IT новости – информационный портал DS1030.ru

Фото © Shutterstock Inc

Специалисты по информационной безопасности заявили, что в России больше половины банковских веб-сервисов содержат уязвимости, через которые можно украсть деньги пользователей. Лайф пообщался с экспертами по кибербезопасности и вместе с ними сформулировал несколько советов, которые помогут защитить деньги от хакеров.

Издание "Коммерсант", ссылаясь на исследование специалистов по кибербезопасности, пишет, что в 54% веб-сервисов российских банков есть уязвимости, которые могут способствовать хищению денег. В 61% банков специалисты выявили просто низкий уровень защищённости. А в 100% случаев хакеры могут похитить пользовательские данные, например номер карты. Так, один из авторов исследования рассказал изданию, что в 77% банков важные операции не требуют подтверждения посредством ввода кода из SMS. Важно отметить, что речь идёт не о банковских мобильных приложениях, а об их веб-версиях, которые открываются в браузере.

Ранее в этом году ФинЦЕРТ ЦБ (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере) сообщил, что в 2018 году хакеры совершили более шести тысяч покушений на счета банковских клиентов и украли 1,47 млрд рублей. Почти в половине случаев злоумышленники использовали уязвимости личных онлайн-кабинетов, так называемых сервисов дистанционного банковского обслуживания (ДБО).

Статистика, вне всякого сомнения, страшная, и, кажется, впору отказаться от банковских сайтов. Но не стоит поддаваться панике. Лайф пообщался с рядом экспертов по информационной безопасности и сформулировал несколько советов, следуя которым пользователи могут защитить свои деньги от хакеров.

Банковскими онлайн-сервисами стоит пользоваться реже

А если и пользоваться, то исключительно для проверки состояния транзакций, а не для их совершения.

Фото © Pexels

— Да, в современном мире это выглядит как ретроградство, но именно так поступают специалисты по информационной безопасности, — говорит Рустэм Хайретдинов, генеральный директор компании Attack Killer, занимающейся разработкой и внедрением систем управления комплексной защиты веб-ресурсов.

Не лишним будет установить ограничения на транзакции по цифровым каналам

Либо в настройках кабинета, либо при помощи представителя банка можно установить суточный лимит на электронные платежи.

Фото © Pexels

Либо можно попросить банк высылать оповещения при превышении лимита. Тогда вы, во-первых, обратите внимание на подозрительную активность. Во-вторых, сможете оперативно заблокировать счёт в экстренной ситуации.

Для частых покупок в Интернете или онлайн-переводов нужна отдельная карта

И не стоит держать на ней много денег. Лучше зачислять на карту строго необходимую для операции сумму.

Фото © Pexels

— Идеально для этого подойдёт виртуальная карта, так как её ещё и физически невозможно украсть, — говорит специалист Atack Killer.

Не используйте банковские веб-сервисы, подключившись к публичной точке Wi-Fi

Помните, что Wi-Fi в общественных местах любите не только вы, но и злоумышленники.

Фото © РИА Новости/Александр Уткин

Ведущий аналитик департамента аудита и консалтинга Group-IB Вячеслав Васин отмечает, что злоумышленники могут попытаться вас обмануть и выспросить критичные данные вроде CVV-кода карты, представившись сотрудником банка.

— Чтобы номер телефона мошенников совпадал с реальным номером колл-центра банка, они используют специальные сервисы IP-телефонии с возможностью подмены номера либо просто маскируют его. Например, вместо нулей — 000 — используют буквенную комбинацию: ООО, — поясняет Васин.

Используйте для транзакций и получения кода подтверждения по SMS разные гаджеты

Например, компьютер — для первого, а смартфон — для второго. Так даже перехваченный код использовать сложнее.

Фото © Pexels

Антивирусы лишними не будут, однако банковские сервисы они не защитят.

— Антивирусы защищают от атак на точку доступа. На компьютере или смартфоне они предотвращают, например, кражу паролей. Но они не защищают канал связи, по которому банковское приложение "общается" с сервером, — рассказывает Хайретдинов.

Консультант по интернет-безопасности компании Cisco Алексей Лукацкий согласен с коллегой, однако отмечает, что в любом антивирусе должно быть непременно включено автообновление.

Нужно ставить банк в известность при выезде из страны

Можно попросить банк отменять транзакции, которые ведутся не из той страны, в которую поехал клиент.

Фото © РИА Новости/Алексей Сухоруков

Непрофессионал не сможет точно определить хакерскую атаку. Но есть ряд признаков, которые должны насторожить пользователя. Нужно следить за поведением браузера во время работы с банком. Пользователь должен насторожиться, если вдруг перезагрузилась страница или сервис не принял с первого раза пароль даже с автозаполнения.

— Любая аномалия должна насторожить. Если вы её заметили, нужно выполнить операцию с другого устройства. Например, сменить мобильное приложение на онлайн-кабинет на компьютере, — предупреждает эксперт компании Attack Killer.

— В первую очередь пользователей должны настораживать сообщения об ошибках в сертификате безопасности. Для веб-версии это также является актуальным, — настаивает специалист Group-IB.

Можно создать "белый" список счетов

В таком случае переводы будут работать только с проверенными и доверенными счетами.

Фото © Pixabay

— Однако так никто не делает, поскольку это совершенно неудобно, — говорит Лукацкий.

Регулярная смена паролей тоже не будет лишней

Главное, нужно запоминать пароли, а не записывать их на бумаге и не хранить в цифровом виде.

Фото © Pixabay

— Однако от атак на серверные приложения вроде банковских этот метод практически не спасает, поскольку хакеры используют уязвимость, которая позволяет игнорировать авторизацию, — поясняет Рустэм Хайретдинов. Специалист Cisco придерживается другой позиции. Он считает, что смена пароля один раз в квартал существенно повышает уровень защиты онлайн-кабинета.

— Главное, чтобы эта смена не заключалась в добавлении или изменении одной цифры в конце предыдущего пароля, — замечает спикер компании Cisco.

Он также добавил, все эти предостережения не означают, что нужно забыть про онлайн-банкинг. Дескать, есть ряд сервисов и рекомендаций, которые делают работу с банковскими сервисами в вебе более безопасной. Например, Лукацкий рекомендует использовать OpenDNS, который защищает устройства от вредоносных программ даже без установки на компьютер или смартфон. Лукацкий рекомендует выбрать браузеры Chrome или Firefox, поскольку у них есть встроенные инструменты от фишинга.

— Ну и, конечно, следует регулярно обновлять операционную систему и приложения на своём устройстве, не открывать доступ к устройству посторонним, например посредством Wi-Fi или Bluetooth, не устанавливать приложения из недоверенных источников, а также не давать приложениям расширенных прав на вашем устройстве, — заключил эксперт.