В январе со счета агентства информационной безопасности «Юго-Запад», расположенного в Одессе, ушли на счет вполне легально зарегистрированной фирмы в Николаеве около 60 тыс. грн. Деньги перевел небезызвестный банковский троян carberp, который пришел в теле электронного письма ничего не подозревающему бухгалтеру. С тех пор прошло уже более трех месяцев, но технический директор «Юго-Запада» Александр Ткачук не рассчитывает на эффективную помощь правоохранительных органов и скорый возврат похищенных средств.
В Украине обостряется проблема воровства денег со счетов, сообщил глава совета Независимой ассоциации банков Украины Борис Тимонькин. В рамках крупнейшей транзакции удалось похитить 32 млн грн. Жертвами становятся не только юридические лица с крупными суммами на счетах, но и рядовые пользователи.
В Украине уже много финучреждений предоставляют полноценный мобильный банкинг: Альфа-Банк, Пиреус Банк, Банк Форум, Первый украинский международный банк, ПриватБанк, Сбербанк России в Украине, Дельта Банк (сервис в процессе внедрения). Услуга мобильного банкинга весьма прогрессивна и чрезвычайно удобна. Тем самым она привлекает не только идущих в ногу со временем клиентов, но и мошенников.
«Правдоподобные» истории
Злоумышленники очень изобретательны в способах выуживания средств у слишком беспечных граждан. Приведенные ниже истории уже легли в основу сюжетов художественных фильмов, но наивные персонажи всегда находятся.
Например, якобы от банка приходит sms с информацией о блокировании банковской карты и тут же указан номер телефона, на который нужно перезвонить для разблокирования. Когда доверчивый клиент перезванивает, ему сообщают, что в программном обеспечении банка произошел сбой и для восстановления информации надо сообщить все данные карты для возобновления ее работы.
Получив необходимую информацию, злоумышленники мгновенно могут снять деньги со счета посредством интернет-банкинга или использовать счет для оплаты товаров и услуг через Всемирную сеть. Если время от времени снимать небольшие суммы, человек долго не замечает, что его счетом кто‑то еще пользуется. Особенно если не активирована услуга sms-информирования. Если этот платный сервис подключен, клиент сразу получит уведомление о подозрительных операциях и сможет оперативно уведомить банк о возникшей проблеме.
Бывает, опять же якобы от имени банка приходит sms-уведомление о выигранном смартфоне, компьютере или даже автомобиле. И для оформления документов и получения выигрыша необходимо перевести определенную сумму на некий счет в банке или электронный кошелек. Самые назойливые «подаркодарители» могут даже в открытую просить указать номер карты и ее PIN-код для перечисления «денежного приза».
Развивающаяся онлайн-торговля тоже благодатная почва для роста мошенничества, в том числе с мобильным банкингом. Некоторые отечественные финструктуры для транзакций предлагают воспользоваться личным номером мобильного телефона в случае отсутствия на руках платежной карты. Для подтверждения такой операции нужно обязательно ввести код, который банк высылает на мобильный для подтверждения операции.
Что делают мошенники? Сначала размещают в интернете объявления с привлекательными ценами. Затем сетуют, что могут принять оплату только при помощи платежной карты. Ничего не подозревающий покупатель перечисляет необходимую сумму, после чего получает звонок от подставного «сотрудника банка». Тот ему сообщает, что из‑за сбоя системы платежей деньги можно перевести на счет клиента только в ручном режиме. Для этого нужно отправить со своего номера на мобильный клиента sms с указанным злоумышленником текстом. Так жулики узнают мобильный номер.
После они могут его использовать, например, для снятия денег в банкомате, а «сотруднику банка» остается только уговорить доверчивого клиента сообщить код из sms, который отправляет финучреждение для подтверждения транзакции. Его выпытывают под любым вымышленным предлогом, ведь сотрудникам банков принято доверять. Получив код, мошенники опустошают счет платежной карты.
Рисковые возможности
Больше возможностей — больше риска. Смартфоны и планшеты существенно расширяют возможности мобильного банкинга. Одновременно они открывают поле деятельности и для мошенничества.
Всегда существует угроза заражения смартфона или планшета вирусом, который станет каналом для несанкционированного доступа к персональным данным, в том числе банковскому профилю в приложении для интернет-банкинга. Интеллектуальные мобильные устройства также подвержены риску фишинговых атак. Ничего не подозревающий пользователь попадает на копию интернет-страницы банка или в специально созданное мошенниками приложение и со спокойной душой вводит личные коды доступа к своим счетам.
В принципе, украинские банки предоставляют возможность избежать опустошения счета даже в случае кражи паролей для интернет-банкинга. Для этого используется дополнительная услуга мобильного банкинга — одноразовые sms-пароли. Все совершаемые при помощи интернет-банкинга операции в обязательном порядке приходится подтверждать вводом одноразового пароля, который приходит в виде текстового сообщения на мобильный номер клиента.
Эта схема проста в использовании, оперативна и довольно надежна. Однако если у человека украли смартфон со всеми «явками и паролями», то и нужное sms злоумышленники получат на него же.
Не болтай!
Проблема мошенничества в мобильном банкинге останется актуальной как минимум ближайшие несколько лет. В первую очередь из‑за отсутствия надежной системы идентификации пользователя при использовании услуги. Но обезопасить счет достаточно легко: «Никому не верь — и тебя не обманут». Пользуясь мобильным банкингом, необходимо сохранять бдительность. Даже если со стороны это может показаться паранойей.
Не следует отдавать мобильный в ремонт, предварительно не удалив с него банковское приложение или не заблокировав работу с ним. Обнаружив кражу смартфона или планшета, на котором использовалась услуга интернет-банкинга, нужно немедленно обратиться в финучреждение и потребовать заблокировать учетную запись для онлайн-банкинга.
Определенно не стоит делиться логинами, паролями и секретными кодами с кем бы то ни было ни по телефону, ни по электронной почте, ни в офисе. И уж точно надо с разумной долей скепсиса относиться к веб-серфингу по сайтам сомнительного содержания и затем осуществления платежей с этого компьютера, смартфона или планшета.
Крайне желательно всегда проверять веб-адрес страницы банка. Если он непривычен и отличается от оригинала хоть одним символом — это уже повод для подозрений и звонка в службу поддержки. Руководитель по безопасности технологий розничного бизнеса Альфа-Банка (Украина) Сергей Досенко настоятельно советует изучать рекомендации, которые публикуют банки, интернет-провайдеры, операторы услуг мобильной связи. «Как правило, эти организации первыми реагируют на появление новых схем мошенничества», — утверждает он.