помните о правилах мобильной безопасности банковских счетов

Инструменты

  • —>

    class="MostPopularToolSitemap">

    Инструменты

  •  
  • class="contentPadding column2">

    Памятка о мерах безопасного использования банковских карт

    Соблюдение рекомендаций, содержащихся в Памятке, позволит обеспечить максимальную сохранность банковской карты, ее реквизитов, ПИН-кода и других данных, а также снизит возможные риски при совершении операций с использованием банковской карты в банкомате, при безналичной оплате товаров и услуг, в том числе через сеть Интернет.

    Мобильный банкинг: удобно, но безопасно ли

    В последнее время уязвимости в операционных системах, установленных на смартфонах и планшетах, выявляются всё чаще. Клиенты банковских мобильных приложений гораздо более уязвимы для атак хакеров, чем пользователи ноутбуков или настольных компьютеров.

    К аналогичным выводам склоняется также отчет компании Akamai Technologies, касающийся угроз и безопасности сети. Обращает внимание тот факт, что до 20% всех кибер-атак происходило при подключении смартфонов и планшетов к сети интернет. Мобильные устройства также заражались вредоносными программами, скрытыми в бесплатных играх, файлах MP3 или SMS.

    Такой большой рост виртуальных преступлений можно интерпретировать следующим образом:

    • пользователи мобильных устройств в меньшей степени, чем пользователи компьютеров, заботятся о безопасности, например, не устанавливают на телефоны антивирусные программы, читают SMS-сообщений с неизвестных номеров, не устанавливают лимиты операций
    • одновременно мошенники используют все более изощренные методы, используя уязвимости в операционных системах, устанавливаемых в телефонах и планшетах (например, протокол SSDP в операционной системе Windows или ошибки в библиотеке Android).

    К сожалению, большинство пользователей банковских приложений не понимают масштаб угроз. Как показал очередной отчет, до 52% пользователей считают мобильный банкинг исключительно безопасным способом проведения финансовых операций.

    Поддельные SMS с паролем для интернет-банкинга

    В этом случае вредоносные программы (установленные после выполнения поддельной «команды» из банка) перехватывают пароль для интернет-банкинга.

    Делается это следующим образом: первая попытка входа в систему не выполняется и пользователь должен повторить всю операцию, однако, во время второго входа поле для ввода пароля принудительно подменяется символами на других позициях. После введения символов в обеих формах, хакер получает полный пароль, а, следовательно, свободный доступ к учетной записи.

    Помните! В случае неудачной попытки входа в учетную запись с помощью пароля, обратите внимание на то, чтобы во время обеих попыток поля для ввода символов находились именно в тех же местах. Если нет, прекратите попытку входа в систему и сообщите своему банку о проблеме.

    Fun или пропал

    «Считается, что мобильные технологии, в том числе финансовые приложения — это такой fun, а безопасники — это те люди, которые препятствуют инновационным порывам», — такой лейтмотив конференции задал модератор дискуссии Игорь Костылев. Действительно, участники мероприятия постоянно обращались к вопросам баланса между удобством и безопасностью мобильного банкинга, взаимодействия бизнес-заказчиков и внутрибанковских служб безопасности.

    Отдавая должное интересам банковских подразделений, ответственных за бизнес ДБО (тот самый fun и ожидаемый wow-эффект у клиентов), коммерческий директор компании UsabilityLab Дмитрий Силаев представил исследование удобства мобильного банкинга. Исследование охватило 15 банковских приложений наиболее заметных игроков этого рынка, в его подготовке были задействованы 120 респондентов, которые оценивали системы по девяти юзабилити-метрикам. Методика включала в себя сканирование движения глаз — метод eye tracking позволяет посмотреть на удобство использования приложения буквально глазами пользователя.

    Выводы исследователей, несомненно полезные для совершенствования отдельных элементов и в целом юзабилити мобильного банка, также содержат наблюдение о том, что пользователи почти не обращают внимания на аспект безопасности, более того — зачастую готовы поступиться дополнительными мерами (например, вводом SMS-кода) ради простоты использования приложения. Впрочем, мнение клиентов в вопросах обеспечения безопасности, разумеется, не может быть определяющим.

    Под защитой матрицы

    Микрофон перешел к Андрею Бухтиярову, заместителю председателя правления Интерактивного Банка, который известен на рынке своими нестандартными подходами — в том числе к мерам информационной безопасности. К примеру, банк предлагает клиентам сервис «Матрица безопасности», который позволяет самостоятельно настроить способ подтверждения различных действий в удаленных каналах обслуживания.

    «Специфика нашего банка достаточно уникальная, она связана с обслуживанием в рамках одного аккаунта и интерфейса юридических и физических лиц (которых может быть и несколько, например, родственников), — пояснил Андрей Бухтияров. — Поэтому и подходы не совсем обычные». Так, в части обеспечения безопасности банк внедрил решение «обратный SMS» — пользователь видит на экране код и должен отправить его по SMS со своего телефона в банк для подтверждения операции. Банк регулярно нанимает независимых экспертов по информационной безопасности (читай — хакеров) для проверки устойчивости различных способов защиты, и многие из них оказались на удивление легко подвержены взлому, однако канал «обратного SMS», по утверждению банка, не удалось обойти никому.

     

     

    Открытый разговор вновь поддержал Лев Шумский; этот финансовый институт примечателен тем, что 17% его клиентской базы (а это порядка 300 тыс. человек) являются пользователем мобильного банка — больше эта доля только у Сбербанка. В прошлом году сотрудники банка обнаружили около 100 клиентов, у которых был скомпрометирован доступ в мобильный банк — во всех случаях речь шла об android-устройствах, однако благодаря своевременному обнаружению и реагированию ни в одном случае хищения средств не произошло. В этой связи завязалась дискуссия о преимуществах различных мобильных платформ — позиции iOS в вопросах безопасности выглядят более серьезными.

    Были сформулированы основные рекомендации для пользователей мобильного банка, прежде всего владельцев более уязвимых android-девайсов (их доля по оценкам экспертов составляет порядка 80%). Прежде всего, отключить возможность установки приложений из неизвестных источников, не использовать устройства в режиме root и jailbreak (для iOS) — приложения некоторых банков уже проверяют эту уязвимость и не позволяют использовать мобильный банк на root-смартфоне. Другой — достаточно простой, но эффективной, мерой должна стать установка на устройство антивирусной программы. О важности информирования клиента о возможных угрозах как элементе комплексного подхода к безопасности упомянул и Евгений Михалев (Управление «К»), призвав банки применять превентивные меры не только технологического, но и просветительского характера.

    Основные результаты исследования

    Подтвердилась тенденция, отмеченная экспертами в традиционных ежегодных отчетах в области безопасности систем ДБО. Разработчики мобильных банк-клиентов не уделяют достаточного внимания вопросам безопасности приложений, не следуют руководствам по безопасной разработке. Зачастую отсутствуют процессы разработки безопасного кода и архитектуры. Оказалось, что все рассмотренные приложения содержат хотя бы одну уязвимость, позволяющую либо перехватить данные, передающиеся между клиентом и сервером, либо напрямую эксплуатировать уязвимости устройства и самого мобильного приложения.

    Так, 35% мобильных банков для iOS и 15% мобильных банков для Android содержат уязвимости, связанные с некорректной работой SSL, а это означает возможность перехвата критичных платежных данных с помощью атаки "человек посередине". 22% приложений для iOS потенциально уязвимы к SQL-инъекции, что создает риск кражи всей информации о платежах с помощью нескольких несложных запросов. 70% приложений для iOS и 20% приложений для Android потенциально уязвимы к XSS — одной из самых популярных атак, позволяющей ввести в заблуждение пользователя мобильного банк-клиента и таким образом, например, украсть его аутентификационные данные. 45% приложений для iOS потенциально уязвимы к ХХЕ-атакам, особенно опасным для устройств, подвергнутым столь популярной в России операции jailbreak. Около 22% приложений для Android неправильно используют механизмы межпроцессного взаимодействия, тем самым фактически позволяя сторонним приложениям обращаться к критичным банковским данным.

    Выводы

    Приложения для мобильных платформ подвержены как старым общеизвестным угрозам, так и новым, еще не изученным до конца. Растет уровень распространения вредоносных приложений для Android.

    Угрозы безопасности мобильных банков создают риски компрометации критичных данных пользователей, хищения денежных средств и нанесения ущерба репутации банка. Разработчики мобильных банк-клиентов не уделяют достаточного внимания вопросам безопасности приложения, не следуют руководствам по безопасной разработке. У разработчиков зачастую отсутствуют процессы разработки безопасного кода и архитектуры.

    Проведенное исследование, основанное на статическом анализе кода, показывает, что мобильные банки содержат уязвимости и недостатки, которые могут привести к хищению денежных средств. Уровень защищенности мобильных банков в большинстве случаев не превосходит уровня защищенности обычных мобильных приложений, в то время как связанные с ними риски подразумевают повышенные требования по безопасности.

    Перед началом исследования предполагалось, что количество специфичных уязвимостей для мобильной платформы будет значительно преобладать над количеством общеизвестных. Но в результате можно увидеть примерно одинаковое количество уязвимостей обоих классов. Это означает наличие возможности проведения хорошо известных атак и на мобильные банковские приложения без знания их специфики. Полученные результаты пересекаются с OWASP Тор 10 Mobile Risks.

    У злоумышленников есть множество путей реализации атак. При этом затраты на проведение атаки могут в реальной среде быть весьма низкими по сравнению с возможной выгодой.

    Современные средства защиты для мобильных устройств — антивирусы, MDM-решения и т.д. — могут сократить риск, но не решить весь спектр проблем. Безопасность должна внедряться еще на этапе проектирования системы и присутствовать на всех этапах жизненного цикла программы, включая этап разработки и внедрения. Необходимо осуществлять аудит кода, анализ защищенности приложения, тестирование на проникновение.

    Риски при использовании мобильного банкинга обратно пропорциональны защищенности приложения. Поэтому необходим комплексный аудит защищенности мобильных банковских приложений. Специалисты по ИБ банков должны уделять безопасности мобильных банков не меньше внимания, чем безопасности интернет-банков.

    Фан-клуб клиентов Сбербанка

    Как гарантировать защиту операция по счету банковской карты

    Как гарантировать защиту операция по счету банковской карты

    Добавить комментарий

    ;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: