Центробанк опубликовал на своём сайте пресс-релиз с напоминанием о требованиях к обеспечению безопасности, установленных Положением № 382-П. Так, в Положении говорится о необходимости оповещения пользователей услуг мобильного банкинга об операциях, совершаемых по их счетам. А в пресс-релизе Центробанк «рекомендует лицам, осуществляющим переводы денежных средств с использованием устройств мобильной связи, предпринимать следующие меры для минимизации рисков хищения денежных средств:
Собственно, мошенничество с использованием вредоносных программ для мобильных устройств – не новость. Как напоминает Ильдар Скрижалин, менеджер по развитию бизнеса компании Gemalto, атаки на европейские банки с помощью троянской программы Zeus начались в конце 2010 г.: «Пять лет назад появился первый массовый вирус-троянец Zeus-in-the-Mobile, специализирующийся на перехвате SMS и кражах из систем мобильного банкинга». Дмитрий Титков, директор по развитию бизнеса Check Point Software Technologies, приводит другой пример: «В результате атаки Eurograbber, предпринятой в 2012 г., злоумышленники с помощью модификации троянской программы Zeus украли свыше 36 млн евро. Похитив данные мобильных клиентов и получив код банковской транзакции (TAN), они автоматически переводили с банковских счетов жертв на подставные счета различные денежные суммы».
При этом мошенники, которые пользуются банковскими мобильными троянцами, умеют блокировать SMS-оповещения и использовать методы социальной инженерии для установки вредоносных программ, выведывания у жертв паролей и кодов. Как отмечает Артур Сахаров, технический директор компании по разработке мобильных решений Redmadrobot, «в пресс-релизе ЦБ дано несколько очевидных советов: устанавливайте антивирус, не переходите по подозрительным ссылкам, не вводите нигде пароли. Подобные предупреждения фигурируют в каждом втором банковском приложении и в каждом договоре оферты, но деньги продолжают «улетать». Например, пользователи передают злоумышленникам по телефонам коды из SMS-сообщений, в которых четко указывается «никому не сообщайте этот код». Другими словами, такие рекомендации практически не выполняются и, скорее, имеют подоплеку «мы вас предупреждали, так какие теперь претензии!».
Получается, что клиент банка должен сам заботиться о своих деньгах. «Последние события с клиентами «Сбербанка» позволяют сделать только один вывод: если клиент не будет думать о своей безопасности, банк ему не поможет, – поясняет Александр Долгов из холдинга Like. – Скорее всего, этот случай – не последний. Придумать уникальную всеобъемлющую систему защиты пока не представляется реальным, а потому придётся уповать на сознательность пользователей».
Однако банки и разработчики финансовых сервисов давно придумали самые разные системы защиты. Ильдар Скрижалин рассказывает: «Ведущие мировые банки повысили уровень безопасности своих дистанционных каналов с помощью современных технологий строгой аутентификации – это токен-генераторы одноразовых паролей, ридеры для EMV-карт, программные решения строгой аутентификации для мобильных устройств, USB-ключи, смарт-карты с PKI-сертификатами. В то же время подавляющее большинство клиентов российских банков, в том числе физических лиц, продолжает получать услуги банковской аутентификации через SMS-канал». Понятно, этот канал кажется им наиболее удобным и дешёвым, но такая экономия клиентами времени и средств приводит их к значительным финансовым потерям.
Эксперты рекомендуют банкам заботиться, в первую очередь, об обучении клиентов правильной работе с мобильными приложениями. «Прежде всего, необходимо повышать уровень грамотности мобильных пользователей в области информационной безопасности, – рекомендует Дмитрий Титков. – Это должны делать как поставщики устройств, разработчики приложений и платежных сервисов, так и правоохранительные органы. Для минимальной защиты рекомендуется применять, как минимум, PIN-код на телефоне, а при установке приложения обращать внимание на то, какие разрешения оно запрашивает (например, для доступа к чему-то). Также всегда стоит смотреть, по каким ссылкам совершаются переходы, и не скачивать ПО из непроверенных источников. Некоторые банковские мобильные приложения позволяют переводить средства только доверенным получателям – тем, кому пользователь уже их переводил. Тогда даже если телефон украли, перевести деньги новому получателю не удастся. Это – еще одна из достаточно простых мер защиты.»
Ильдар Скрижалин отмечает: «Рекомендации, опубликованные ЦБ РФ, предназначены, прежде всего, для клиентов банков. Их цель – повысить уровень грамотности и дисциплины в сфере обеспечения цифровой безопасности. А банкам, в дополнение к этому, необходимо обогащать архитектуру ДБО инструментами защиты, адекватными их рискам, которые обеспечивают высокофункциональный и простой в применении мобильный канал. Современные решения позволяют банкам сделать технологический рывок от устаревшего SMS-канала к эффективным программным комплексам для мобильных платформ».
Вот – еще несколько простых рекомендаций, которые дают Анна Антонова, консультант отдела аудита и консалтинга, и Вячеслав Максимов, руководитель направления консалтинга и аудита компании «Андэк». Эти рекомендации помогут клиентам банков избежать мошенничества с платежными картами или хотя бы снизить уровень потерь от него.
© Издание 12NEWS (ИП Маринин А.Л.) 12news.ru, 2015