Мошенники умеют находить уязвимости в программном обеспечении банковских приложений, но упростить задачу проникновения в личный кабинет могут и сами пользователи. Руководитель группы исследований безопасности банковских систем Positive Technologies Максим Костиков в беседе с РИА Новости рассказал, как россиянам защитить свои деньги.
По его словам, в современном мире часто происходят утечки информации с данными банковских карт и персональными данными клиентов. Зная эту информацию, мошенники могут воспользоваться функционалом восстановления доступа к личному кабинету. Для этого обычно нужен лишь номер телефона и данные карты.
Если у злоумышленника есть возможность перехватить SMS, то он может изменить аутентификационные данные клиента и тем самым получить доступ к личному кабинету. Однако ему также для этого потребуется логин, пароль и данные карты, отметил Костиков.
Упростить злоумышленнику доступ к личному кабинету может тот факт, что логином для входа в мобильный банк является номер телефона. Также мошеннику гораздо проще проникнуть в личный кабинет, если для восстановления доступа необходим либо номер телефона и данные карты, либо информация, которая была получена из публичного доступа или возможных утечек.
Эксперт посоветовал не забывать о том, что злоумышленник может перехватить SMS, поэтому по возможности нужно использовать push-уведомления. Чтобы нивелировать эти угрозы кредитным организациям необходимо добавить дополнительный фактор аутентификации при восстановлении доступа — кодовое слово, генерировать произвольные имена пользователям и разрешать их менять, а также добавить функционал подтверждения переводов лишь по push-уведомлениям.
Ранее мошенники начали использовать ботов в мессенджере Telegram для обмана российских туристов. В частности, злоумышленники создают поддельные страницы сервисов по бронированию жилья и отелей, а также поиска попутчиков. Механизмы создания ботов позволяют по заданным параметрам разработать точную копию страницы сервиса с формой для оплаты услуг.
