угрозы для мобильного банка

Угроза – подмена SIM-карты

Разумеется, использование только  вполне возможно – достаточно использовать «левую» нотариальную доверенность для замены идентификационного модуля (оператор связи, как правило, нотариусу для проверки не звонит) или купить фальшивый паспорт (но это будет дорого). А ещё проще – просто подкупить сотрудника фирменной розничной сети оператора сотовой связи. И пожалуйста, можно работать – основные логин-пароль известны, SIM-карта имеется.

Конечно, такие махинации выполняются стремительно – оформили дубликат симки и сразу бежим «потрошить» счета пользователя с выводом денег на другие счета. И ведь ему даже SMS-сообщения о движениях средств приходить не будут: некуда. В такой ситуации спасением может оказаться автоматическое уведомление по электронной почте и привычка часто звонить по своему мобильнику. Если «сеть не найдена», то впору, как можно быстрее, самому менять SIM-карту или хотя бы заблокировать её до вашего личного посещения офиса оператора связи.

Угроза – пренебрежение паролями

С паролями в системах дистанционного банковского обслуживания, конечно, проще, чем в любом интернет-сервисе, с той точки зрения, что его клиенту (чаще всего!) предоставляют для запоминания без возможности изменить. Поэтому набор символов будет бессмысленным для любого стороннего взгляда.

Сложность только в том, чтобы её запомнить. И это проявляет самые разнообразные проблемы: наиболее опасное для мобильного банка – это сохранение пароля в виде текстового файла на диске устройства. Да ещё под именем «Пароль!». Или применение банковского пароля для блокировки устройства (чтобы лучше помнить) – такие системы защиты «ломаются» очень легко, поскольку файлы с паролями необходимыми для активации профиля, сравнительно слабо защищены.

В общем, желательно его запомнить и нигде не записывать, а если есть возможность выбора, то сделать пароль посложнее.

Мобильный банкинг небезопасен

В 2013 году специалистами «Лаборатории Касперского» было обнаружено около 143 тыс. новых модификаций вредоносных программ для мобильных устройств, а число образцов мобильных зловредов для кражи данных кредитных карт и хищения денег с банковских счетов пользователей увеличилось почти в 20 раз. При этом платформа Android по-прежнему остается наиболее подверженной угрозам — более 98% всех мобильных вредоносных программ нацелены именно на нее.

Основную угрозу для пользователей мобильных устройств сегодня представляют банковские троянцы. Это специальное вредоносное ПО, направленное на хищение финансовой информации пользователя. Подобных вирусов становится все больше, они используют все более изощренные методы для самозащиты, а также для заражений телефонов и кражи денег. Нам известны троянцы-банкеры, созданные не только под ОС Android, но и Symbian и Blackberry. Вирусописатели следят за развитием сервисов мобильного банкинга и при успешном инфицировании смартфона сразу проверяют, привязан ли телефон к банковской карте.

К финансовым угрозам для мобильных устройств относятся также мобильный фишинг, кража информации о кредитных картах, перевод денег с банковских карт пользователей на мобильный счет злоумышленников. В 2013 году появились даже мобильные троянцы, способные проверять баланс счета жертвы, чтобы «доход» был максимальным. Причем определить наличие банковского троянца на смартфоне простому пользователю довольно сложно — в большинстве случаев он узнает о его наличии только после пропажи денег с мобильного или банковского счета.

Что делать банкам

Безусловно, банки принимают меры для борьбы с онлайн-мошенничествами: это и CVV2, и двухфакторная аутентификация, и токены, и ЭЦП и другие. Но, к сожалению, для эффективного противостояния современным угрозам этого не достаточно. Несмотря на огромные инвестиции в системы защиты информации и антифрод-системы, банки по-прежнему несут большие потери от мошеннических финансовых транзакций.

Злоумышленникам выгоднее атаковать серверную сторону обработки платежей — это инфраструктура банка, сервера платежных систем и т.д. — поскольку она содержит огромное количество данных, которые можно выгодно использовать или продать. Но на практике получить такой доступ сложно, поскольку корпоративные серверы хорошо защищены. Как следствие, зачастую киберпреступники предпочитают атаковать пользователей банковских и платежных систем, которые защищены хуже.

В связи с этим банкам сегодня уже недостаточно обеспечивать защиту исключительно серверной стороны. Финансовым организациям необходим комплексный подход, который защищал бы онлайн-операцию и на конечном устройстве пользователя, и на стороне банка (на случай если у пользователя не установлено защитное решение). Однако недостаточно обеспечить безопасность клиентов банка и при этом оставить незащищенной серверную сторону.

Преимущество комплексных защитных решений заключается в том, что они обеспечивают безопасность не только традиционных компьютеров и серверов, но также смартфонов и планшетов (благодаря технологии управления мобильными устройствами MDM). А это, в свою очередь, обезопасит доступ к финансовым данным с мобильных устройств. В случае если телефон или планшет будут утеряны, то все конфиденциальные данные, хранящиеся на них, можно будет удалить дистанционно.

Такой подход реализован, например, в новом продукте Kaspersky Fraud Prevention. Специализированная платформа Kaspersky Fraud Prevention обеспечивает проактивную многоуровневую защиту электронных платежей на всех этапах транзакции. Решение создано специально для финансовых организаций и их клиентов, именно поэтому платформа имеет клиентские приложения, обеспечивающие безопасность финансовых операций, совершаемых пользователем, а также содержит специальные инструменты для защиты онлайн-транзакций на стороне финансовых организаций.

class="similar-articles__header">

Неоднозначная статистика

Так что же выбрать

Неоднозначная статистика

Так что же выбрать

Анализ риска взлома мобильного банка

Для защиты клиента используется антивирусные программы на мобильном устройстве. Кроме того, рекомендуется включать блокировку экрана с помощью одного из методов аутентификации.

От атак можно защититься с помощью экранов блокировки и установки PIN-кода на банковское приложение. Для защиты мобильного приложения со стороны клиентов лучше всего устанавливать антивирус, который проверял бы устройство на наличие известных троянских программ. В мобильном клиенте некоторых банков есть даже встроенные антивирусные модули, которые проверяют устройство перед запуском самого клиента. Некоторые антивирусы имеют функцию "антивор", которая обнуляет все данные на телефоне в случае его утери и последующего подключения к Сети.

В то же время защититься можно с помощью отпечатка устройства и лимитов для новых устройств клиента.

На стороне банка рекомендуется использовать метод идентификации устройства, на котором запущено приложение. Сбор данных о привычках пользователя позволяет обеспечить выявление аномального поведения, что позволяет динамически менять лимиты на операции в зависимости от уровня доверия к устройству, с которого подключается пользователь. Для новых устройств можно использовать процедуру более строгой аутентификации.

Также со стороны банка логично использовать идентификатор мобильного устройства — так называемый отпечаток устройства. При первом запуске приложения такой отпечаток фиксируется, а потом проводится строгая аутентификация пользователя, чтобы привязать номера телефонов и адреса почты к конкретному отпечатку. В дальнейшем уже отпечаток используется для аутентификации пользователя для банковской системы, а пользователь должен только ввести свой PIN-код и будет допущен до банковской системы.

Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: