Как мошенники взламывают банковские приложения и можно ли себя обезопасить

Мобильные приложения банков постоянно тестируют на уязвимости. Этим занимаются как сами банки, так и независимые компании. Результатами одного из таких исследований поделился директор департамента информационной безопасности QBF Юрий Орлов:

«Весной 2020 года компания Positive Technologies опубликовала результаты исследования банковских мобильных приложений. Экспертный анализ был основан на работе с 14 сервисами, созданными для Android и iOS. Изучаемые программные продукты принадлежали банкам из топ-50 крупнейших кредитных организаций по величине активов. В итоге эксперты выявили 43 уникальных уязвимости, основная часть которых носит технический характер. Например, эксперты обнаружили недостатки, создающие риск кражи злоумышленниками учетных записей и банковских выписок. 76% уязвимостей, согласно исследованию, могут использоваться мошенниками дистанционно, без физического доступа к мобильному устройству. Они связаны с кибератаками — например, рассылками сообщений с переадресацией на вредоносные программы».

Риски при использовании мобильного банка в целом стандартны и применимы для большинства приложений, предполагающих сетевое взаимодействие.

«Первоочередной риск — уязвимости непосредственно в самом приложении. Это может быть небезопасное хранение учетных данных (особенно актуально для устройств на базе ОС Android) или некорректная реализация криптографических проверок (например, сертификата веб-сервера, с которым приложение обменивается данными) при сетевом взаимодействии, что может привести к перехвату сетевого трафика и извлечению чувствительной информации и т. п.

Также стоит упомянуть об уязвимостях в операционной системе мобильного устройства, что усугубляется, если владелец не устанавливает обновления либо производитель прекратил поддержку устройства.

Наконец, стоит упомянуть поддельные приложения, которые маскируются под официальный банковский клиент, а также вредоносные приложения. Это актуально в контексте устройств на базе ОС Android, где пользователь намеренно снял ограничения производителя путем так называемого рутинга устройства», – рассказывает эксперт в области информационной безопасности, CEO компании AtreIdea Сергей Белов.

Существуют угрозы, которые создаются мошенниками для получения доступа к мобильному банку. Злоумышленники создают ПО, с помощью которого крадут деньги пользователей банков. Комментирует Антон Фишман, технический директор RuSIEM: «К рискам относятся программы-банкеры, которые умеют перехватывать СМС как второй фактор аутентификации, захватывать финансовую информацию, так называемый функционал Overlay, который при запуске интернет-банкинга отобразит мошенническое окно поверх легитимного или подменит реквизиты перевода или платежа в легитимном.

Цель этих атак одна — украсть у пользователя деньги. При этом способы могут быть разные:

• перехватить данные, чтобы потом перевести средства от лица клиента;
• перехватить данные, чтобы потом связаться с клиентом и, войдя к нему в доверие, заставить перечислить деньги;
• от имени клиента проводить через ДБО операции типа выпуска кредитной карты и т. д.»

Есть и хорошие новости: от большинства угроз можно защититься, выполняя правильные действия и избегая неправильных. Что стоит и не стоит делать — рассмотрим далее. 

Разберем распространенные ошибки пользователей мобильных приложений. Роберт Сабирянов, директор по ИТ банка для бизнеса «Бланк», назвал топ-5 привычек, которые могут облегчить жизнь злоумышленникам.

Это повышает риск несанкционированного сбора данных. Да, они удобные, красивые, с разными возможностями. Но то, как они обрабатывают ваши данные, известно только разработчикам. То есть вы сами добавляете +1 к угрозе и источнику утечки информации. В 2017 году специалисты Kromtech Security Center обнаружили, что разработчики виртуальной клавиатуры AI.type не озаботились защитой базы данных, которая в итоге была  доступна любому желающему даже без пароля. В базе содержалась информация о 31 293 959 пользователях.

Это дает больше привилегий пользователю — например, можно устанавливать программы, которые нельзя поставить из магазинов приложений или получить доступ к дополнительным фишкам мобильных операционных систем. Однако вы даете дополнительные привилегии и вредоносному коду, который может читать СМС, перехватывать вводимые данные. Также он может открывать подложные окна, снимать экран и управлять вашим телефоном.

Пример — банковский троян Fanta, исследованный компанией Group-IB (специализируется на предотвращении кибератак). Троян атакует клиентов 70 банков и нацелен на пользователей интернет-сервиса Avito. Только с начала 2019 года потенциальный ущерб от FANTA в России составил не менее 35 млн руб. Троян Fanta эксплуатировал доверчивость пользователей и устанавливался после перехода на фишинговую страницу по ссылке из СМС.

Если подключаетесь к публичным Wi-Fi-точкам, то старайтесь не передавать чувствительные данные и не работайте с платежной информацией. Есть риск, что ваш любимый мобильный клиент не реализует достаточно безопасное соединение и будет подвержен атаке «человек посередине» — это позволяет читать и изменять данные между клиентом и сервером.

В этом случае, если потерять телефон, деньги точно не спасти — злоумышленник легко его разблокирует и зайдет в банковские приложения. Поэтому задавайте максимально случайный ПИН-код. ПИН-код входа в телефон должен отличаться от ПИН-кода входа в банковский мобильный клиент. Если потеряли устройство, то свяжитесь с банком и заблокируйте учетную запись через поддержку банка и постарайтесь в дистанционном режиме удалить данные с телефона.

Несмотря на то, что кредитные организации постоянно совершенствуют системы защиты, пользователям не следует расслабляться. Простые правила помогут сберечь деньги и не стать жертвой киберпреступников.

«Во-первых, важно проверить, насколько современная версия информационной системы установлена на телефоне. Во-вторых, стоит контролировать все скачиваемые на мобильное устройство приложения — они не должны содержать вредоносных программ. Устанавливать программы следует только с проверенных ресурсов — например, App Store или Google Play. Скачивать приложения по ссылкам на форумах небезопасно. В-третьих, не стоит пренебрегать периодической сменой пароля для входа в систему и банковские приложения. В качестве данных для авторизации советую использовать сложную комбинацию заглавных и строчных букв, а также цифр. В-четвертых, рекомендую проявлять бдительность при работе с электронными письмами и СМС. Важно помнить, что банки никогда не обращаются к клиентам с просьбой войти в приложение по специальным ссылкам. Если письма подобного рода поступают, это говорит о том, что его авторы готовятся к мошенническим операциям. В-пятых, полезно установить комфортный для себя лимит на суточные переводы, чтобы банк мог заблокировать операции с крупными суммами. Это, конечно, не убережет капитал в полном объеме, но хотя бы минимизирует потери в случае взлома мобильного банка», — комментирует Юрий Орлов.

Отдельные правила существуют для переводов.

«Внимательно проверяйте, кому будет сделан платеж — компании или, например, физическому лицу. Переводите частным лицам деньги за товар, только если уверены в получателе. В форме оплаты обычно есть примечание, что операция совершается в пользу физлица, или даже пользователя просят указать реквизиты получателя (номер карты либо кошелька). Надежный магазин не просит оплатить товар переводом по реквизитам карты. Перевод и оплата — две разные по статусу карточные операции.

При платеже обращайте внимание на текст СМС от банка с кодом подтверждения. Убедитесь, что в сообщении указана именно та компания, в которой собираетесь оплатить покупку или услугу. Если деньги уже переведены, и вы поняли, что получатель — мошенник, сразу обращайтесь в службу поддержки банка. По правилам международных платежных систем, потери от таких операций возмещаются банком-эквайером, который допустил мошеннический магазин к себе в систему. Потерпевший пишет жалобу в банк, и тот запускает диспут — процесс опротестования», — рассказывает Екатерина Перфилова, директор департамента по претензионной работе ЮMoney.

Еще несколько правил безопасности касаются входа в мобильное приложение, получения уведомлений и общения с работниками банка. Комментирует Олег Илюхин, директор департамента ИТ «СДМ-Банка»: «Используйте вход по отпечатку пальца либо FaceID. Не поддавайтесь на социальную инженерию (звонки от якобы служб безопасности банка или других "заслуживающих доверия" абонентов, в результате которых клиенты раскрывают логины, пароли, PIN и CVV-коды от карты). Также подобные попытки проводятся мошенниками через мессенджеры либо электронную почту. Пользуйтесь push-уведомлениями — они безопаснее СМС. Push-уведомления доставляются через защищенный канал с сервера банка в мобильное приложение, в то время как СМС идут через мобильного оператора. Любое дополнительное звено в цепи снижает безопасность. Не используйте ”серые", взломанные либо перепрошитые смартфоны. На них, как правило, отключены встроенные функции безопасности операционной системы».