Технология дублирования сим-карт становится все более доступной для хакеров. Фото Depositphotos/PhotoXPress.ru
Последняя линия защиты наших банковских карт в виде смс-подтверждения уже дискредитирована хакерами. Еще недавно надежной считалась защита с помощью пары «логин–пароль», которая была усилена двухступенчатой аутентификацией с помощью смс-подтверждения. Но теперь множатся примеры подделки или дублирования сим-карт. А регулярные утечки данных клиентов из банков мешают гражданам поверить даже в надежность современных методов биометрии.
Только за прошлый год киберпреступники нанесли ущерб экономике РФ на 2,5 трлн руб. Кибератаки, хищение данных становятся глобальным трендом. Так, Всемирный экономический форум (ВЭФ) в своем последнем анализе глобальных рисков отметил нарастание киберугроз.
Мировая экономика теряет от кибератак и киберрисков около 1,5 трлн долл. в год. При этом к 2022 году накопленные потери могут составить уже 8 трлн долл., а к 2030 году возрасти уже до 90 трлн.
Защитить свои данные, несмотря на кажущееся изобилие средств борьбы с киберугрозами, оказывается, не так уж и легко. Мошенники находят все новые и новые способы обхода. К примеру, до недавнего времени относительно защищенным казался способ двухфакторной аутентификации, когда пользователь счета должен подтвердить свой платеж полученным от банка кодом. Обходить такой способ мошенники научились довольно быстро: через перевыпуск якобы утерянных сим-карт. В результате они получали доступ к номеру телефона, к которому был привязан и банковский счет жертвы, что позволяло им осуществлять платежи уже как бы от его имени.
Тут, правда, одна загвоздка: для перевыпуска сим-карты злоумышленнику необходимы паспортные данные жертвы. Эксперты отмечали, что проблема быстро решается наличием у мошенника доверенности на перевыпуск симки, поддельного паспорта или даже договоренностей с работниками салонов связи, которые могут хранить копии документов клиентов.
Рост такого вида мошенничества продолжается, несмотря на то что ранее Центробанк ужесточал правила работы удаленного банкинга. Банки должны регистрировать все устройства, с которых их клиенты собираются заходить в интернет-банк и мобильный банк. Кроме того, финучреждения обязаны блокировать рассылку служебных смс (одноразовые пароли и пр.) при смене клиентом номера или сим-карты.
Мобильные операторы уверяют, что, для того чтобы перевыпустить сим-карту, клиент должен предоставить свой паспорт, подлинность которого проверяет служба безопасности компании. В перевыпуске могут отказать, если документ выглядит подозрительно. Кроме того, после смены сим-карты входящие и исходящие смс блокируют на 24 часа. Таким образом, мошенник не увидит сообщений, а клиент в течение суток заметит блокировку старой карты и успеет обратиться к оператору.
Набирает популярность и отправка push-уведомлений на мобильные устройства клиента для подтверждения транзакции. Эти уведомления считаются более безопасными, так как кодируются в интернет-трафике и приходят, минуя незащищенный канал доставки смс.
Многие эксперты уверены, что основной угрозой потери данных остается сам пользователь, когда отправляет паспортные данные или данные карт в социальные сети и мессенджеры. Популярным способом увода данных остается социальная инженерия, когда человек сам предоставляет злоумышленникам тем или иным способом необходимые данные. Это может быть телефонный звонок от якобы сотрудника банка, переход по непроверенным гиперссылкам и т.д.
Банкиры также считают, что основная утечка банковских данных сегодня происходит по вине самих владельцев пластика. К примеру, зампред правления Сбербанка Станислав Кузнецов на форуме в швейцарском Давосе подчеркнул, что мошенники часто получают доступ к номерам банковских карт россиян не только в теневом сегменте интернета – информация может и просто утечь в Сеть, к примеру, из-за того, что люди часто пересылают фотографии пластика друг другу в мессенджерах.
К слову, такие выводы банкиры делают на фоне потока сообщений об утечках данных миллионов пользователей из российских финучреждений.
Российские банкиры делают ставку на внедрение биометрических технологий, полагая, что их использование поможет сократить киберпреступность.
Однако пока с биометрией не все так хорошо. Напомним, с 1 июля 2018 года российские банки начали сбор биометрических данных клиентов. Пройдя идентификацию в системе, можно с помощью голоса и фотоизображения, например, удаленно открыть счет или заказать выпуск карты на портале госуслуг. «Размещение и обновление в Единой системе идентификации и аутентификации и Единой биометрической системе (ЕБС) сведений о клиенте – физическом лице является самостоятельной услугой, оказываемой банком», – следовало из разъяснений Центробанка.
Эксперты тогда сомневались, что выдача кредитов по биометрии в России будет востребованной. Интерес к биометрии сдерживается потоком новостей об утечках клиентских данных, замечали аналитики.
Об этом же свидетельствуют и данные регулятора. Как сообщают в ведомстве Эльвиры Набиуллиной, только в 11 тыс. отделений кредитных учреждений сегодня осуществляется сбор биометрии россиян для ЕБС, тогда как в целом в РФ насчитывается более 30 тыс. структурных подразделений банков.
Полностью защищенных способов сохранить свои данные, увы, не существует, заявляют эксперты «НГ». При этом они не считают аутентификацию с помощью смс устаревшей. «При должном старании мошенники найдут обход любого способа защиты. Если мы говорим о физическом мошенничестве с подменой документов, удостоверяющих личность, то такой риск существует, несмотря на отсутствие новизны в атаке», – отмечает консультант Центра информационной безопасности компании «Инфосистемы Джет» Мария Романычева.
Риск в этом случае складывается из нескольких факторов. «Это действия самих мошенников, использующих поддельные документы, и человеческий фактор – недобросовестность или невнимательность работника салона связи, куда злоумышленник обращается за перевыпуском сим-карты», – говорит она.
Романычева советует в качестве дополнительной защиты отключать разрешение на совершение операций по доверенности. «Сделать легитимной работу с депозитами только в офлайн-режиме, поставить лимит на «быстрые платежи», – поясняет эксперт.
Технический директор компании «ТСС» Илья Шарапов считает, что проблема подмены сим-карт для обхода двойной аутентификации хоть и существует, но масштаб ее преувеличен. «Для перевыпуска сим-карты вам точно нужно знать данные о жертве, а также иметь оборудование для подделки карт. Ранее (что за рубежом, что в России) такое себе могли позволить только силовики, поставившие целью взлом секретных чатов или страниц в социальных сетях. Однако мошенники также постепенно расширяют инструментарий», – сообщает он.
Эксперт подчеркивает: код на смартфон – это дополнительная, а не основная степень защиты. «Чтобы осуществить операцию по вашей карте, злоумышленнику как минимум потребуется знать все данные вашей банковской карты и логин–пароль от личного кабинета или иметь доступ к приложению банка на вашем смартфоне (это возможно, если ваш телефон заражен, а у хакера имеется дубликат сим-карты)», – обращает внимание Шарапов.
То есть, продолжает эксперт, логин–пароль от личного кабинета и аутентификация по коду – надежная защита, но она сработает, если вы используете и другие меры с целью себя обезопасить. «Например, имеете два смартфона: один – под серфинг в интернете, а другой – для операций с банками; используете виртуальную машину на компьютере с единственной целью – банковские операции», – перечисляет он.
комментарии(0)