[Лайфхак №2] Как не отдать свои деньги мошенникам

Сергей из Москвы

@евгений

1. Если диктовать СМС всем подряд, тогда, действительно, без разницы, чем пользоваться, интернет-банком или мобильным приложением, деньги все равно уведут. Но, надеюсь, это к присутствующим не относится.

2. Возможно, что ноут заразить проще, чем смартфон, хотя это тоже спорное утверждение. Но, спрашивается, зачем это мошенникам? Даже если они узнают все логины и пароли от интернет банков, то без кода из СМС они все равно ничего не смогут сделать. Придется все равно, или еще дополнительно заражать смартфон, или снова прибегать к социальной инженерии. Поэтому для мошенников это бессмысленная трата времени.
   А вот один раз заразив смартфон они уже получат доступ ко всем данным, включая PUSH и СМС.

3. Если кто-то сознательно ворует телефоны на разбор или продажу, то что мешает им продавать симки "заинтересованным" людям? Более того, я даже уверен, что есть такие "специалисты", которые специально пасут смартфоны с установленными банковскими приложениями, подсматривают пин-коды, а потом воруют эти смартфоны. Для них это проще и безопаснее, чем угнать автомобиль, а выхлоп может быть еще больше, так как почти в любом банковском приложении можно взять кредит онлайн и сразу же его обналичить. Суммы могут исчисляться миллионами.

Евгений

@сергей-из-москвы, есть три основных способа кражи денег "онлайн":

1. Пресловутая социальная инженерия и ее многочисленные вариации. Настоящий специалист выудит всю необходимую информацию за 3-5 дней и получит полный доступ к счетам. Их многочисленные последователи (отнюдь не спецы) - "финансовый отдел сбербанка" и тому подобные используют схожие приемы, но гораздо в более примитивном виде.
2. Точечная обработка клиента. Здесь идет в ход подмена номера клиента - то есть, вашего. В настоящее время при должном опыте можно подменить любой номер и получать СМС на любое устройство. Но это трудоемко и пользуются "по наводке".
3. Мошенники массово скупают номера, бывшие в употреблении и переданные в продажу из-за неактивности более 90 дней. Клиенты банков забывают отключать от банковских услуг старый неиспользуемый номер. Это дает возможность мошенникам не только получить доступ к текущим счетам, но и оформить кредит в тех банках, с которыми вы больше не работаете.

Как видите, наличие мобильного приложения на смартфоне никак не повышают шансы мошенников на взлом наших счетов, равно как и не понижаются шансы при отсутствии оных.
Ваша позиция понятна: потеряв телефон с установленными банковскими приложениями, мошенник завладеет и приложением, и СМС. Но:

• Для входа в телефон нужен код или FaceID
• Для входа в приложение банка нужен другой код или FaceID
• Потеряв телефон, нужно незамедлительно заблокировать не только банковские карты, но и сим-карту.

И только полная наша с вами безотвественность может привести к потере денег при утрате телефона. Поэтому я настаиваю, что наличие мобильного приложения не делает проще доступ к счетам, но при этом вам, как их владельцу, значительно упрощают жизнь: вы в моменте будете знать, если происходят движения по счетам, которых вы не планировали.

Сергей из Москвы

@евгений Кроме этих вариантов есть еще множество способов, направленных конкретно на взлом смартфонов. Из недавно прочитанного в интернете:

Два парня выходят из кабака в приподнятом настроении. К ним подходит миловидная девушка с просьбой дать на время смартфон, так как ее разрядился (или забыла дома), а здесь она договаривалась о встрече со своим парнем и ей нужно срочно связаться с ним через ВКонтакте (или другим способом), главное, что она даже звонить не будет, поэтому деньги точно не спишутся, а мобильный интернет сейчас почти у всех бесплатный. Ну как тут не помочь несчастной девушке, тем более, что вроде и риска никакого, что она может сделать против двух взрослых парней? Ну один из них сжалился, дал ей свой смартфон, она понабирала там что-то пару минут, потом вернула со словами благодарности, дескать ей очень помогли, так как ее парень уже давно ждет совсем в другом месте, и быстро удалилась.

Я надеюсь, что уже все догадались, что на самом деле никакого парня не было, а за эти пару минут она просто скачала с Плэй Маркета вполне официальную программу Teamviewer (ну или что нибудь подобное) и передала своим сообщникам управление этим смартфоном.

И это всего лишь один из частных способов перехвата управления над смартфоном, а таких способов может быть великое множество, как при наличии физического доступа к смартфону, так и дистанционно. Да, конечно, мобильными приложениями удобно пользоваться, но я все таки лучше буду мучаться по-старинке через интернет банк

Vic039

@сергей-из-москвы А как установленный Teamviewer поможет им зайти в приложение банка? Кода то они не знают.
Если только поймать момент, когда владелец сам зайдет, но любым действием параллельно они сразу себя выдадут.
В общем, это все из области безответственности. При соблюдении мало-мальских правил безопасности, приложения не реально взломать.

Сергей из Москвы

@vic039 Все верно - сначала подсмотреть код доступа, а затем через некоторое время самим зайти. При определенной сноровке могут даже и одновременно с владельцем войти и перевести деньги.

Vic039

@сергей-из-москвы Ну, это уже из области фантастики. Тем более, что сейчас смартфонов без биометрической идентификации почти не осталось, коды, при входе в приложения мало кто вводит, по той же биометрии заходят.
В общем, для злоумышленника это должно быть такое стечение обстоятельств, что и заморачиваться никто не будет.

Сергей из Москвы

@vic039 Если бы не заморачивались, то не фиксировали бы более 1000 попыток каждый месяц https://www.group-ib.ru/media/teamviewer/

Alexander

@сергей-из-москвы Ну, без Тимвьювера я жить не хочу. Когда к маме на другой конец Москвы на сутки уезжаю, оттуда работаю на своем компьютере. В отпуске из Испании и Португалии с ним работал через ноутбук подруги, и даже с пляжа через смартфон счет в 1С выписал и отправил клиентам. Часто захожу в домашний компьютер со смартфона, когда в дороге. Я его никогда не выключаю уже 2 года.

Сергей из Москвы

@alexander У меня на всех ПК (рабочих и домашнем) тоже установлен, А вот на смартфон я все таки опасаюсь его ставить.

Alexander

@сергей-из-москвы Я его использую только для управления компьютером со смартфона. Чтобы наоборот, нужен отдельный модуль, я его в телефон не ставил.

Alexander

@сергей-из-москвы Кстати, TeamViewer в последнее время задолбал своими подозрениями на коммерческое использование. Буду на AnyDesk переходить.

Vic039

@alexander Я тимвьювером и прочими подобными не пользуюсь. Либо rdp, где это возможно, либо vnc, на худой конец.
Клиенты тимвьювероподобных запускаются только на компе, где нет ничего личного.

Vic039

@сергей-из-москвы Эта схема работает по другому - при звонке по телефону, типа работника банка, предлагают поставить, чтобы сделать все за вас. Рассчитана на совсем несведущих.

Сергей из Москвы

@vic039 Это только один из вариантов, а на самом деле этих вариантов могут быть тысячи. Да и вирусы с троянами никуда не исчезли.

Kamushek

@alexander мне в свое время AmyyAdmin посоветовали, мне он понравился.
С телефоном не дружил, и не знаю как оно, т.к. не было необходимости.
с TV заморочек слишком много, когда надо на компы родственников зайти.

TV тоже есть, но им практически не пользуюсь, т.к. пока не было сценариев, когда бы он понадобился, несмотря на неудобство по сравнению с АА.

Alexander

@kamushek:

с TV заморочек слишком много, когда надо на компы родственников зайти

Не понял. Каких заморочек?

Kamushek

@alexander код вводить каждый раз.
К тому же много отвлекающих факторов в интерфейсе, а нужна простота.

В Ами - все проще некуда, лишнего ничего нет.

Alexander

@kamushek Видимо, я не пользуюсь большинством функций TV, поэтому никаких заморочек. На компьютерах родственников он запускается автоматически и я подключаюсь по постоянному паролю, а не по разовым, которые нужно диктовать. А далее - никакого интерфейса не вижу, просто работаю за чужим компом, как за своим.

Когда подключаюсь к своему компьютеру с чужого, пользуюсь двумя кнопками интерфейса - "переключение мониторов", т.к. у меня их два, и "передача файлов", когда это нужно.

Kamushek

@alexander да, я понимаю, что к интерфейсу привыкаешь.

Сколько-то лет назад, когда в него заходил - там было меньше всего накручено и не так пестрило в глазах.
А когда он понадобился с года два назад и я его увидел снова, то удивился как там все замудрили.

Поэтому, в сравнении с ним АА показался совсем простейшим.
Чисто эмоциональное такое восприятие - с одним сразу все интуитивно понятно и кажется простым, а второй - сложным, что даже не хочется разбираться.

Если бы не было альтернативы, конечно такого не было и пришлось бы привыкать.

Причем на АА пару лет назад можно было его просто установить как службу и владелец компа даже не видел, что у него что-то есть такое, и не видел, что кто-то подключился. То есть он как бы есть, но его как бы и нет и никого не напрягает.

Потом сделали, что в любом случае выходит уведомление о подключении.

Vic039

Пользователь @kamushek написал в [Лайфхак №2] Как не отдать свои деньги мошенникам:

Потом сделали, что в любом случае выходит уведомление о подключении.

Потому что, за эту возможность скрытого подключения, большинство антивирусов стали его блокировать как вирус.

У АА, и его многочисленных клонов, один огромный недостаток - у них нет мобильного клиента.