Вы используете устаревший браузер!

Страница может отображаться некорректно.

Онлайн по банкингу

Онлайн по банкингу

Другие выпуски этой рубрики (9)
  • добавить в избранное
    Добавить в закладки

Человеческий «двухфактор»

Прочитали: 26789 Комментариев: 79 Рейтинг: 344

16 мая 2016

Раз ромашка, два ромашка
Пять ромашка, шесть ромашка
— А я четвертую сорвал!
Мультфильм «Трям, здравствуйте!»

Сегодня банки и другие компании, предоставляющие сервисы онлайн-доступа, для повышения безопасности активно применяют двухфакторную аутентификацию, или 2FA.

Аутентификация — процесс проверки личности человека, пытающегося воспользоваться онлайн-сервисом.

При использовании двухфакторной аутентификации пользователю недостаточно знать только логин и пароль (предполагается, что его должны знать только вы, но часто это оказывается не так). Нужно еще что-то, что может быть только у настоящего пользователя сервиса: например, привязанный к аккаунту номер мобильного телефона.

Один из видов двухфакторной аутентификации — одноразовые пароли, присылаемые в СМС-сообщениях на «привязанный» к банковскому счету номер. Считается, что такая защита банковских операций способна обезопасить пользователя системы «Банк-Клиент» от действий злоумышленников.

Однако это давно уже не так! Киберпреступники научились успешно обходить такую защиту.

Один из сценариев обхода защиты с использованием одноразовых паролей

  1. На компьютер проникает банковский троянец, способный встраивать в просматриваемые веб-страницы постороннее содержимое, то есть выполнять веб-инжекты.
  2. При попытке жертвы зайти на сайт банка или открыть страницу банковского сервиса обосновавшийся на компьютере троянец подменяет содержимое этой страницы. Теперь на экране демонстрируется сообщение о том, что для продолжения работы с системой «Банк-Клиент» пользователь должен скачать и установить на свой мобильный телефон специальную банковскую программу. При этом оформление сайта и адрес веб-страницы в адресной строке браузера остаются неизменными и не вызывают никаких подозрений.
  3. Жертва устанавливает на свой смартфон скачанное по ссылке приложение, которое на самом деле является мобильным банковским троянцем.
  4. Мобильный троянец перехватывает отправляемые системой «Банк-Клиент» СМС с одноразовыми паролями и передает их злоумышленникам, а троянец, работающий на компьютере, с помощью этих паролей крадет деньги с банковского счета.
#двухфакторная_аутентификация #терминология #пароль

Антивирусная правДА! рекомендует

Двухфакторная аутентификация через одноразовые пароли действительно значительно повышает безопасность использования онлайн-сервисов и хранящихся там данных. Однако ее безопасное применение зависит только от пользователя и совершенно не зависит от компании, применяющей такую аутентификацию. Поэтому, если вам дороги ваши деньги и информация:

  • Используйте для получения СМС-подтверждений отдельный телефон (не смартфон!), на который невозможна установка каких-либо программ.
  • Не посещайте подозрительные сайты, где незаметно на ваш компьютер может проникнуть троянец, — для этого прислушивайтесь к рекомендациям веб-антивируса Dr.Web SpIDer Gate и не отключайте его. Вы не являетесь специалистом по информационной безопасности, а значит — не можете определить, вредоносен сайт или нет.
  • Не переходите по ссылкам в подозрительных письмах или СМС и, конечно же, используйте антиспам Dr.Web, который отсеет такие письма.
  • Если вы скачиваете «кряк» или нелицензионное приложение (да еще и отключив в этот момент «ругающийся» антивирус) знайте, что с этой секунды вы вступаете в зону повышенного риска и пенять можете только на себя. Dr.Web регистрирует любые отключения защиты, и по времени заражения (начала действия на вашем ПК троянца) экспертиза докажет, что вины антивируса в том, что вы потеряли деньги, нет. Если вы задумаете судиться с банком, именно на этом будет основываться его линия защиты, т. к. в обязанности клиента банка входит использование (а не отключение!) лицензионного антивируса на устройстве, на котором осуществляется вход в систему «Банк-Клиент».

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: