Эксперт пояснил, как аферисты воруют данные в онлайн-банках

Руководитель группы исследований безопасности банковских систем Positive Technologies Максим Костиков раскрыл способы, которые используют аферисты и мошенники для того, чтобы воровать данные клиентов кредитных организаций в онлайн-банках. Он уточнил, что необходимо делать для того, чтобы свести к минимуму риски встречи со злоумышленниками и защитить свои электронные счета. 

Костиков обратил внимание на то, что злоумышленники научились находить уязвимости в программном обеспечении банковских приложений, однако нередко клиенты кредитных организаций сами упрощают задачу проникновения в личный кабинет. Он заметил, что в настоящее время часто происходят утечки банковской информации с данными карт и персональными данными клиентов.

"Зная эту информацию, злоумышленник может воспользоваться функционалом восстановления доступа к личному кабинету. Сейчас обычно для этого требуется номер телефона и карточные данные", - уточнил Костиков в беседе с РИА Новости. 

Мошенники способны перехватывать SMS-сообщения, при помощи которых они могут изменить аутентификационные данные клиента, что предоставит им также доступ в его личный кабинет, добавил эксперт. При этом даже если телефон клиента банка взломают и получат доступ к звонкам и SMS, мошенникам все равно в большинстве случаев потребуется информация о логине, пароле, а также карточных данных.

Как пользователи сами облегчают путь к данным для аферистов

Если последние данные злоумышленники могут получить во время сливов информации в Сеть или же найти, порывшись в переписках в мессенджерах, то логин и пароль - это то, что действительно может усложнить задачу для взлома. Эксперт заметил, что если логином для входа в мобильный банк является номер телефона, то мошенникам будет намного проще взломать приложение и все же войти в мобильный банк другого человека.

Также облегчить проникновение в мобильный банк могут и настройки приложения, при которых указано, что для восстановления логина или пароля пользователю необходимо лишь указать номер телефона и карточные данные. То же касается и способов восстановления доступа, которые требуют информацию, которую вы указывали где-либо в открытых источниках.

Поскольку SMS-уведомления злоумышленники могут перехватывать, Костиков посоветовал по возможности переключиться на push-уведомления для подтверждения переводов.

"Для нивелирования данных угроз банкам необходимо добавить дополнительный фактор аутентификации при восстановлении доступа, а именно — кодовое слово, - добавил эксперт. 

Также он заметил, что лишним не будет разрешить генерировать произвольные имена пользователям, а также менять их.

Руководитель группы исследований безопасности банковских систем подчеркнул, что даже если злоумышленнику удастся попасть в личный кабинет пользователя, то он столкнется с антифрод-системой банка, которая при подозрительной активности в аккаунте должна не позволить аферисту нанести финансовый вред клиенту или по меньшей мере должна свести его к минимуму.

Ранее сообщалось, что в Москве задержали участников, пожалуй, первой в стране преступной группы, которые поставили на поток производство поддельных электронных подписей.