[Лайфхак №2] Как не отдать свои деньги мошенникам
-
Многие думают, что использовать интернет сайт банка на домашнем ПК/ноутбуке безопаснее, чем мобильное приложение. Это ошибочное мнение.
При должном отношении к телефону и ПК/ноутбуку оба варианта одинаково безопасны для использования. При халатном отношении - оба варианта одинаково опасны.
Основное заблуждение заключается в том, что для входа в интернет-банк нужно СМС. И если взломают ПК/ноут, то без телефона доступа к СМС не будет.- Во-первых, злоумышленники в подавляющем большинстве случаев используют социальную инженерию и им вообще не нужен доступ к вашим СМС. Вы сами передадите коды из СМС, по мнению злоумышленников.
- Во-вторых, мы думаем, что наш ПК/ноут "домашний" и поэтому уделяем мало внимания безопасности таких устройств. ПК/ноут взломать гораздо легче, чем современные смартфоны. Я знаю мало людей, которые ставят сложные пароли на вход в компьютер или удаляют гостевые учетные записи. И только лишь единицы использую шифрование жестких дисков. При этом на смартфонах шифрование используется изначально "по умолчанию".
- В-третьих, те люди, которые воруют смартфоны, делают это для перепродажи и разбора на запчасти. В таких случаях стараются максимально быстро избавиться от сим-карты. Если же телефон крадут с целью завладеть мобильным банком, то, поверьте, это целенаправленное действие, и злоумышленнику проще будет "выудить" из вас нужную информацию задолго до завладения вашим устройством.
Прошу вас задавать вопросы, критиковать, плюсовать. Постараемся вместе в этом вопросе разобраться и оформить небольшой пост.
-
-
Если диктовать СМС всем подряд, тогда, действительно, без разницы, чем пользоваться, интернет-банком или мобильным приложением, деньги все равно уведут. Но, надеюсь, это к присутствующим не относится.
-
Возможно, что ноут заразить проще, чем смартфон, хотя это тоже спорное утверждение. Но, спрашивается, зачем это мошенникам? Даже если они узнают все логины и пароли от интернет банков, то без кода из СМС они все равно ничего не смогут сделать. Придется все равно, или еще дополнительно заражать смартфон, или снова прибегать к социальной инженерии. Поэтому для мошенников это бессмысленная трата времени.
А вот один раз заразив смартфон они уже получат доступ ко всем данным, включая PUSH и СМС. -
Если кто-то сознательно ворует телефоны на разбор или продажу, то что мешает им продавать симки "заинтересованным" людям? Более того, я даже уверен, что есть такие "специалисты", которые специально пасут смартфоны с установленными банковскими приложениями, подсматривают пин-коды, а потом воруют эти смартфоны. Для них это проще и безопаснее, чем угнать автомобиль, а выхлоп может быть еще больше, так как почти в любом банковском приложении можно взять кредит онлайн и сразу же его обналичить. Суммы могут исчисляться миллионами.
-
-
@сергей-из-москвы, есть три основных способа кражи денег "онлайн":
- Пресловутая социальная инженерия и ее многочисленные вариации. Настоящий специалист выудит всю необходимую информацию за 3-5 дней и получит полный доступ к счетам. Их многочисленные последователи (отнюдь не спецы) - "финансовый отдел сбербанка" и тому подобные используют схожие приемы, но гораздо в более примитивном виде.
- Точечная обработка клиента. Здесь идет в ход подмена номера клиента - то есть, вашего. В настоящее время при должном опыте можно подменить любой номер и получать СМС на любое устройство. Но это трудоемко и пользуются "по наводке".
- Мошенники массово скупают номера, бывшие в употреблении и переданные в продажу из-за неактивности более 90 дней. Клиенты банков забывают отключать от банковских услуг старый неиспользуемый номер. Это дает возможность мошенникам не только получить доступ к текущим счетам, но и оформить кредит в тех банках, с которыми вы больше не работаете.
Как видите, наличие мобильного приложения на смартфоне никак не повышают шансы мошенников на взлом наших счетов, равно как и не понижаются шансы при отсутствии оных.
Ваша позиция понятна: потеряв телефон с установленными банковскими приложениями, мошенник завладеет и приложением, и СМС. Но:- Для входа в телефон нужен код или FaceID
- Для входа в приложение банка нужен другой код или FaceID
- Потеряв телефон, нужно незамедлительно заблокировать не только банковские карты, но и сим-карту.
И только полная наша с вами безотвественность может привести к потере денег при утрате телефона. Поэтому я настаиваю, что наличие мобильного приложения не делает проще доступ к счетам, но при этом вам, как их владельцу, значительно упрощают жизнь: вы в моменте будете знать, если происходят движения по счетам, которых вы не планировали.
-
@евгений Кроме этих вариантов есть еще множество способов, направленных конкретно на взлом смартфонов. Из недавно прочитанного в интернете:
Два парня выходят из кабака в приподнятом настроении. К ним подходит миловидная девушка с просьбой дать на время смартфон, так как ее разрядился (или забыла дома), а здесь она договаривалась о встрече со своим парнем и ей нужно срочно связаться с ним через ВКонтакте (или другим способом), главное, что она даже звонить не будет, поэтому деньги точно не спишутся, а мобильный интернет сейчас почти у всех бесплатный. Ну как тут не помочь несчастной девушке, тем более, что вроде и риска никакого, что она может сделать против двух взрослых парней? Ну один из них сжалился, дал ей свой смартфон, она понабирала там что-то пару минут, потом вернула со словами благодарности, дескать ей очень помогли, так как ее парень уже давно ждет совсем в другом месте, и быстро удалилась.
Я надеюсь, что уже все догадались, что на самом деле никакого парня не было, а за эти пару минут она просто скачала с Плэй Маркета вполне официальную программу Teamviewer (ну или что нибудь подобное) и передала своим сообщникам управление этим смартфоном.
И это всего лишь один из частных способов перехвата управления над смартфоном, а таких способов может быть великое множество, как при наличии физического доступа к смартфону, так и дистанционно. Да, конечно, мобильными приложениями удобно пользоваться, но я все таки лучше буду мучаться по-старинке через интернет банк
-
@сергей-из-москвы А как установленный Teamviewer поможет им зайти в приложение банка? Кода то они не знают.
Если только поймать момент, когда владелец сам зайдет, но любым действием параллельно они сразу себя выдадут.
В общем, это все из области безответственности. При соблюдении мало-мальских правил безопасности, приложения не реально взломать. -
@vic039 Все верно - сначала подсмотреть код доступа, а затем через некоторое время самим зайти. При определенной сноровке могут даже и одновременно с владельцем войти и перевести деньги.
-
@сергей-из-москвы Ну, это уже из области фантастики. Тем более, что сейчас смартфонов без биометрической идентификации почти не осталось, коды, при входе в приложения мало кто вводит, по той же биометрии заходят.
В общем, для злоумышленника это должно быть такое стечение обстоятельств, что и заморачиваться никто не будет. -
@vic039 Если бы не заморачивались, то не фиксировали бы более 1000 попыток каждый месяц https://www.group-ib.ru/media/teamviewer/
-
@сергей-из-москвы Ну, без Тимвьювера я жить не хочу. Когда к маме на другой конец Москвы на сутки уезжаю, оттуда работаю на своем компьютере. В отпуске из Испании и Португалии с ним работал через ноутбук подруги, и даже с пляжа через смартфон счет в 1С выписал и отправил клиентам. Часто захожу в домашний компьютер со смартфона, когда в дороге. Я его никогда не выключаю уже 2 года.
-
@alexander У меня на всех ПК (рабочих и домашнем) тоже установлен, А вот на смартфон я все таки опасаюсь его ставить.
-
@сергей-из-москвы Я его использую только для управления компьютером со смартфона. Чтобы наоборот, нужен отдельный модуль, я его в телефон не ставил.
-
@сергей-из-москвы Кстати, TeamViewer в последнее время задолбал своими подозрениями на коммерческое использование. Буду на AnyDesk переходить.
-
@alexander Я тимвьювером и прочими подобными не пользуюсь. Либо rdp, где это возможно, либо vnc, на худой конец.
Клиенты тимвьювероподобных запускаются только на компе, где нет ничего личного. -
@сергей-из-москвы Эта схема работает по другому - при звонке по телефону, типа работника банка, предлагают поставить, чтобы сделать все за вас. Рассчитана на совсем несведущих.
-
@vic039 Это только один из вариантов, а на самом деле этих вариантов могут быть тысячи. Да и вирусы с троянами никуда не исчезли.
-
@alexander мне в свое время AmyyAdmin посоветовали, мне он понравился.
С телефоном не дружил, и не знаю как оно, т.к. не было необходимости.
с TV заморочек слишком много, когда надо на компы родственников зайти.TV тоже есть, но им практически не пользуюсь, т.к. пока не было сценариев, когда бы он понадобился, несмотря на неудобство по сравнению с АА.
-
с TV заморочек слишком много, когда надо на компы родственников зайти
Не понял. Каких заморочек?
-
@alexander код вводить каждый раз.
К тому же много отвлекающих факторов в интерфейсе, а нужна простота.В Ами - все проще некуда, лишнего ничего нет.
-
@kamushek Видимо, я не пользуюсь большинством функций TV, поэтому никаких заморочек. На компьютерах родственников он запускается автоматически и я подключаюсь по постоянному паролю, а не по разовым, которые нужно диктовать. А далее - никакого интерфейса не вижу, просто работаю за чужим компом, как за своим.
Когда подключаюсь к своему компьютеру с чужого, пользуюсь двумя кнопками интерфейса - "переключение мониторов", т.к. у меня их два, и "передача файлов", когда это нужно.
-
@alexander да, я понимаю, что к интерфейсу привыкаешь.
Сколько-то лет назад, когда в него заходил - там было меньше всего накручено и не так пестрило в глазах.
А когда он понадобился с года два назад и я его увидел снова, то удивился как там все замудрили.Поэтому, в сравнении с ним АА показался совсем простейшим.
Чисто эмоциональное такое восприятие - с одним сразу все интуитивно понятно и кажется простым, а второй - сложным, что даже не хочется разбираться.Если бы не было альтернативы, конечно такого не было и пришлось бы привыкать.
Причем на АА пару лет назад можно было его просто установить как службу и владелец компа даже не видел, что у него что-то есть такое, и не видел, что кто-то подключился. То есть он как бы есть, но его как бы и нет и никого не напрягает.
Потом сделали, что в любом случае выходит уведомление о подключении.