Вернуться к старой версии портала ПЕРЕЙТИ
Оставить отзыв
  1. Новости
Заметки пользователей
27.04.2021 09:50
PDF
410
31

Какие способы используют мошенники для кражи данных в онлайн-банках

Мало кто задумывается о том, насколько же сильно мы упрощаем мошенникам доступ в различные аккаунты. В наше время все чаще стали происходить кражи банковских данных клиентов. О том, какие способы используют мошенники для кражи данных в онлайн-банках, рассказал руководитель группы исследований безопасности банковских систем Positive Technologies Максим Костиков.

Для того, чтобы разблокировать доступ к личному кабинету, важно получить информацию о логине, пароле, данные карты и номер телефона. Взломщики перехватывают смс, которое приходит на телефон, после чего меняют аутентификационные данные жертвы. 

Какие способы используют мошенники для кражи данных в онлайн-банках

Первая ошибка, которую допускают клиенты банков - использование номера в качестве логина для входа в мобильный банк. Мошенникам будет гораздо легче добраться до ваших данных, если для восстановления доступа нужны только номер телефона, данные вашей карточки или общедоступные данные из социальных сетей. 

Второй ошибкой является использование SMS-уведомлений вместо push. Отказ от SMS-уведомлений убережет ваши данные, потому что перехватить SMS гораздо легче. 

"К сожалению, сейчас часто происходят утечки банковской информации с данными карт и персональными данными клиентов. Зная эту информацию, злоумышленник может воспользоваться функционалом восстановления доступа к личному кабинету. Сейчас обычно для этого требуется номер телефона и карточные данные", - говорит руководитель группы исследований безопасности банковских систем Positive Technologies Максим Костиков.

31 комментариев
azhur
azhur
Цитата

Второй ошибкой является использование SMS-уведомлений вместо push. Отказ от SMS-уведомлений убережет ваши данные, потому что перехватить SMS гораздо легче.

Затроянить смартфон гораздо легче, нет?

fhunter
fhunter
1 час назад, azhur сказал:

Затроянить смартфон гораздо легче, нет?

Так оба варианта паршивы. А токен банки почему-то не дают для авторизации.

fhunter
fhunter
PS. Какой банк заказал эту фигню? СМС-уведомления стоят банкам денег и подпадают под закон о рекламе. А вот push бесплатны и не подпадают. Выводы делайте сами. Но с СМС - мозг целее, и ходят они везде, а не только там, где есть интернет.
Sergey Gilfanov
Sergey Gilfanov
7 часов назад, fhunter сказал:

PS. Какой банк заказал эту фигню? СМС-уведомления стоят банкам денег и подпадают под закон о рекламе. А вот push бесплатны и не подпадают. Выводы делайте сами. Но с СМС - мозг целее, и ходят они везде, а не только там, где есть интернет.

(вспоминая свою любимую мозоль)

А генераторы/списки одноразовых кодов работают даже там, где интернета нет. Только непонятно, как именно человек в личный кабинет (а именно это самый частый сценарий использования такого кода) при этом попал.

Ошибка заключается вообще в том, что банк одноразовый код куда-то посылает.

 

9 часов назад, azhur сказал:

Затроянить смартфон гораздо легче, нет?

Если смарт специально для работы с банком предназначен и просто так для хождения по интернету не используется - то, я думаю, не легче.

st_re
st_re
16 минут назад, Sergey Gilfanov сказал:

Если смарт специально для работы с банком предназначен и просто так для хождения по интернету не используется - то, я думаю, не легче.

7 миллиардов жителей нашей планеты Вас не поняли :)

 



Взломщики перехватывают смс, которое приходит на телефон, после чего меняют аутентификационные данные жертвы

Статья про какой то вакум в коне.. если взломщик перехватывает СМС, то почему он же не перезватывает пуш ?

Sergey Gilfanov
Sergey Gilfanov
1 минуту назад, st_re сказал:

7 миллиардов жителей нашей планеты Вас не поняли :)

Да ладно. Старые вполне брендовые смарты можно найти даже даром. Берем такой, полностью обнуляем, ставим банк-клиент на него и в дальнейшем только этот банк-клиент на этом смарте и запускаем. Когда не пользуемся - выключаем.

st_re
st_re

они вообще вашу мысль не поняли... совсем.. и не будут они искать и тем более таскать с собой второй телефон...(а дальше третий - пятый-десятый.. по 1 на каждый банк которых 2 будет запросто, и на всякие личные кабинеты. а еще и на работу.. и еще кудато, и отдельно на чатики.. ага. ща.. всё будет в одном телефоне. включая сёрф по интернету)

Sergey Gilfanov
Sergey Gilfanov
4 часа назад, st_re сказал:

Статья про какой то вакум в коне.. если взломщик перехватывает СМС, то почему он же не перезватывает пуш ?

Потому что товарищ забыл сказать, что СМС должно приходить на другой телефон, не тот, где банк-клиент стоит. Хотя в общем разницы никакой. Если у тебя зловред в телефоне стоит из за

4 часа назад, st_re сказал:

всё будет в одном телефоне. включая сёрф по интернету)

то зловред может и с самим банк-клиентом что-нибудь нехорошее сделать, чтобы деньги увести.

st_re
st_re
10 минут назад, Sergey Gilfanov сказал:

то зловред может и с самим банк-клиентом что-нибудь нехорошее сделать, чтобы деньги увести.

Живого примера я видел.. давно правда, Вот у человека прямо с банк клиента в телефоне и получая СМС на него же деньги прямо на глазах и увели.. (давно было, сейчас кажется СМС получить затруднительно.. хотя если сломали, то и рутануть можно.)

насколько я помню он както успел позвонить в банк и стопнуть переводы..

зы, и я не вижу разницы в таком раскладе с пуш уведомлениями ну вот совсем.. тем более что СМС на другой телефн я еще представить могу, а вот пуш со 100% вероятностью пойдут на тот же.. в общем отжать телефон и переводи себе. многие из банк клиентов и не выходят, и не все банк клиенты при вызове ранее запущенного приложения переспрашивают пароль. а уж пуш уведомления показывают без пароля все. Себе то я банк клиент заблочил отдельным заявлением, к лешему.. но многим нравится, удобно же..