eva-nevsskaya
IT-эксперт Костиков раскрыл россиянам мошеннические способы краж данных в онлайн-банках ( 1 фото )
Максим Костиков – руководитель группы исследований безопасности банковских систем Positive Technologies рассказал россиянам, как защитить свои деньги.
По словам IT-эксперта, злоумышленники приспособились находить уязвимости в программном обеспечении банковских приложений, а пользователи лично сами упрощают им задачу проникновения в личный кабинет.
Костиков объясняет, что утечки банковской информации с данными карт и персональными данными клиентов сегодня не редкость. И мошенники этим пользуются, используя при этом номер телефона и карточные данные. Злоумышленники могут перехватывать сообщения, меняя аутентификационные данные, чтобы получить доступ к личному кабинету клиента. Но для входа в личный кабинет также нужно знать логин, пароль и данные карты.
Костиков перечислил три основных фактора, которые упрощают мошенникам доступ к кабинету:
1. Логин для входа в мобильный банк – номер телефона;
2. Для восстановления доступа используются номер телефона, карточные данные или информация, полученная из возможных утечек данных;
3. Вместо push-уведомлений включена функция СМС-уведомления, которые мошенникам очень просто перехватить. IT-эксперт считает, что при восстановлении доступа следует добавить дополнительный фактор аутентификации. Например, кодовое слово, генерировать произвольные имена пользователям и разрешать их менять, добавить функционал подтверждения переводов только по push.
В заключение Костиков добавил, что если злоумышленник все же попал в личный кабинет клиента, ему придется столкнуться с антифрод-системой банка. Данная система вычисляет подозрительную активность в аккаунте, и не допускает, чтобы злоумышленники навредили клиенту финансово.
По словам IT-эксперта, злоумышленники приспособились находить уязвимости в программном обеспечении банковских приложений, а пользователи лично сами упрощают им задачу проникновения в личный кабинет.
Костиков объясняет, что утечки банковской информации с данными карт и персональными данными клиентов сегодня не редкость. И мошенники этим пользуются, используя при этом номер телефона и карточные данные. Злоумышленники могут перехватывать сообщения, меняя аутентификационные данные, чтобы получить доступ к личному кабинету клиента. Но для входа в личный кабинет также нужно знать логин, пароль и данные карты.
Костиков перечислил три основных фактора, которые упрощают мошенникам доступ к кабинету:
1. Логин для входа в мобильный банк – номер телефона;
2. Для восстановления доступа используются номер телефона, карточные данные или информация, полученная из возможных утечек данных;
3. Вместо push-уведомлений включена функция СМС-уведомления, которые мошенникам очень просто перехватить. IT-эксперт считает, что при восстановлении доступа следует добавить дополнительный фактор аутентификации. Например, кодовое слово, генерировать произвольные имена пользователям и разрешать их менять, добавить функционал подтверждения переводов только по push.
В заключение Костиков добавил, что если злоумышленник все же попал в личный кабинет клиента, ему придется столкнуться с антифрод-системой банка. Данная система вычисляет подозрительную активность в аккаунте, и не допускает, чтобы злоумышленники навредили клиенту финансово.
844