Антивирусная правДА!TM

29 ноября 2023

Даже при наличии двухфакторной аутентификации в онлайн-сервисе злоумышленники находят способы взлома профиля и перехвата доступа к данным жертвы.

Используя двухэтапную идентификацию, пользователи верят в сохранность средств на счете и конфиденциальность личной информации. И действительно, это однозначно надежнее, чем полагаться только на сложные и разные пароли для всех используемых сервисов. Но техническая подкованность интернет-мошенников и уровень киберпреступности растут вместе с развитием технологий информационной безопасности. Поэтому даже сложная система входа на устройство, в интернет-сервис или приложение не дает стопроцентной гарантии от кражи чувствительных данных. А поведение пользователей в интернете и за его пределами играет в защищенности данных не последнюю роль: некоторые действия могут стать зацепкой для мошенников и прямо влиять на вероятность взлома.

Мы уже знаем, что взломщики умеют добывать логины и пароли пользователей. Однако нельзя получить право доступа к данным без взлома второго фактора проверки.

О самых популярных вариантах 2FA, используемых интернет-банками, опасностях их взлома и обеспечении безопасности данных поговорим в сегодняшней статье.

Такие разные 2FA

В 2019 года самым популярным вторым фактором идентификации личности (или 2FA) были push-уведомления. В 2023 популярнее стали одноразовые пароли ОТР (one time password). Обычно они приходят в виде СМС на мобильное устройство.

А какие способы двухэтапной проверки используются в онлайн-банкинге?

Push-уведомление. Если мы говорим о совершении операций в банковском мобильном приложении, то для их подтверждения может приходить одноразовый код в том же приложении. Тогда для взлома злоумышленнику нужно получить доступ и к мобильному устройству, и к данным для входа в приложение. Это выглядит сложновыполнимой задачей для мошенников, потому что мобильный банк обычно защищает своих пользователей отдельным паролем (вот почему важно создавать разные сложные пароли для всех сервисов, которыми мы пользуемся) и нередко биометрической аутентификацией.

Если же представить сценарий, при котором пользователь проходит банковскую двухфакторную аутентификацию с помощью интернет-браузера, то, скорее всего, он получит не push-уведомление, а СМС с кодом для прохождения второго фактора верификации.

Одноразовый код в приложениях аутентификации. Такие приложения не только защищают интернет-банкинг, но и повышают безопасность привязанных к ним аккаунтов в сети. Это такие программы как Google Authenticator, FreeOTP и многие другие.

Они более надежны, чем коды в СМС, но ими пользуются реже, потому что не каждый сервис работает с таким способом аутентификации.

Код из электронной почты или СМС. Удобный и самый распространенный способ верификации. Иногда сообщение электронной почты может содержать ссылку для входа в систему, которая делает ненужной процедуру ввода имени пользователя и пароля. Но со ссылками всегда нужно быть начеку (об этом ниже), а коды из СМС и электронной почты особенно нравится перехватывать злоумышленникам.

Двухфакторный токен. Это автономное физическое устройство — как смарт-карта. Чтобы им воспользоваться, его нужно украсть: например, вытащить из портфеля, кармана или запертого на ключ шкафчика. Токены генерируют одноразовые пароли и защищают доступ к учетной записи пользователя на компьютере.

Этот вариант больше подходит для корпоративной защиты. Но, увы, даже такое устройство не защищает компьютер от захвата и удаленного управления при попадании на него троянской программы.

Биометрия. Вход в систему с помощью отпечатков пальцев или распознавания лица кажется идеальным вариантом, потому что ничего не нужно запоминать или носить с собой, а подделать такие данные крайне трудно, хотя в теории тоже возможно.

Нюанс: не все сервисы предлагают установить биометрическую защиту данных, потому что это дорого и требует особого наблюдения: реализация должна соответствовать букве закона, а данные пользователей — надежно храниться.

Взлом невозможен

Когда развиваются технологии засекречивания данных, за ними поспевают и технологии взлома, потому что второе — тоже прибыльный бизнес. Такое противостояние похоже на напряженную интеллектуальную игру или большой спорт с лазейками, уловками и жарким дыханием в спину соперника.

Двухфакторная аутентификация усложняет хакеру проведение атаки и доступ к личным данным. Но у мошенника тоже есть козырь — вымогательство и обман, которые приводят к тому, что жертва сама отдает «ключи».

Помните фильм «11 друзей Оушена»? А какая система защиты денежного хранилища была у владельца трех выдающихся казино в Лас-Вегасе Терри Бенедикта: вооруженная охрана, биометрические замки на дверях, камеры и шахты лифтов с датчиками движения. Не знаем, насколько сценарий реалистичный, но чтобы взломать аналогичную систему безопасности, кроме высокой технической подготовки нужны смекалка и артистизм.

Киберпреступник рассчитывает на то, что пользователь доверчив, любопытен, невнимателен и предпочтет простой путь решения проблемы. Например, мошенники с сервисов онлайн-объявлений устраивают все так, чтобы жертва, увидев срочное предложение, не проверяла условия сделки. Ее уводят на сторонние платформы и веб-страницы, где подсказывают действия, торопят и подыгрывают ради успешной наживы.

Интернет-мошенники и хакеры — те же предприимчивые актеры, поэтому в любом случае от пользователей требуется бдительность.

Отмычки и ключи

Чтобы пройти двухфакторную аутентификацию в интернет-банке, злоумышленнику чаще всего нужно перехватить проверочный код из СМС, приложения или электронной почты.

Теоретически можно подделать биометрические данные жертвы, хотя пока это больше похоже на фантастику или сюжет из фильма о проникновении грабителей в казино.

Иногда происходит клонирование сим-карты жертвы, хотя этот сценарий встречается реже перехвата одноразовых кодов.

Получить доступ к мобильному устройству можно и физически — украв его. Но есть и другие варианты, зависимые от человеческого фактора.

Социальная инженерия. Злоумышленники выдают себя за лицо, которое вправе узнать личные данные человека для подтверждения какого-то действия. Допустим, жертва получает звонок, её просят назвать все данные карты, логин и пароль для входа в аккаунт, аргументируя это какой-то необходимостью. Например, ради разблокировки учетной записи.

Нужно помнить, что максимальный объем запрашиваемых по телефону данных со стороны банка — это ФИО клиента и кодовое слово. Если опросная викторина содержит больше пунктов — выходите из игры.

Вредоносные программы. Это может быть использование шпионского или вирусного ПО.

Без действующего и постоянно обновляемого антивируса есть риск скачать программу-шпиона, которая отслеживает все действия пользователя на компьютере или мобильном устройстве и передает их третьей стороне. Или под видом полезного приложения загрузить троянскую программу, с помощью которой злоумышленник может установить полный дистанционный контроль над зараженным устройством.

Фишинг. Классика: имейл с предложением обновить информацию о банковском аккаунте. В письме пользователя аккуратно просят перейти по ссылке, ведущей на поддельную страницу банка. Не убедившись в достоверности веб-страницы, жертва отдает все данные от банковского профиля заинтересованным лицам.

Мошенники также умеют создавать дополнительные окна внутри поддельных веб-страниц для ввода в них проверочных кодов 2FA.

Использование общественного Wi-Fi. Публичные сети можно взломать, чтобы получить доступ к данным пользователей. Для этого достаточно, чтобы соединение оказалось незащищенным.

Если я использую ТОЛЬКО мобильное банковское приложение, по нему можно отследить все данные для входа, украсть их и попасть в учетную запись?

Зависит от типа атаки и конкретного устройства. Есть банковские трояны (для Android), которые могут считывать содержимое экрана, контролировать буфер обмена, делать скриншоты, перехватывать коды из СМС и других уведомлений. При этом в тех же банковских приложениях может быть активен системный запрет на создание скриншотов, а в более свежей версии ОС могут стоять ограничения на считывание содержимого. Поэтому ответ на вопрос такой: зависит от ряда факторов.

Если все-таки взломали

При обнаружении странной активности с банковским счетом нужно бить тревогу — срочно позвонить в службу поддержки банка и сообщить о подозрительных действиях.

Если аккаунт был действительно взломан, придется сделать следующее:

• заблокировать счет,
• договориться с банком о перевыпуске карты (чтобы данные старой карты нельзя было скомпрометировать повторно),
• изменить пароли для входа в личный кабинет и мобильное приложение банка.

Даже если вы в сильном стрессе, удостоверьтесь, что действительно позвонили в службу поддержки банка. Настоящий сотрудник не станет спрашивать вас о выпущенных картах, счетах или секретных кодах, и тем более не пришлет очередной проверочный код в момент звонка.

Следующим этапом просканируйте антивирусом все ваши устройства на наличие вредоносного или шпионского ПО. Если нашли проблему — немедленно устраните.

Стоит также обратиться в правоохранительные органы, предоставив всю необходимую информацию для расследования инцидента.

Важно: банк не компенсирует ущерб от мошеннических транзакций, если пользователь сам выдал конфиденциальные данные или установил вредоносную программу. Просим вас быть бдительными и стараться не попадаться на уловки злоумышленников.