Представитель компании ITSOFT объяснил в материале на “Хабре”, какие меры следует принять для предотвращения взломов аккаунтов клиентов банков.
Случаев мошенничества сейчас очень много. В то же время двухфакторная идентификация на самом деле является однофакторной, поскольку злоумышленники меняют номера телефонов клиентов и получают доступ к приложениями и личному кабинету банков.
При этом все схемы мошенничества сводятся к одному – “телефонному разводу”. Поэтому автор советует при звонке из банка, Госуслуг, службы безопасности, следственного комитета, прокуратуры, суда, полиции, ФСБ сразу повесить трубку, а лучше всего не отвечать на звонки с неизвестных номеров. Дело в том, что всю необходимую информацию банк отправит в текстовой форме, а органы проинформируют вас повесткой. Нельзя также верить всему, что приходит по СМС или передаётся во время разговора: номер легко подделывается.
Также эксперт призывает не открывать письма с загрузкой всего контента, не смотреть прикреплённые файлы, если вам не обещали их прислать, не переходить по подозрительным ссылкам в письме, соцсетях, СМС, на сайте, отказаться от установки ненужного ПО.
Если ряд инструментов для входа в аккаунт. Среди них автор называет логин, пароль, кодовое слово, таблицу одноразовых паролей, данные о последней операции, персональные данные и пр. Сложнее всего получить доступ к аппаратному генератору кодов (им можно завладеть лишь физически), статическому IP (узнать можно только с помощью взлома Wi-Fi, но для этого нужно приблизиться к дому; с VPN при входе в аккаунт банка взлом будет бесполезен).
Порядок аутентификации – один из алгоритмов защиты. По мнению специалиста, злоумышленники проникают в систему из-за того, что аутентификация однофакторная. Банки должны применять многофакторную, причём ключи доступа должны быть независимыми. Сейчас же для этого достаточно сим-карты или персональных данных клиента. Из-за этого мошенники могут с лёгкостью изменить номер телефона клиента, установить приложение и украсть деньги.
Государство, как считает эксперт, должно взять под контроль call-центры злоумышленников. Суды также должны разбираться с ситуациями, когда мошенники смогли оформить кредит по поддельным документам, а банк это упустил.
Банкам необходимо ввести множество вариантов аутентификации клиента, а также подтверждения платежа, создать независимые ключи доступа, ввести запрет на удалённую замену номера телефона или на авторизацию перевыпущенной симки, отправлять уведомления не только по СМС, но и по электронной почте, ввести HTTP-уведомления.
Клиентам же специалист предлагает прослушать несколько вариантов звонков мошенников на YouTube, не брать трубку при звонке, создать для каждого банка отдельный секретный номер, завести для каждого банка свой e-mail, переслать ссылку на данную статью банкам и попросить ввести новые методы защиты, а также запретить смену номера удалённо и авторизацию новой сим-карты, не устанавливать ненужные ПО и игры на смартфон или компьютер, не открывать непонятные ссылки и файлы, не предоставлять доступ к контактам приложениям, написать депутатам с просьбой ввести закон, который будет обязывать банки по требованию клиента использовать аппаратный токен и запрет на дистанционное изменение номера телефона.
Источник: Ferra