Мошенники научились находить уязвимости в программном обеспечении банковских приложений, но упростить задачу проникновения в личный кабинет могут и сами граждане. Как не допустить этого и защитить свои деньги, РИА Новости рассказал руководитель группы исследований безопасности банковских систем Positive Technologies Максим Костиков.
«К сожалению, сейчас часто происходят утечки банковской информации с данными карт и персональными данными клиентов. Зная эту информацию, злоумышленник может воспользоваться функционалом восстановления доступа к личному кабинету. Сейчас обычно для этого требуются номер телефона и карточные данные», — говорит эксперт.
Обладая возможностью перехвата СМС, злоумышленник может изменить аутентификационные данные клиента и получить доступ к личному кабинету, отметил Костиков. Однако, чтобы проникнуть в личный кабинет пользователя, как правило, злоумышленникам недостаточно только иметь доступ к СМС или звонкам клиентов. Также нужна информация о логине, пароле, карточных данных.
Эксперт рассказал, что может упростить злоумышленнику доступ к личному кабинету пользователя. Во-первых, если логином для входа в мобильный банк является номер телефона, то в этом случае злоумышленник сразу будет знать логин пользователя. Во-вторых, проникнуть в личный кабинет будет проще, если для восстановления доступа необходим только номер телефона и карточные данные или информация, полученная из публичного доступа или возможных утечек данных.
В-третьих, СМС-уведомления, которые злоумышленники могут перехватывать. По возможности нужно переключиться на push-уведомления. «Для нивелирования данных угроз банкам необходимо добавить дополнительный фактор аутентификации при восстановлении доступа, а именно кодовое слово, генерировать произвольные имена пользователям и разрешать их менять, добавить функционал подтверждения переводов только по push», — указал Костиков.
При этом эксперт подчеркнул, что, даже попав в личный кабинет пользователя, злоумышленник столкнется с антифрод-системой банка, которая при подозрительной активности в аккаунте должна не позволить мошеннику нанести финансовый вред клиенту или свести его к минимуму.
Комментарии
Странная рекомендация. Интересно, каким образом кто-то перехватывает смс-уведомления? Ну разве что с помощью троянской программы на телефоне у пользователя. Пуши, которые приходят в приложение и которые надо самостоятельно ввести в форму этого же самого приложения - это вообще не является дополнительным элементом надежности системы!
эксперты они такие сегодня, эксперты. покупают агентские каналы на ресурсе, а после - вещают как эксперты.
поднимаю все выше и выше нарисованную в своей голове - корону.
Перехватывают, видимо как в этой статье
Но банкам всеравно, деньги же не их и они ни за что не отвечают... Сделали вход в банковское приложение простым, как в тик ток какой нибудь(по смс, без паролей), вот и раздолье мошенникам.