Мобильный банк, т.е. тот который у вас в смартфоне.
Я им не пользуюсь, он у меня отключён. Потому что я считал и считаю это ересью от ИБ. Ведь в чём смысл ОТР? В том что операции в банке и получение ОТР производятся разными устройствами, если одно скомпрометировано, то другое нет и злоумышленник либо не сможет вывести средства и ему придётся прибегать к социальной инженерии, звоня с попытками выманить или заставить ввести ОТР*. Или компрометировать оба устройства, а уже не так просто и логичней использовать для целевой атаки на конкретного человека. В случае же смартфона у вас и приложение банка и ОТР на одном устройстве. Подцепите "правильного" трояна (они есть для Android) и привет горячий деньгам. Случаи были, немного, но были. Я ими не занимался, подробностей не знаю. В общем, решать вам. Как вариант обезопаситься можно предложить для мобильного банка иметь отдельный смартфон или симку для получения смс с ОТР воткнуть в какой-нибудь тупой кнопочный телефон (снова здравствуй, Nokia 3310). Ну или хотя бы антивирус поставьте. Я не утверждаю мобильный банк это очень опасно, но привыкайте риски минимизировать, хакерская мысль не стоит на месте, и многое из того что происходит сейчас раньше было очевидно далеко не всем, например, первые иногда инет-банки внедрялись без ОТР, потом с ОТР, но без проверки IMSI и т.д.
*есть одна разновидность трояна семейства Carberp, которая подменяла платёжные реквизиты незаметно для пользователя и деньги вместо Иванова улетали Петрову. Но в смс от банка указываются реквизиты реальные, так что внимательно читайте что банк прислал вместе с ОТР! Но эта разновидность использовалась преимущественно для вывода средств со счетов организаций да и конструировать такого трояна надо под конкретный инет-банк.
Снова отмечу как снимать средства без звонков- по схеме компрометации устройства с мобильным банком, одновременно являющемся средством получения ОТР.
Социальная инженерия.
Это набор техник манипуляций чтоб заставить вас сделать то что нужно мошенникам. Полагаю, все знают что это такое. Если нет- лучше уж сходите в Википедию, там подробно изложено.
Очень широкая область, постоянно пополняемая новыми приёмами. Сначала это "мама, я сбил человека", потом "мне для перевода вам денег за товар нужны ваша одежда и мотоцикл номер карты, срок её действия и цифры с оборотной стороны карты", потом "это СБ банка, на ваш счёт идёт атака, для отмены операций скажите коды, которые будут приходить на ваш телефон" и так далее, несть им числа. Потому нет смысла описывать их все, а вот некоторые правила запомнить стоит, благо они в том или ином виде есть у них на сайте.
0. Всегда быть готовым что вам могут позвонить с "разводом". На той стороне работают или грамотные специалисты или обычные люди, но по скрипту, составленному грамотными специалистами. Времени на подготовку и обкатку у них много, там всё отточено. Просто будьте готовы к этому как готовы не переходить улицу на красный свет.
1. Вы доверили деньги банку. Без вашего распоряжения в соответствии с ГК и Законом о банковской деятельности банк не может совершить перевод средств. Вашим распоряжением явлются собственноручно подписанное платёжное поручение; операция с помощью банковской карты, подтверждённая известным только вам пин-кодом (напомню- банк пин-кода не знает); электронное платёжное поручение (операция через инет-банк и мобильный банк), подписанное аналогом собственноручной подписи, в данном случае ОТР (не будем углубляться в законы, надеюсь, мне и так поверят).
2. Банк, вопреки утверждениям в инете, иногда всё же звонит клиенту. В банках (не распишусь за все, но за крупные вполне) есть фрод-мониторинг, который отслеживает нехарактерные для конкретного клиента операции и при подозрении на мошенничество клиенту таки звонит. Подразделение в разных банках относится к разным службам, где к СБ, где-то к ИТ, где-то к операционой службе, в общем момент чисто организационный и ни на что не влияет. Надо понимать и принять что хоть фрод-мониторинг может очень многое, но он не может распознать всё. Через крупный банк проходят тысячи транзакций в секунду, автоматика, сколь ни будь продуманы её алгоритмы (хотя они постоянно дополняются на примерах реальных мошенничеств), не может распознать всё, мошенник хитёр ведь он с этого кормится, это его хлеб и его жизнь. Ну а то что попадает на разбор оператору (а вот там они в отличие от колл-центров вполне грамотны) отбивается 99%. Уж поверьте человеку, принимавшему участие в основании такого подразделения.
3. Банк никогда не спрашивает при исходящем от него звонке ваше кодовое слово. Оператор, как правило (опять же за всех не распишусь) его не знает, да банку при исходящем и по правилам это ему не надо.
4. Банк никогда не спрашивает любые реквизиты карты, ему не надо, банк их знает.
6. Банк никогда не просит называть какие-либо коды из смс.
7. Банк никогда не оперирует пониями "на ваш счёт идёт атака и вам надо...". Во-первых это чушь собачья, а во-вторых атака это личная половая драма банка (см. п. 1).
8. Если вы не понимаете что происходит, понимаете что не понимаете что происходит, при любых подозрениях и дискомфорте- сообщите что вы ничего никуда ничего не переводили* и прервите звонок. И звоните в банк. И вообще если банк от вас что-то просит сообщить- прервите разговор. Банк может только спросить вы ли делали операцию, не более того.
8. Не ведитесь на номер. В современности номер звонящего можно подставить любой.
*когда я поймал у потерпевшего один из первых "штаммов" трояна Carberp, я специально заразил им тестовый комп и зашёл с этого компа в свой инет-банк. Буквально через минуты 3-4 мне позвонили (тогда ещё телефонные номера клиентов в инет-банке не маскИровались и мошенники легко их вычисляли), как обычно попытались развести, на что, поваландав им мозги, я ответил "молодой человек, пока вы это учили- я это преподавал". Меня матюгнули и отлючились.
Ну и советы общего плана.
Старайтесь не использовать номер телефона, который зарегистрирован для инет-банка, для всяких курьеров, инет-магазинов и прочей нечисти, откуда он может уплыть. Благо сейчас почти в каждом телефоне по две симки можно использовать. Т.е. есть номер, известный вам, друзям/родственникам/банку и номер для всего остального. Важно- симка для банка должна быть зарегистрирована на вас, а не на брата/свата/хренпоймикого. Во-первых, случись чего (тьфу-тьфу-тьфу) разбираться будет легче. Во-вторых, единая система проверки данных абонентов (ЕИС ПСА), т.е. банк запрашивает ОПСОСа "этот номер принадлежит А?"- а в ответ "нет" и инет-банк вам заблокируют и потребуют актуализировать данные. Пока не внедрено, но будет.
Сменили паспорт или место регистрации- сразу актуализируйте данные в банках и ОПСОСах. Позволит избежать возможных недоразумений (вообще вы обязаны это делать по ДКБО и договору с ОПСОСом). Периодически заходите в офис своего ОПСОСа и узнавайте какие номера на вас зарегистрированы. Появятся "левые" номера- немедленно закрывайте, заявление вам распечатают прям там и номера отключат. Ибо кем и для чего они используются неизвестно, а если криминал то придут к вам. Оно вам надо?
Занесите номер банка в телефонную книгу телефона, чтоб он всегда был под рукой. Вдруг потеряете карту, а номер-то на ней! А так вы как только обнаружите пропажу сможете позвонить и её заблокировать. Для этого вам потребуется пройти идентификацию, а для этого нужно кодовое слово, так что обязательно помните его. И не надо, как советуют банки, использовать девичью фамилию матери, нынче узнать её совсем не сложно. Пусть это будет лично для вас что-то запоминающееся, что вы точно не забудете (название первого пионерлагеря, название на латыни любимого растения, бренд одежды или кофе, название крейсера, имя меча короля Артура или самурая, включите уже фантазию). Лайфхак- если вы всё же не помните кодовое слово, то позвоните в банк с номера, незарегистрированного в банке (и вот тут вам поможет вторая симка для "мусорных" звонков) и скажите что вы нашли карту с таким-то номером (а имя держателя, то есть своё, вы знаете), банк её заблокирует.
Поскольку я уже посоветовал никогда никому не сообщать пин-код от карты, то будьте последовательны- если вы зарегистрировали в смартфоне с NFC свою карту или привязали её к сервису, то никогда не давайте в бесконтрольное пользование этот смартфон. Ярко запомнился случай когда шестилетнему ребёнку папа дал смартфон поиграться, а тот накупил игр. Или дама из очень северного города зарегила карту на смартфоне двенадцатилетнего сына, а пока она была в командировке тот на дофига денег накормил класс в Бургер-кинге (ну хоть не алкашка или ещё чего похуже).
Если есть возможность включите в телефоне антиспам (есть не во всех) и/или купите услугу антиспам у ОПСОСа (у моего стоит 1 рубль в сутки). Это реально помогает и отсеет часть звонков не только спама, но и мошенников, по крайней мере у меня уже месяца три спама нет. Ставить можно и приложения типа TrueCaller, но будьте готовы к тому что они потребуют доступ к телефонной книге и истории звонков и все контакты сольют к себе на сервер (в облако, как нынче модно). Да, и ваши и всех кто у вас есть в телефонной книге.
Да, многое из рекомендуемого мной требует денежных затрат или каких-то неудобств. Но за безопасность надо или платить или расплачиваться. Выбор за вами.
Если что вспомню- дополню.
Тема: Личный опыт и рекомендации на его основе (Прочитано 9618 раз)