Сегодня

Имя, сестра! Как мошенники воруют по SMS и при чем здесь Monobank

Имя, сестра! Как мошенники воруют по SMS и при чем здесь Monobank
Имя, сестра! Как мошенники воруют по SMS и при чем здесь Monobank
Фото - iStock/Global Images Ukraine Спам и новые случаи мошенничества с помощью SMS всплывают в инфополе каждые несколько месяцев. Украинцы давно привыкли пользоваться SMS-подтверждениями для входа в интернет-банкинги или другие онлайн-сервисы. На это и рассчитывают мошенники. От имени крупного бизнеса, например банка, они присылают SMS, в которых сообщают о выигрыше автомобиля, блокировке карты или задолженности перед налоговой. Срабатывает импульс: выиграть машину хочется, терять карточку или получить проблемы с фискалами - нет. Поэтому человек звонит по указанному номеру, переходит по вредоносной ссылке, загружает вирус, который считывает коды доступа к банкингу. Такая "социальная инженерия" чистит карманы не хуже обычных воров. Кто в таком случае несет больше ответственности: сам банк, мобильщики или получатель SMS? Оказалось, что все понемножку. LIGA.net поговорила с мобильными операторами и экспертами по телеком-рынку.

Проблемы, парень?

Недавно телеком-эксперт Роман Химич поднял тему SMS-мошенничества в очередной раз. Он решил хорошенько “потроллить” команду Monobank и лично Олега Гороховского за утверждение, что работающий только со смартфона банкинг - один из главных способов обеспечить безопасность клиентов и защиту от мошенничества. “Мы реализовали систему, в которой есть жесткая связка IMEI устройства, ID версии приложения, установленной у клиента, номера телефона и ПИНа, и если хоть один параметр не совпадает - это фрод. Такую связку практически невозможно взломать, и главное в ней - это, конечно же, IMEI, - говорит в своем посте Олег Гороховский. - Также мы нигде не просим вводить ПИН, а SMS-код клиент monobank вводит всего один раз, когда регистрируется в приложении”. У Романа Химича другой взгляд на ситуацию. “Проблема касается использования мобильного телефона как инструмента доступа к критическим IT-ресурсам, в частности - к банковским сервисам”, - считает он. Согласно его комментариям журналисту LIGA.net, на сегодняшний день, учитывая все возможные варианты угроз и рисков, наиболее надежным инструментом безопасности признаны физические ключи, использующие специализированные микросхемы. Никакая сугубо цифровая сущность, включая программы и пароли, не признается достаточно надежной. Дело в том, что ее можно клонировать или перехватить и, таким образом, скомпрометировать. “Любую цифровую услугу можно эмулировать или скопировать. Дело только в уровне сложности вопроса и его цены. Можно хакнуть даже суперзащищенные серверы спецслужб. Не говоря уже об услугах банков или операторов”, - поясняет Назар Грынык, основатель и директор агентства мобильного маркетинга LEAD9. Однако и у физических ключей много недостатков, связанных с их дороговизной, сложностью в обслуживании и применении. Роман Химич уверен: именно поэтому в свое время ПриватБанк сознательно пошел на упрощение процедур контроля за доступом. А снижение уровня защищенности имело целью агрессивное наращивание клиентской базы. Аутентификация с помощью SMS остается слабым местом, постоянным источником угроз. “Технологии мобильной связи позволяют любому проходимцу разослать SMS, которые будут содержать заветные буквы monobank в имени отправителя, и любой, буквально любой набор знаков в теле сообщения. Например, ссылку на фишинговый сайт. Или сразу троян, чтобы не возиться. И тогда в распоряжении злоумышленников окажутся и IMEI устройства, и ID версии приложения, и номера телефона и даже ПИН. Поскольку абсолютное большинство добрых граждан не в курсе этих дивных возможностей, они, не долго думая, и откроют и загрузят”, - пишет в своей публикации Химич. Эксперт добавляет, что единственный способ предотвратить такие проблемы - просить у операторов связи настроить соответствующим образом спам-фильтры. В частности, проверять источник поступления SMS, содержащих ключевые слова. Однако это требует договорных отношений с операторами и увеличивает издержки компаний, использующих технологии мобильной связи. В Monobank эти вопросы не прокомментировали.

Операторы: хочешь имя - докажи

Оказалось, что как минимум первичные фильтры у операторов есть. Для того чтобы отправлять SMS от так называемого альфанумерического имени (до 11 символов, которые получатель видит в поле “отправитель”. - Авт.), абонент должен обслуживаться на контрактной основе и подписать определенное соглашение. Например, в пресс-службе lifecell говорят, что для рассылки массовых сообщений бизнес-клиентам необходимо заключить с компанией коммерческий договор на услугу Массовые SMS. И предоставить регистрационные данные своей компании, что уже частично нивелирует анонимность. “После заключения договора, в котором прописаны штрафные санкции за спам, клиент указывает в договоре альфа-имя/альфа-имена, которые он будет использовать для рассылок. Соответственно, самостоятельно осуществлять рассылки с любого альфа-имени клиент не может без предварительной регистрации данного альфа-имени”, - отмечает пресс-служба оператора. А если абонент хочет использовать в качестве альфа-имени название известного бренда - например, тот же Monobank? В таком случае, говорят в lifecell, клиент обязан предоставить официальное свидетельство о регистрации данной торговой марки или разрешение от правообладателя ТМ на использование данного альфа-имени в качестве франшизы. “Также массовые рассылки однотипных рекламных сообщений (куда в основном попадают спам-рассылки мошенников) проходят премодерацию, где мы можем отфильтровать вероятную спам-рассылку. За содержание текста и ссылок в нем всецело несет ответственность отправитель данных сообщений”, - резюмирует пресс-служба. В Киевстар тоже говорят об ответственности отправителя: распространение вирусного контента влечет за собой приостановку сервиса или расторжение договора - если такие действия осуществляет SMS-агрегатор. Что касается настройки фильтров и отсечения вредоносного содержания, каждая ситуация требует отдельного рассмотрения, сообщает пресс-служба Киевстар. Например, в 2014 году различные телеком-рынки “столкнулись” с SMS-вирусом Photo_albom.apk, который распространялся путем загрузки абонентами вредоносной ссылки из текста SMS. Вирус поражал операционную систему смартфонов Android и “воспроизводился” путем рассылки по адресной базе контактов клиента. В этом случае была оперативно заблокирована возможность активации вирусных ссылок. “Для защиты осуществляется круглосуточный мониторинг работы информационных систем и показателей работы сети, задействованы SMS-антиспам фильтры, действуют жесткие нормы контроля за рассылкой SMS компаниями-партнерами”, - утверждают в Киевстар.

Мойте смартфоны перед едой

Хотя операторы отсекают кусок проблем, связанных с SMS-мошенничеством, терять бдительность не стоит. “SMS как услуга со стороны оператора не является ни защищенной, ни гарантированной, - утверждает Назар Грынык. - У оператора настроены спам-фильтры по определенным параметрам. Но, насколько мне известно, нет такой услуги, как отдельно что-то для кого-то донастраивать. И, зная операторов, сделать это будет довольно трудно”. Поэтому личная цифровая гигиена все еще № 1. А именно - внимательность и презумпция виновности. Например, в недавних случаях SMS якобы от Ощадбанка о блокировке карты или “предупреждения” от Государственной фискальной службы приходили даже не с альфа-имени, а с обычных номеров телефонов. Фальшивое имя было только в тексте сообщения. В Киевстар напомнили о простых мерах безопасности: никогда не открывать ссылки на незнакомые или подозрительные интернет-сайты, которые присылают в тексте SMS даже знакомые люди. И порекомендовали установить на смартфоны антивирусные программы. Назар Грынык добавляет: “Все можно подделать. Необходимо менять пароли, следить за сертификатами безопасности, антивирусами, апдейтами систем, подозрительными обращениями - и никому не доверять. Особенно если речь идет о деньгах”.

Метки: {keywords}

  • Распечатать

Ссылки на материал


html-cсылка:

BB-cсылка:

Прямая ссылка: