Согласно отчету State of Mobile App Security, банковские приложения больше всех подвержены хакерским атакам и чаще всего имеют незащищенный код. Удивительно, но факт. Это создает почву для самых разных видов мошенничества – от подмены приложения прямо в магазине до перехвата данных пользователя.
Журналисты портала Get.Mobian поговорили с представителями банков и выяснили, почему так происходит, как это работает и что предпринять компаниям. Ну, и как защититься пользователям, конечно.
Феликс Хачатрян, сооснователь и управляющий директор Ubank
«Во-первых, если на устройстве уже установлено какое-то приложение, то при обновлении из Google Play пользователь закачивает обновление именно этого приложения, а не что-то постороннее. Более того, нельзя разместить приложение с аналогичным package name — уникальным идентификатором приложения.
Во-вторых, действительно, любой человек может загрузить в магазин приложение, похожее на ваше. Оно может выглядеть и не как клон. Вам могут честно написать, что разработчик этого приложения кто-то другой, но подкупить вас тем, что данное приложение, например, бесплатно, в отличие от родного приложения вашего банка, или содержит какие-то дополнительные фишки, или что-то еще. К сожалению, тут сознательность должна идти от самого пользователя и разъяснительная работа со стороны банка.
Если речь идет о приложении — полном клоне, то тут важно для пользователя быть внимательным, смотреть на количество скачиваний, отзывы и на название разработчика приложения. Например, у Ubank больше 4 млн скачиваний, сотни положительных отзывов, и эту информацию не подделать.
Со стороны банков в любом случае важно всегда мониторить сторы на наличие таких мошеннических приложений и оперативно подавать жалобу в Appstore или Google Play».
Николай Афанасьев, менеджер по развитию бизнеса компании «Аладдин Р.Д.»
«В настоящее время мы можем наблюдать тенденцию увеличения доли безналичных платежей по сравнению с наличными. Очевидно, что такая тенденция в ближайшее время сохранится. Это также не остается незамеченным для киберпреступников, которые крадут денежные средства физических и юридических лиц с различных электронных счетов и электронных кошельков.
Значительная часть краж денежных средств при безналичных платежах осуществляется с использованием специализированных „троянов“, которыми заражаются ПК и мобильные устройства пользователей. Суть таких атак “троянов”, как правило, сводится к тому, чтобы подменить реальные реквизиты платежей на подставные в ходе совершения платежа. Например, пользователь платежной системы при подготовке и подтверждении платёжного распоряжения может видеть на экране ПК или мобильного телефона те реквизиты, которые он сам указал, а “троян” в момент отправки такого распоряжения в платежную систему или банк может незаметно подменить реквизиты. В результате деньги „уйдут“ на счёт киберпреступника.
Подтверждение с использованием одноразового пароля по SMS не спасает, так как мобильный телефон, как и ПК, может быть заражён „трояном“, способным блокировать уведомление о поступлении SMS и отправлять SMS-самостоятельно от лица пользователя. Если пользователь работает только через мобильный телефон, такой „троян“ способен формировать поддельные платёжные распоряжения, отправлять их оператору по переводу денежных средств незаметно для пользователя и подтверждать через SMS эти операции также незаметно для пользователя.
В случае если пользователь составляет платёжное распоряжение на ПК, а подтверждает на мобильном телефоне через SMS, то 2 работающих в паре „трояна“ (один – на ПК, второй – на мобильном телефоне) без труда могут аналогичным образом “увести” деньги пользователя.
Ввиду того, что на массовом рынке невозможно надёжно защитить компьютеры и мобильные устройства всех пользователей (антивирусы не панацея), большинство из них остаются под прицелом киберпреступников.
Для обеспечения надёжной защиты при безналичных платежах становится хорошей практикой выделять отдельную программно-аппаратную среду для визуального контроля и подтверждения платёжных распоряжений (далее – изолированная среда). Указанная среда должна иметь определенную степень изоляции от программной среды, в которой платёжное распоряжение составлялось.
В этом случае процесс выполнения безналичного платежа выглядит следующим образом:
1. Пользователь составляет платёжное распоряжение на ПК или в мобильном устройстве и даёт команду на его исполнение.
2. Оператор по переводу денежных средств, получив команду на исполнение, запрашивает от пользователя провести визуальный контроль реквизитов созданного им платёжного распоряжения и подтвердить свое намерение осуществить денежный перевод в изолированной среде.
3. Пользователь просматривает реквизиты в изолированной среде и там же подтверждает (либо отклоняет) выполнение операции.
4. Получив результат от изолированной среды, оператор по переводу денежных средств либо проводит операцию (если пользователь подтвердил ее), либо блокирует (если отклонил).
Требования к изолированной среде
Среда визуального контроля с подтверждением должна обеспечивать:
Оператор по переводу денежных средств должен в этом случае иметь возможность проверить аутентификатор, сформированный в изолированной среде конкретного пользователя, чтобы убедиться, что:
Реализация возможности подтвердить безналичный платёж с использованием такой изолированной среды – это то, что нас ждёт в ближайшем будущем, и что станет привычной и неотъемлемой частью процедур подтверждения транзакций».
Источник: Get.Mobian