационной безопасности компании Oberon, в открытых операционных системах Android есть возможность вносить изменения в мобильное приложение либо перехватить его соединение с банком вредоносным ПО. Оно впоследствии сможет осуществлять платежи через зараженное приложение, включая отправку подтверждающих СМС.
Вообще, верификация платежей и самого пользователя, по мнению многих экспертов, — наиболее уязвимое место банковских приложений, даже при наличии двухфакторной идентификации через СМС. Как отмечает Павел Катков, владелец IT-legal компании «Катков и партнеры», СМС-сообщение, как правило, приходит на тот же телефон, на котором стоит взламываемое банковское приложение.
Более надежной специалисты считают двухфакторную аутентификацию с использованием разных устройств: когда мобильное приложение установлено на одно устройство (телефон, планшет), а подтверждение об операции приходит на другое устройство.
Пароли и сторонние приложения
Впрочем, взлом приложений для обмана клиентов кредитных организаций используется всё же не так часто — на первый план выходит по-прежнему социальная инженерия. Львиная доля мошенничеств реализуется при помощи получения кодов и паролей.
— Большинство взломов происходит, когда мошенники связываются с потенциальной жертвой под видом службы безопасности банка, под видом сотрудников банка и получают СМС-код, номер карты и защитный код, — указывает Роман Хорошев, основатель краудлендинговой платформы «Джетленд».
Нередко злоумышленники (используя, например, всё тот же звонок «из службы безопасности банка»), убеждают жертв установить на устройство специальное ПО, позволяющее «расшарить» происходящее на экране смартфона, например, TeamViewer или AnyDesk.
— После установки программы мошенники могут проводить операции от имени клиента, напрямую подключившись к его устройству. Отличить действия мошенника, выдающего себя за реального клиента, становится сложно, но по-прежнему возможно — например, используя поведенческий анализ, — отмечает Дмитрий Стуров, исполнительный директор, начальник управления информационной безопасности банка «Ренессанс Кредит».
Как рассказал Юрий Орлов, директор по информационной безопасности QBF, доля операций, так или иначе связанных с социальной инженерией, в 2020 году составила 64% от общего числа случаев мошенничества. Вырос и средний чек подобных «транзакций» — с 7,6 тыс. до 8,6 тыс. рублей. В большинстве случаев пользователи добровольно предоставляют свои данные третьим лицам.
Что делать
Чтобы минимизировать риск, эксперты советуют следовать базовым правилам, главное из которых — никогда не сообщать персональную и личную информацию звонящим из «колл-центров» и всегда перезванивать в сам банк. Не стоит хранить критичные данные (финансовую информацию, аутентификационные и персональные данные) непосредственно на мобильном устройстве. Не надо использовать слишком простые и повторяющиеся пароли.
Рискованным эксперты считают и повышение уровня привилегий в ОС устройства: установку джейлбрейка в iOS или root-прав для Android. И рекомендуют внимательно следить за тем, какому приложению открывается доступ к данным, и к каким именно.
Стоит помнить и том, что если деньги украдены по вине пользователя или по его оплошности (как и происходит чаще всего), то банк вряд ли вернет средства. Так, по закону банк обязан вернуть деньги, если клиент уведомил о подозрительной операции в течение суток с момента ее совершения. Но при этом он не должен нарушить правила безопасности — в частности, не сообщать никому данные карты и пароли.
— В арсенале банков сегодня большой комплекс средств и механизмов защиты от кибермошенников, но банки не могут отвечать за то, какое ПО загружает на свой телефон или другое устройство клиент, или как-то это контролировать, — указывает директор департамента информационной безопасности МКБ Вячеслав Касимов.
Исследование: для безопасности шестизначные PIN-коды не лучше, чем четырехзначные
Немецко-американская команда исследователей с привлечением добровольцев проверила и сравнила безопасность шестизначных и четырёхзначных PIN-кодов для блокировки смартфонов. В случае утери или кражи смартфона лучше быть уверенным хотя бы в том, что информация окажется защищённой от взлома. Так ли это?
Филипп Маркерт из Института ИТ-безопасности Хорста Гёрца Рурского университета Бохума и Максимилиан Голла из Института безопасности и конфиденциальности имени Макса Планка выяснили, что на практике психология довлеет над математикой. С математической точки зрения, надёжность шестизначных PIN-кодов существенно выше, чем четырёхзначных. Но пользователи предпочитают определённые комбинации цифр, поэтому некоторые PIN-коды используются чаще и это почти стирает разницу в сложности между шести- и четырёхзначными кодами.
В исследовании участники экспериментов использовали устройства Apple или Android и устанавливали четырех- или шестизначные PIN-коды. На устройствах Apple с версии iOS 9 появился чёрный список запрещённых цифровых комбинаций для PIN-кодов, выбор которых автоматически запрещён. Исследователи имели на руках как оба чёрных списка (для 6- и 4-значных кодов), так и запускали перебор комбинаций на компьютере. Чёрный список полученных от Apple 4-значных PIN-кодов содержал 274 номера, а 6-значных ― 2910.
Для устройств Apple пользователю даётся 10 попыток ввести PIN-код. По мнению исследователей, в таком случае чёрный список практически не имеет смысла. За 10 попыток оказалось сложно угадать правильный номер, даже если он очень простой (типа 123456). Для устройств Android за 11 часов можно совершить 100 вводов PIN-кода, и в данном случае чёрный список уже является более надёжным средством удержать пользователя от ввода простой комбинации и не допустить взлом смартфона путём перебора номеров.
В эксперименте 1220 участников самостоятельно выбирали PIN-коды, а экспериментаторы пытались угадать их за 10, 30 или 100 попыток. Подбор комбинаций проводился двумя способами. Если включался чёрный список, смартфоны атаковались без использования номеров из списка. Без включённого чёрного списка подбор кода начинался с перебора номеров из чёрного списка (как наиболее часто используемые). В ходе эксперимента выяснилось, что разумно выбранный 4-значный PIN-код при ограничении числа попыток ввода достаточно безопасен и даже немного надёжнее 6-значного.
Наиболее распространёнными 4-значными PIN-кодами оказались комбинации 1234, 0000, 1111, 5555 и 2580 (это вертикальный столбец на цифровой клавиатуре). Более глубокий анализ показал, что идеальный черный список для четырехзначных PIN должен содержать около 1000 записей и немного отличаться от того, который был выведен для устройств Apple.
Наиболее часто используемые комбинации PIN-кодов
Наконец, исследователи выяснили, что 4-значные и 6-значные PIN-коды менее безопасны, чем пароли, но более надёжны, чем графическая блокировка смартфонов (по шаблонам). Полный доклад по исследованию будет представлен в Сан-Франциско в мае 2020 года на конференции IEEE Symposium on Security and Privacy.
Эксперты оценили, сколько россиян блокируют телефон паролем или кодом
Две трети владельцев смартфонов для защиты своих данных используют инструменты аутентификации, такие как пароли, графические ключи, распознавание по отпечатку пальца или по лицу. К такому выводу пришли специалисты Аналитического центра НАФИ по результатам опроса пользователей смартфонов. Результаты опроса есть у РБК.
Ставят на телефон пароли, графические ключи, аутентификацию по отпечатку пальца или разблокировку с помощью лица 66% владельцев смартфонов. По данным опроса, чаще всего дополнительную аутентификацию при разблокировке смартфона ставят люди, которые пользуются приложениями-мессенджерами и банковскими приложениями.
При этом наиболее популярным методом защиты данных является отпечаток пальца, его используют 38% россиян. Чуть меньше предпочитают пароль или код — 32% пользователей телефонов.
Вид блокировки, которую используют владельцы телефонов, часто зависит от модели телефона и его операционной системы. В целом смартфоны с операционной системой Android в России популярнее: такие гаджеты используют 80% опрошенных (16% используют систему iOS).
При этом среди пользователей iPhone больше тех, кто защищает свои данные аутентификацией при разблокировке: ее используют 88% покупателей Apple, в то время как среди владельцев устройств на Android дополнительную защиту с паролем, отпечатком пальцев, распознаванием по лицу или с графическим ключом выбирают 62%. Владельцы телефонов на операционной системы iOS также в восемь раз чаще используют распознавание лица, потому что на новых моделях нет сканера отпечатка пальцев.
В опросе принимали участие 1600 человек из 53 регионов страны, 70% участников опроса оказались владельцами смартфонов.
Согласно данным опроса, наиболее активными пользователями гаджетов являются россияне в возрасте 18–34 лет (у 94% респондентов этой категории есть смартфоны), жители крупных городов (в Москве и Петербурге их доля достигает 81%). Ниже доля владельцев смартфонов среди сельских жителей (64%) и респондентов 60 лет и старше (36%).
Статистическая погрешность данных не превышает 3,4%.
Ранее опрос компании ESET, которая специализируется на разработке антивирусного программного обеспечения и защите от киберугроз, показал, что большинство россиян (77%) считают, что за ними осуществляется слежка при помощи мобильных устройств. При этом меньше всего опасаются этого молодые люди в возрасте от 18 до 24 лет. Людей старше 35 лет слежка волнует больше.
При этом 39,5% респондентов считают, что отслеживается история поиска на всех устройствах, 25,5% верят, что передаются все действия, которые производятся на устройстве, 14,1% уверены, что за ними следят при помощи микрофона и камеры гаджета, а 20,9% думают, что используются все вышеперечисленные средства.
Если оставить сим-карту без присмотра, можно лишиться всех денег в банке, защищены от этого способа взлома единицы
Наличие сим-карты с номером, привязанным к банкам или аккаунтам в соцсетях, может быть крайне опасным для владельца. Так, злоумышленники могут авторизоваться в банке и списать все деньги или оформить кредит на несколько миллионов рублей. В случае потери сим-карты необходимо срочно принять меры.
Александр (имя изменено) потерял телефон. Беда не пришла одна. На следующий день в мобильных банках он заметил, что с карт списаны деньги, а в истории операций ряд переводов, которых он не совершал.
Один банк не позволил списать средства. Он обнаружил подозрительную активность и заблокировал счёт. Зато в другом мошенники произвели несколько операций, среди них покупка в магазине и попытка оформить кредит.
Почему так произошло?
Сим-карты и номера телефона достаточно, чтобы получить доступ к мобильному банку, аккаунтам в соцсетях и подобным учётным записям. Особенно легко это будет сделать при отсутствии двухфакторной аутентификации с кодом из СМС в качестве пароля.
— Номер телефона считается доверенным способом двухфакторной авторизации во многих сервисах. Злоумышленник, получив в распоряжение смартфон, может извлечь из него сим-карту, вставить её в другое устройство, установить банковское приложение и использовать номер телефона в качестве логина в системе, а пароль обычно приходит в виде СМС, — рассказал исследователь мобильных угроз в Лаборатории Касперского Виктор Чебышев.
В случае с Александром один банк заблокировал карту, а второй нет. У банков есть системы проверки пользователя на основании его устройства. Если пользователь проводил платёж с одного, а теперь начинает с другого — это повод насторожиться.
— У банков очень много различных систем проверки мошеннических операций, в том числе проверяются марка, модель и серийный номер устройства. Если ещё вчера платежи осуществлялись с одной модели устройства, а сегодня — с совершенно другой, то это с большой долей вероятности станет поводом для внутренней проверки со стороны банка, — объяснил Виктор Чебышев.
Правда, рассчитывать на систему защиты не стоит. Она может спасти кошелёк, но не факт, что сделает это. Поэтому лучше обезопасить счёт заранее.
Как обезопасить себя?
Каждому сайту доступны cookie-файлы, и хакеры ими пользуются. Новый способ взлома аккаунтов
Решение проблемы — установка пароля-блокировки для сим-карты. Это то же самое, что и с блокировкой экрана, только без ПИН-кода для сим-карты хакер не получит доступа к ней и не сможет выполнять операции. Чтобы авторизоваться, злоумышленнику нужно будет ввести ПИН-код, а его знаете только вы. Это усложнит процесс взлома и увеличит время до получения доступа к чипу. Вам всё равно обязательно нужно позвонить оператору с требованием заблокировать сим-карту. С ПИН-кодом вы выиграете время.
Вот как его активировать на iPhone: 1) перейдите в «Настройки» —> «Сотовая связь» —> SIM-PIN; 2) активируйте переключатель; 3) введите старый ПИН-код для сим-карты, если он есть; 4) после успешной активации настройки можно изменить старый ПИН-код на новый, более удобный и запоминающийся.
На Android: «Настройки» —> «Безопасность и местоположение» —> «Безопасность и конфиденциальность» —> «Блокировка сим-карты» —> «Дополнительные настройки» —> «Шифрование и учётные данные» —> «Установить блокировку сим-карты». И введите ПИН-код.
Чтобы отключить или сменить ПИН-код на сим-карте, нужно будет ввести текущий. Так карточка будет защищена от использования злоумышленниками.
Решает ли это проблему?
Технологии. Главное по теме
Сколько стоит умный дом в России и можно ли на нём сэкономить
Telegram хочет привлечь 1 млрд инвестиций: что ждёт мессенджер Дурова
Разработчик из Питера выпустил неофициальную версию Clubhouse для Android
Не всегда. По словам экспертов Group-IB, гораздо более серьёзная проблема — перевыпуск сим-карт. В этом случае мошенник может привязать клонированную симку к интернет-банку и получить доступ ко всем счетам жертвы.
«У клиента есть, как правило, сутки на обращение в салон связи и банк, чтобы мошенник не успел ничего предпринять.Чтобы злоумышленники не могли перевыпустить вашу сим-карту и перепривязать к ней ваш интернет-банкинг, напишите в отделении у сотового оператора заявление, ограничивающее смену сим-карты без вашего участия», — советует замруководителя лаборатории компьютерной криминалистики Group-IB Анастасия Баринова.
Как действуют банки и сотовые операторы?
Александр запросил возврат денег, списанных после потери смартфона. Банк отказал.
«До момента извещения банка об утрате средств доступа, карты / карточного токена или ПИНа клиент несёт ответственность за все операции по счетам, совершённые иными лицами с ведома или без ведома клиента», — рассказали ему в компании.
Это ещё одна причина сообщить об утрате устройства и сим-карты как можно быстрее. Вот как предостерегают пользователей сотовые операторы.
«Билайн»: «Установка ПИН-кода на сим-карту — стандартная возможность, которая может быть включена или выключена самим клиентом. Блокируем их по заявлению клиента. В этом плане действия ничем не отличаются от случаев утери, например, банковских карт».
МТС: «ПИН-код — это базовый пароль, который стоит на всех наших сим-картах и даёт дополнительную защиту в случае пропажи вашей сим-карты. Пользователь сам выбирает, пользоваться им или нет. Но надеяться только на ПИН-код в такой ситуации не стоит. Первое и самое важное правило — если у вас украли телефон / пропала сим-карта или вам кажется, что к ней получили доступ мошенники, нужно немедленно связаться с техподдержкой любым удобным для вас способом (по телефону, на сайте, в приложении или соцсетях) и как можно быстрее её заблокировать.
Yota: «У наших клиентов есть возможность установить и изменить ПИН-код на сим-картах. Когда к нам обращается клиент с сообщением о потере сим-карты, мы ограничиваем доступ к услугам связи после подтверждения его личности. Стоит отметить, что сим-карта, как правило, теряется вместе с устройством, на котором могут быть установлены приложения банков, социальных сетей и т.д. Для защиты необходимо дополнительно ставить ПИН-код на сам гаджет, а также пароли на приложения. В случае пропажи телефона с сим-картой клиентам необходимо в кратчайшие сроки проинформировать нас, обратившись в контактный центр или на точку продаж Yota, чтобы временно заблокировать услуги связи на утерянной сим-карте».
«Мегафон»: «Возможность установить ПИН-код на сим-карту есть у каждого абонента, сделать это можно в настройках телефона, это касается и смартфонов, и кнопочных устройств. Мы всегда рекомендуем устанавливать ПИН-код в качестве защиты, но решение остаётся на усмотрение абонента. Если ПИН-кода на сим-карте не было, а телефон украден, нужно как можно скорее заблокировать сим-карту, обратившись в ближайший салон связи или на горячую линию оператора. Мы постоянно взаимодействуем с банками и проводим комплекс технических мероприятий для защиты наших абонентов».
Как действовать, чтобы не попасть в подобную ситуацию?
Как устроен антифрод и почему с мошенниками так сложно бороться
Антифрод: что это?
При оплате покупки онлайн вам наверняка приходилось вводить код из СМС, чтобы подтвердить, что это именно вы используете свою карту, а не злоумышленник крадет ваши средства.
Это пример того, как работает антифрод (от англ. anti-fraud — борьба с мошенничеством) — комплекс мер, направленный на предотвращение мошеннических транзакций.
Антифродом называют автоматизированные программы, которые оценивают банковские или онлайн-операции по определенным критериям. Если какая-то из транзакций им не соответствует, проводится более тщательная проверка, после чего принимается решение о разрешении или блокировке операции.
Антифрод-системы применяются для защиты любых денежных операций, в том числе в онлайне, и используются банками, крупными магазинами и платежными системами (Visa, MasterCard, PayPal). С 2003–2004 годов использование таких систем стало обязательным во всем мире.
Антифрод необходим, чтобы пресечь попытку использовать личную информацию в корыстных целях. Ваши данные могут оказаться под угрозой в результате нескольких видов мошенничества:
Как работает антифрод-проверка
Рассмотрим пример довольно обычного фрода. Мошенник захотел купить в интернет-магазине товары по акции и воспользоваться для этого данными украденных банковских карт. Кажется, все просто: ему нужно создать несколько аккаунтов и оплатить покупки по одному разу с каждой карты. В результате могут понести ущерб и настоящие держатели карт, и владельцы предприятия.
Первичная проверка и фильтры
Однако правила алгоритмов антифрода этому помешают, так как на их основе пройдет первичная проверка, где будут учитываться:
Даже если пользователь проводит транзакции сразу с нескольких IP-адресов или действительно находится в иной стране, чем та, где была выпущена карта, система это распознает и просигнализирует об аномалии. Однако это не повод блокировать платеж: операция пройдет еще несколько этапов проверки.
Кроме IP-адресов учитываются и такие фильтры как цифровой отпечаток, страна эмитента и соответствие данных о том, где была выпущена карта и откуда поступил платеж, а также история операций и наличие отклоненных транзакций.
Применение машинного обучения
Стоит учитывать, что антифрод-система — постоянно настраиваемый и обновляемый алгоритм, который начинает работать лучше, если его скорректировать. Для этого используется машинное обучение: искусственный интеллект (ИИ) формирует шаблоны (сценарии), опираясь на исторические данные о поведении пользователей, чтобы в дальнейшем делать прогнозы.
Обучение системы может проходить как под контролем специалиста (антифрод-аналитика), так и автономно, когда система самостоятельно распознает мошенничество и сигнализирует о нетипичных ситуациях.
Финальная проверка: метки
После проверки фильтрами, система устанавливает метки на каждую операцию:
Уязвимость антифрода
С тех пор как банки ввели новые средства защиты — бесконтактные платежи и систему многофакторной аутентификации (СМС-оповещения, push-уведомления, специальные вопросы и отпечатки пальцев), — количество возможностей для мошенничества должно было существенно снизиться.
Однако за 2020 год число правонарушений в сфере ИТ выросло на 73,4%, среди них наиболее популярными оказались фишинг и скам. Во втором квартале 2021 года в основном в результате того же фишинга с банковских счетов россиян было украдено более ₽3 млрд, при этом банки вернули только 7,4% украденных средств. Половину из них клиенты банков перевели мошенникам сами.
Ограничения антифрод-системы и решения
Существует множество ограничений, из-за которых банки не могут своевременно отреагировать на случаи мошенничества или вернуть украденные суммы. В их числе — отсутствие у банков права блокировать входящие платежи и задерживать транзакции, устаревшие данные карт злоумышленников (которые уже успели их поменять), использование подставных лиц, скорость вывода средств мошенниками, долгая проверка счетов и отсутствие поправок в законодательстве, касающихся блокировки и возврата похищенных средств. Кроме того, клиенты сами раскрывают данные карт, поддаваясь на провокацию мошенников.
Несмотря на это, банки продолжают заниматься улучшением своих систем безопасности и, например, начали учитывать различия в поведении молодых и пожилых пользователей.
Мошенники часто пользуются доверием пожилых людей и обманными путями убеждают их перевести свои деньги на некий «безопасный счет». Но для возрастных клиентов нехарактерно снимать деньги со вклада до выплаты процентов, в то время как среди молодежи такое поведение не вызовет подозрения систем безопасности.
Поэтому если антифрод-система сочтет поведение пожилого человека подозрительным, это станет поводом для сотрудника службы безопасности задать ему уточняющие вопросы и, возможно, предотвратить хищение.
Основные правила безопасности
Антифрод не может полностью гарантировать защиту пользователей, но без него вероятность столкновения с основными видами мошеннических схем гораздо выше. Ответственность лежит не только на сотрудниках службы безопасности, антифрод-аналитиках, владельцах предприятий, но и на держателях карт.
Необходимо повышать свою цифровую грамотность и придерживаться четких правил цифровой безопасности: