Мало кто задумывается о том, насколько же сильно мы упрощаем мошенникам доступ в различные аккаунты. В наше время все чаще стали происходить кражи банковских данных клиентов. О том, какие способы используют мошенники для кражи данных в онлайн-банках, рассказал руководитель группы исследований безопасности банковских систем Positive Technologies Максим Костиков.
Для того, чтобы разблокировать доступ к личному кабинету, важно получить информацию о логине, пароле, данные карты и номер телефона. Взломщики перехватывают смс, которое приходит на телефон, после чего меняют аутентификационные данные жертвы.
Первая ошибка, которую допускают клиенты банков - использование номера в качестве логина для входа в мобильный банк. Мошенникам будет гораздо легче добраться до ваших данных, если для восстановления доступа нужны только номер телефона, данные вашей карточки или общедоступные данные из социальных сетей.
Второй ошибкой является использование SMS-уведомлений вместо push. Отказ от SMS-уведомлений убережет ваши данные, потому что перехватить SMS гораздо легче.
"К сожалению, сейчас часто происходят утечки банковской информации с данными карт и персональными данными клиентов. Зная эту информацию, злоумышленник может воспользоваться функционалом восстановления доступа к личному кабинету. Сейчас обычно для этого требуется номер телефона и карточные данные", - говорит руководитель группы исследований безопасности банковских систем Positive Technologies Максим Костиков.
Затроянить смартфон гораздо легче, нет?
Так оба варианта паршивы. А токен банки почему-то не дают для авторизации.
(вспоминая свою любимую мозоль)
А генераторы/списки одноразовых кодов работают даже там, где интернета нет. Только непонятно, как именно человек в личный кабинет (а именно это самый частый сценарий использования такого кода) при этом попал.
Ошибка заключается вообще в том, что банк одноразовый код куда-то посылает.
Если смарт специально для работы с банком предназначен и просто так для хождения по интернету не используется - то, я думаю, не легче.
7 миллиардов жителей нашей планеты Вас не поняли :)
Статья про какой то вакум в коне.. если взломщик перехватывает СМС, то почему он же не перезватывает пуш ?
Да ладно. Старые вполне брендовые смарты можно найти даже даром. Берем такой, полностью обнуляем, ставим банк-клиент на него и в дальнейшем только этот банк-клиент на этом смарте и запускаем. Когда не пользуемся - выключаем.
они вообще вашу мысль не поняли... совсем.. и не будут они искать и тем более таскать с собой второй телефон...(а дальше третий - пятый-десятый.. по 1 на каждый банк которых 2 будет запросто, и на всякие личные кабинеты. а еще и на работу.. и еще кудато, и отдельно на чатики.. ага. ща.. всё будет в одном телефоне. включая сёрф по интернету)
Потому что товарищ забыл сказать, что СМС должно приходить на другой телефон, не тот, где банк-клиент стоит. Хотя в общем разницы никакой. Если у тебя зловред в телефоне стоит из за
то зловред может и с самим банк-клиентом что-нибудь нехорошее сделать, чтобы деньги увести.
Живого примера я видел.. давно правда, Вот у человека прямо с банк клиента в телефоне и получая СМС на него же деньги прямо на глазах и увели.. (давно было, сейчас кажется СМС получить затруднительно.. хотя если сломали, то и рутануть можно.)
насколько я помню он както успел позвонить в банк и стопнуть переводы..
зы, и я не вижу разницы в таком раскладе с пуш уведомлениями ну вот совсем.. тем более что СМС на другой телефн я еще представить могу, а вот пуш со 100% вероятностью пойдут на тот же.. в общем отжать телефон и переводи себе. многие из банк клиентов и не выходят, и не все банк клиенты при вызове ранее запущенного приложения переспрашивают пароль. а уж пуш уведомления показывают без пароля все. Себе то я банк клиент заблочил отдельным заявлением, к лешему.. но многим нравится, удобно же..