Как мошенники крадут деньги через SMS

07.02.2019   \  АРБ шпаргалка

Москва, 6 февраля - "Вести.Экономика"

Большинство банков используют для защиты денег своих клиентов двухфакторную аутентификацию — это те самые 4–6-значные коды, которые нужны для подтверждения транзакций или входа в интернет-банк. Обычно эти разовые коды банки присылают в SMS-сообщениях. Увы, SMS далеко не самый удачный вариант, поскольку текстовые сообщения можно перехватить, сообщают эксперты "Лаборатории Касперского".

Существует несколько способов перехвата текстовых сообщений, самый экстравагантный из них — через несовершенство протокола SS7 (который по-русски называется ОКС-7), который используют операторы связи по всему миру для маршрутизации звонков и заодно для передачи SMS. В этом протоколе не предусмотрена проверка того, кто отправляет команды. И если киберпреступникам удается проникнуть в сотовую сеть, то они получают возможность перенаправлять сообщения и звонки без ведома абонента, которому они адресованы.

Схема работает так: сначала киберпреступники выясняют логин и пароль жертвы для онлайн-банкинга, например с помощью фишинга, клавиатурных шпионов или банковских троянов. Войдя в онлайн-банк, они отправляют запрос на перевод денег. Большинство современных банков требуют дополнительное подтверждение для перевода и отправляют код, чтобы убедиться, что операцию выполняет именно владелец счета.

Если банк отправляет код в SMS, то злоумышленники, пользуясь уязвимостью протокола, перехватывают сообщение и вводят код, как будто получили его на телефон жертвы. Банк переводит деньги, считая операцию абсолютно легитимной, потому что она авторизована дважды: сначала паролем, а потом — разовым кодом. В результате довольные кибермошенники беспрепятственно получают чужие деньги.

Специалисты по информационной безопасности уже давно предупреждали о теоретической возможности подобного взлома. И пару лет назад это произошло на практике: в Германии была зафиксирована массовая атака на клиентов банков по данному сценарию. А совсем недавно это случилось снова, на этот раз в Великобритании: по сообщению издания Motherboard, мишенями стали некоторые клиенты банка Metro Bank.

Всего этого можно было избежать, если бы не приверженность банков двухфакторной аутентификации на основе текстовых сообщений вместо, например, специальных приложений или даже аппаратных аутентификаторов наподобие YubiKey, пишут в блоге специалисты "Лаборатории Касперского".

Финансовые учреждения обычно не предлагают каких-либо других видов двухфакторной аутентификации, кроме SMS. Остается надеяться, что в дальнейшем ситуация изменится и число банков по всему миру, предоставляющих клиентам более широкий выбор надежных вариантов защиты, будет расти.

Эксперты советуют повсеместно применять двухфакторную аутентификацию, но при этом вместо SMS лучше пользоваться более безопасными вариантами, такими как приложения-аутентификаторы или YubiKey. Необходимо защищать свои мобильные устройства от банковских троянов и клавиатурных шпионов с помощью надежного антивирусного решения — таким образом вы не дадите им выведать ваши логины и пароли.



Источник

Авторизуйтесь, чтобы оставить комментарий.
Аналитика    19.07.2019 19:17

Вечерний комментарий. Не смогли

Богдан Зварич, главный аналитик ПСБ.

Это интересно    19.07.2019 15:32

Время роскоши: как владелец Louis Vuitton и Dior стал богаче Билла Гейтса

Взлет котировок акций LVMH, главного игрока на мировом рынке предметов роскоши, увеличил состояние владельца конгломерата Бернара Арно на $27 млрд всего за несколько месяцев и обеспечил ему второе место в глобальном списке Forbes. Сможет ли он догнать Джеффа Безоса?

Точка зрения    18.07.2019 20:55

Новый глава ЕЦБ: без интриги

Вопрос с кандидатурой на пост нового главы ЕЦБ де-факто решен. Хотя формально Кристин Лагард еще не возглавила Европейский центробанк, рынок уже свыкся с мыслью о ее будущем назначении и не ждет жестких реформ, считает Сергей Дроздов, аналитик ГК "Финам".

   

Мы на Facebook