Виктория Носова, консультант по безопасности Check Point Software Technologies
— Один из моментов, который беспокоит всех пользователей сервисов дистанционного банковского обслуживания, — безопасность. Насколько сегодня защищены денежные операции, осуществляемые дистанционно?
— Такой риск всегда есть, так как речь идет о защите не только самого сервиса на стороне банка, но и персонального компьютера или мобильного устройства пользователя. Приемлемая защищенность сервисов ДБО достигается за счет выполнения клиентом всех рекомендаций, выданных ему банком, и использования всех имеющихся инструментов для защиты устройства и самих операций. В то же время необходимо, чтобы и банк имел самые актуальные, эффективные и проверенные технологии защиты. Если банк не достаточно внимательно относится к проверке легитимности перевода денежных средств или безопасности использования мобильного приложения или сайта, то пользователь может действительно потерять деньги. Злоумышленники могут найти лазейку для кражи средств или данных о карте, если банк и сам использует устаревшие технологии или уязвимые протоколы без достаточной защиты. Однако сейчас есть достаточно средств защиты для обеих сторон, чтобы свести этот риск к минимуму.
— Какими способами наиболее часто пользуются мошенники, чтобы завладеть чужими деньгами?
— Чаще всего используются фишинговые (поддельные) сайты, вредоносное вирусное ПО, в том числе и с возможностями регистрации введенных символов с клавиатуры, и социальная инженерия. Подставные сайты внешне похожи на официальные страницы банковских компаний, и пользователи без опасений вводят свои логины-пароли или другую информацию для аутентификации. Злоумышленники могут использовать эти данные для входа в реальный кабинет онлайн-банка жертвы и производить любые операции со счетами и картами как авторизованные пользователи. Поэтому важно, чтобы банк помимо проверки данных при входе в систему ДБО повторно подтверждал легитимность операций другими средствами аутентификации, например, запросом одноразового пароля, который в SMS-сообщении. Важно помнить, что и само приложение для ДБО, как мобильное, так и для ПК, должно быть загружено из доверенного магазина приложений. В сети можно найти множество подставных приложений, разработанных хакерами. Программа-троян, проникшая в устройство, может украсть данные и отправить их злоумышленнику. Даже для мобильных телефонов есть вредоносные программы, которые перехватывают SMS от банка и позволяют хакерам списывать деньги с ваших счетов незаметно для пользователя. Социальная инженерия позволяет обманным путем получить информацию или принудить пользователя ввести PIN-код от карты по просьбе злоумышленника. Используются соцсети, SMS-сообщения якобы о замороженной операции из банка, звонки от лжеслужбы безопасности.
— Как пользователю дистанционных сервисов обезопасить себя при проведении операций?
— Для защиты следует использовать программы, обеспечивающие продвинутую защиту от известных и неизвестных угроз, в том числе от фишинговых и зараженных сайтов, как для компьютеров, так и для мобильных устройств. Кроме того, не нужно пренебрегать рекомендациями банка. Пользователь может позвонить по телефонам, указанным на банковской карте. Также я бы не рекомендовала производить подключение к ДБО, используя публичные WiFi-точки, чтобы избежать несанкционированного перехвата данных. При выборе банка необходимо ориентироваться на его репутацию, изучить предлагаемые средства аутентификации при работе с сервисами ДБО — чем они серьезнее, тем выше безопасность ваших денежных средств. Наличие у банка сертификации по разным стандартам, например PCI DSS, также является некоторым показателем серьезного отношения к защите и использования не самых старых технологий и протоколов.