Человеческий «двухфактор»
16 мая 2016
— Раз ромашка, два ромашка…
Пять ромашка, шесть ромашка…
— А я четвертую сорвал!
Мультфильм «Трям, здравствуйте!»
Сегодня банки и другие компании, предоставляющие сервисы онлайн-доступа, для повышения безопасности активно применяют двухфакторную аутентификацию, или 2FA.
Аутентификация — процесс проверки личности человека, пытающегося воспользоваться онлайн-сервисом.
При использовании двухфакторной аутентификации пользователю недостаточно знать только логин и пароль (предполагается, что его должны знать только вы, но часто это оказывается не так). Нужно еще что-то, что может быть только у настоящего пользователя сервиса: например, привязанный к аккаунту номер мобильного телефона.
Один из видов двухфакторной аутентификации — одноразовые пароли, присылаемые в СМС-сообщениях на «привязанный» к банковскому счету номер. Считается, что такая защита банковских операций способна обезопасить пользователя системы «Банк-Клиент» от действий злоумышленников.
Однако это давно уже не так! Киберпреступники научились успешно обходить такую защиту.
Один из сценариев обхода защиты с использованием одноразовых паролей
- На компьютер проникает банковский троянец, способный встраивать в просматриваемые веб-страницы постороннее содержимое, то есть выполнять веб-инжекты.
- При попытке жертвы зайти на сайт банка или открыть страницу банковского сервиса обосновавшийся на компьютере троянец подменяет содержимое этой страницы. Теперь на экране демонстрируется сообщение о том, что для продолжения работы с системой «Банк-Клиент» пользователь должен скачать и установить на свой мобильный телефон специальную банковскую программу. При этом оформление сайта и адрес веб-страницы в адресной строке браузера остаются неизменными и не вызывают никаких подозрений.
- Жертва устанавливает на свой смартфон скачанное по ссылке приложение, которое на самом деле является мобильным банковским троянцем.
- Мобильный троянец перехватывает отправляемые системой «Банк-Клиент» СМС с одноразовыми паролями и передает их злоумышленникам, а троянец, работающий на компьютере, с помощью этих паролей крадет деньги с банковского счета.
Антивирусная правДА! рекомендует
Двухфакторная аутентификация через одноразовые пароли действительно значительно повышает безопасность использования онлайн-сервисов и хранящихся там данных. Однако ее безопасное применение зависит только от пользователя и совершенно не зависит от компании, применяющей такую аутентификацию. Поэтому, если вам дороги ваши деньги и информация:
- Используйте для получения СМС-подтверждений отдельный телефон (не смартфон!), на который невозможна установка каких-либо программ.
- Не посещайте подозрительные сайты, где незаметно на ваш компьютер может проникнуть троянец, — для этого прислушивайтесь к рекомендациям веб-антивируса Dr.Web SpIDer Gate и не отключайте его. Вы не являетесь специалистом по информационной безопасности, а значит — не можете определить, вредоносен сайт или нет.
- Не переходите по ссылкам в подозрительных письмах или СМС и, конечно же, используйте антиспам Dr.Web, который отсеет такие письма.
- Если вы скачиваете «кряк» или нелицензионное приложение (да еще и отключив в этот момент «ругающийся» антивирус) знайте, что с этой секунды вы вступаете в зону повышенного риска и пенять можете только на себя. Dr.Web регистрирует любые отключения защиты, и по времени заражения (начала действия на вашем ПК троянца) экспертиза докажет, что вины антивируса в том, что вы потеряли деньги, нет. Если вы задумаете судиться с банком, именно на этом будет основываться его линия защиты, т. к. в обязанности клиента банка входит использование (а не отключение!) лицензионного антивируса на устройстве, на котором осуществляется вход в систему «Банк-Клиент».
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
zitkss
16:29:34 2019-05-11
Rider
09:22:25 2018-11-20
Денисенко Павел Андреевич
23:54:28 2018-08-06
golovotap
16:26:45 2018-07-10
vasvet
20:09:30 2018-03-28
alex-diesel
12:20:58 2018-03-03
Toma
18:17:09 2018-02-21
dima.selin
08:55:54 2017-03-07
Любитель пляжного футбола
22:31:02 2017-02-19
eaglebuk
22:01:52 2017-02-08
Шалтай Александр Болтай
16:20:31 2017-01-24
Andromeda
14:54:50 2016-09-27
bob123456
16:07:16 2016-06-14
Sergei
06:00:17 2016-06-01
zsergey
16:55:34 2016-05-27
Alex_krg
09:45:01 2016-05-18
Serjik
15:35:02 2016-05-17
alroma
08:22:59 2016-05-17
GREII
06:11:58 2016-05-17
МЕДВЕДЬ
03:01:05 2016-05-17
Ivan
00:04:23 2016-05-17
razgen
23:50:49 2016-05-16
Lia00
23:18:46 2016-05-16
korova Marta
23:00:34 2016-05-16
kva-kva
22:17:24 2016-05-16
tosya
22:08:00 2016-05-16
mk.insta
22:06:25 2016-05-16
Argentum
21:32:30 2016-05-16
Dvakota
20:58:20 2016-05-16
maestro431
20:54:36 2016-05-16
B0RIS
20:15:14 2016-05-16
ada
19:25:30 2016-05-16
Сергей
19:00:32 2016-05-16
Zevs_46
18:35:34 2016-05-16
Tetania Zeta
18:31:12 2016-05-16
Владимир
18:26:44 2016-05-16
Deniskaponchik
18:23:52 2016-05-16
Альфа
18:22:01 2016-05-16
Nett
18:20:18 2016-05-16
Nikodim2011
18:08:46 2016-05-16
zzz7777
17:03:13 2016-05-16
DrKV
16:16:46 2016-05-16
Demon
15:36:07 2016-05-16
Ирина
15:10:31 2016-05-16
Геральт
15:09:28 2016-05-16
azimut
14:29:50 2016-05-16
Holmogorov
14:23:11 2016-05-16
>считать такой канал ДБО безопасным и на сколько?
Ну, примерно вот так: https://news.drweb.ru/show/?i=9956&c=5&lng=ru&p=0
m@ri
14:09:43 2016-05-16
djabax
13:40:38 2016-05-16
A1037
13:35:32 2016-05-16