bit.ly/meduzamirror. Запомните эту строчку. Так вы сможете читать «Медузу» из России без VPN
Я хочу поддержать «Медузу»
разбор

Сомневаетесь, что ваше банковское приложение надежно защищено от взломов? Правильно делаете! Советы «Медузы» для самых тревожных

Источник: Meduza

С каждым годом дистанционное использование банковских услуг становится все удобнее. Войти в систему можно не только по отдельному логину, но и по номеру телефона или номеру карты. Чтобы воспользоваться своими деньгами, достаточно разблокировать телефон отпечатком пальца или лицом. Но, возможно, стоит отказаться от удобства ради повышения безопасности своих инвестиций и сбережений. Одного надежного пароля и двухфакторной аутентификации может быть недостаточно. Особенно если вы опасаетесь целенаправленной атаки мошенников или носите телефон в кармане, рискуя потерять его в любой момент.

Главные советы — максимально коротко. Откажитесь от использования мобильного банка в пользу интернет-банка. Используйте выделенное устройство для доступа в личный кабинет, защищенное соединение и операционную систему.

Удалите банковское приложение с телефона

Сейчас почти все банки предлагают клиентам управлять своими счетами с помощью интернет-банкинга и мобильного банкинга. В первом случае клиент заходит в личный кабинет в браузере на компьютере или в телефоне, а во втором — открывает мобильное приложение банка.

Некоторые эксперты по информационной безопасности по умолчанию считают мобильный банкинг более надежным, так как современные телефоны обычно гораздо лучше защищены, чем ноутбуки и стационарные компьютеры: все пользовательские данные шифруются, используются встроенные криптографические чипы и так далее.

На практике же именно потеря или кража телефона по разным причинам нередко оборачивается потерей средств на банковских счетах. Так, установленное без должной осмотрительности приложение может содержать вредоносный код для кражи банковских данных.

Защитите свой интернет-банк

Пользуйтесь VPN

Особенно если подключаетесь к публичному Wi-Fi, чтобы войти в личный кабинет. Так вы защититесь от перехвата логинов и паролей. Лучше не выбирать бесплатные сервисы — с ними риск утечки ваших данных только увеличится.

В качестве альтернативы можете установить себе Tor-браузер, если ваш банк позволяет подключиться к личному кабинету из этой анонимной сети.

Купите отдельный компьютер

И используйте его только для входа в интернет-банк. Так вы снизите риск случайной установки вредоносных программ. Только не забывайте устанавливать обновления безопасности.

Можно просто купить любой старый компьютер — достаточно, чтобы он умел запускать современный браузер. А можно заморочиться и заказать специальные ноутбуки с USB-токенами, способные предупредить об очень сложных атаках, когда злоумышленник незаметно для вас получил доступ к ноутбуку.

А лучше научитесь пользоваться Tails

Это такая операционная система, которая загружается с флешки или DVD-диска и не мешает основной установленной операционной системе — будь то Windows, MacOS или один из дистрибутивов Linux. Tails стремится гарантировать пользователю максимальную приватность и безопасность. По умолчанию все программы в ней подключаются только через анонимную сеть Tor.

Если не подключать и не настраивать «постоянное хранилище» (persistent storage), то Tails не позволит устанавливать дополнительные программы (в том числе потенциально вредоносные) и не будет сохранять никакие пользовательские данные. Ваши логины и пароли не достанутся злоумышленнику, даже если вы потеряете флешку с Tails.

Постарайтесь не использовать СМС для входа в личный кабинет

Это крайне ненадежный способ дополнительной аутентификации: СМС можно перехватить даже без кражи вашего телефона или перевыпуска сим-карты. К сожалению, отказаться от них очень трудно: почти ни один российский банк не предлагает современную двухфакторную аутентификацию — когда в качестве второго фактора используется генератор одноразовых кодов в виде брелока или специальные USB-токены (последние можно использовать и для защиты своего аккаунта в Google или GitHub).

Еще один вариант — просто кубики!

Боитесь забыть сложный пароль? Или потерять токен? Вам помогут «игральные» кости для двухфакторной аутентификации (да-да, самые настоящие кости!) 🎲 ➡️ 🔑

Попробуйте вообще максимально ограничить использование мобильного телефона

Телефонный номер часто можно использовать вместо логина для входа в личный кабинет — это удобно не только для клиентов, но и для злоумышленников. Мошенники, специализирующиеся на «социальной инженерии», по телефонному номеру иногда могут узнать, где открыла счет их жертва, представиться сотрудниками банка и убедить человека перевести им деньги. Если каким-то образом злоумышленникам удастся сделать новую сим-карту, привязанную к вашему номеру, то они получат доступ и к вашим новым банковским СМС (а вы потеряете).

В идеале стоит отказаться от мобильного вовсе и даже не указывать номер при заключении договора, чтобы его нельзя было использовать как логин для входа в интернет-банк или в качестве второго фактора двухфакторной аутентификации. Так вы существенно сократите так называемую «поверхность атаки» — количество потенциально уязвимых мест, которые может использовать злоумышленник для доступа к вашим счетам.

Вот что можно сделать, если совсем отказаться от телефона не получается

Заведите новую сим-карту

Тогда у вас будет два номера: один для повседневного общения, а второй — для банковских операций. Так мошенникам будет гораздо сложнее узнать ваш финансовый номер телефона. Его не будет в адресных книгах ваших знакомых, друзей, интернет-магазинов и прочих организаций. В идеальной ситуации о вашем телефонном номере будут знать только ваш оператор связи и банк (ну и спецслужбы, куда без них).

Купите отдельный телефон

Вставьте туда новую сим-карту для банка и не используйте ее в повседневной жизни. Второй телефон позволит вам оперативно узнать о блокировке сим-карты — если злоумышленники смогут каким-то образом провернуть эту операцию и попытаться сделать ее дубликат — и обратиться в банк. Носить его все время с собой или оставить дома — решать вам. В первом случае рискуете его потерять, а во втором — слишком поздно узнать о блокировке сим-карты финансового номера телефона.

Не дайте украсть ваш телефонный номер — защитите учетную запись на «Госуслугах»

Один из читателей «Медузы» столкнулся с тем, что злоумышленники с помощью «Госуслуг» оформили получение электронной сим-карты (eSIM) с его номером. Чтобы этого не произошло, используйте надежный, уникальный пароль и хотя бы включите подтверждение входа по СМС. Лучший вариант — приобретите усиленную квалифицированную электронную подпись (в виде USB-брелока или смарт-карты) и используйте ее для входа на «Госуслуги».

Если вы используете одну и ту же связку почты и пароля для входа на самые разные интернет-сервисы, то ваша учетная запись запись на «Госуслугах» может стать легкой добычей мошенников. Им достаточно будет найти эту связку в обширных базах всевозможных «утечек».

Доступ к вашей учетной записи на «Госуслугах» позволит злоумышленнику инициировать получение виртуальной сим-карты (eSIM) с вашим номером. В результате ваша реальная сим-карта просто перестанет работать, а злоумышленник вместо вас будет получать верификационные СМС-сообщения от банка. Именно это произошло осенью с одним из читателей «Медузы».

Даже если мошенник не сумеет войти в ваш личный кабинет, то может попытаться оформить на вас микрокредиты.

Отключите биометрическую разблокировку телефона

Даже если сейчас технологии не позволяют взломать ваш телефон, сымитировав отпечаток пальца или образ вашего лица, нет гарантии, что так будет всегда. Если вдруг «утечет» ваш пароль, его можно поменять, с биометрией так не сработает. ПИН-код (на айфонах он называется пасс-кодом) куда надежнее, особенно если включить блокировку доступа после нескольких неудачных попыток входа.

Запретите показ уведомлений на заблокированном экране телефона

В противном случае мошенникам не нужно будет даже тратить время и силы на взлом вашего телефона. Они увидят присланные банком одноразовые пароли прямо на заблокированном экране.

Установите ПИН-код на сим-карту

Иначе злоумышленнику достаточно будет переставить вашу симку в свой телефон, чтобы перехватить СМС от банка. Более того, некоторые банки даже позволяют совершать операции по переводу денег через отправку СМС-команд.

Не забудьте удалить мобильное приложение с телефона и отключить мобильный банк

Так вы защититесь от потенциальных уязвимостей в банковском приложении — злоумышленники просто не смогут ими воспользоваться.

В 2020 году специализирующаяся на информационной безопасности компания Positive Technologies опубликовала исследование полутора десятков банковских мобильных приложений. «Ни одно из исследованных мобильных банковских приложений не обладает приемлемым уровнем защищенности», — резюмировали эксперты компании.

Весной 2021 года Банк России предупредил о появлении высококвалифицированной хакерской группировки, которая находит и использует уязвимости в мобильных приложениях банков.

Отключить мобильный банк иногда можно прямо из интернет-банка (ну или сходите в офис). Злоумышленник не сможет подключить мобильный банк обратно — для этого нужно заключать новый договор.

Дополнительные правила безопасности

Как пользоваться телефоном и интернетом в современной России — и не подставиться. Правила, которые нужно соблюдать абсолютно всем

Денис Дмитриев

Magic link? Это волшебная ссылка: она открывает лайт-версию материала. Ее можно отправить тому, у кого «Медуза» заблокирована, — и все откроется! Будьте осторожны: «Медуза» в РФ — «нежелательная» организация. Не посылайте наши статьи людям, которым вы не доверяете.