Удаление мобильных приложений подсанкционных российских банков из Google Play, AppStore и AppGallery вызвало волну мошенничеств. Эксперты подчеркивают, что наиболее безопасный вариант, работающий на Android,— прямое скачивание приложения с сайта банка, но и в этом случае клиенту нужно быть очень внимательным. Веб-версии приложений, которые могут стать альтернативой, не обеспечивают полной функциональности.
Фото: Игорь Никитин, Коммерсантъ
Российские банки, попавшие под санкции и столкнувшиеся с удалением их приложений из Google Play, AppStore и AppGallery от Huawei, начали создавать альтернативы. Пользователи ОС Android могут скачивать приложения с официальных сайтов банков, в случае с iOS возможно использование веб-версии. Сейчас в магазинах приложений нельзя скачать и обновить приложения «Сбера», ВТБ, «ФК Открытие», Совкомбанка, Промсвязьбанка (ПСБ), Новикомбанка.
«Сбер», в частности, предлагает клиентам скачать и запустить APK-файл (пакет установки, независимый от магазина Google Play). Но эксперты по кибербезопасности говорят о рисках для пользователей. Собеседник “Ъ” в одном из банков объясняет, что выложенный «Сбером» файл не проверяется Google на безопасность и наличие вирусов: «Сам файл на официальном сайта банка безопасен, но для скачивания пользователь должен дать согласие системе Android, что получает приложение из непроверенного источника».
Если ОС получает такое согласие, она в следующий раз не будет его запрашивать, чем могут воспользоваться мошенники, подчеркивает собеседник “Ъ”. Например, они могут разослать СМС-сообщения с предложением обновить приложение и ссылкой, которая окажется вредоносной. По мнению источника “Ъ”, банку стоило адаптировать веб-версию для мобильных устройств, как это сделал, например, ВТБ, что менее рискованно.
США внесли в SDN-лист ВТБ, ПСБ, Совкомбанк, «ФК Открытие», Новикомбанк (опорный банк «Ростеха»), Росэксимбанк (контролируется ВЭБ.РФ), а с 6 апреля — Альфа-банк и Сбербанк. Под санкциями Великобритании находятся ПСБ, Газпромбанк, Альфа-банк, Россельхозбанк, СМП-банк, Уральский банк реконструкции и развития, Сбербанк и Московский кредитный банк. Под санкции ЕС попали АБ «Россия», ПСБ, ВЭБ.РФ, ВТБ, «ФК Открытие», Совкомбанк и Новикомбанк.
Мошеннические приложения могут выдать себя за APK-файл и перехватить системные разрешения, данные официальному приложению, отмечает гендиректор Института исследований интернета Карен Казарян. Банки могут реализовать механизм самообновления Android-приложений, уточняет он, «но с помощью приемов социальной инженерии можно обойти бдительность пользователей».
Мошенники уже начали рассылку сообщений в соцсетях со ссылкой на скачивание якобы незаблокированного приложения «Сбера», говорит гендиректор «Киберполигона» Лука Сафонов.
Под угрозой только пользователи Android, так как на iPhone нельзя установить приложения со сторонних платформ, добавляет ведущий аналитик отдела выявления цифровых угроз Infosecurity a Softline Company Александр Вураско. По его словам, опасность может заключаться в том, что пользователи начнут скачивать приложения не с официальных сайтов банков, а с внешних ресурсов вроде «Топ-100 приложений для Android».
Возникнут также неофициальные файлообменники, на которых якобы можно будет скачать полноценно работающее банковское приложение, полагает директор по специальным проектам Angara Security Александр Дворянский: «При скачивании пользователь компрометирует свои данные или получает на устройство вредоносный файл».
Адаптация веб-версий электронных банков к мобильным устройствам тоже не станет полноценным ответом на блокировки приложений.
Веб-приложения полагаются на ресурсы браузера и ограничены в доступе к аппаратной составляющей телефона, отметил глава отдела веб-разработки red_mad_robot Илья Крупнов. Из-за этого, по его словам, банки не смогут воссоздать в веб-версии часть функций, а пользовательский опыт будет «приемлемым, но отличающимся от опыта в приложениях».
Apple и Google также могут ограничить возможность подсанкционных банков по отправке push-уведомлений через уже установленные приложения, полагает сооснователь компании по разработке мобильных приложений arcsinus Павел Голуб: «Банкам придется информировать клиентов об операциях по счетам исключительно через СМС, что дороже отправки push». По его мнению, банки могут воссоздать функциональность приложений в веб-версиях личных кабинетов, но идентичной работы достичь не получится.