, ,
09.06.2015
Артемий Земляника

Безопасность банковских приложений

Количество просмотров: 2414

Вернуться к списку статей

570c4a8415_900.jpg

Согласно отчету State of Mobile App Security, банковские приложения больше всех подвержены хакерским атакам и чаще всего имеют незащищенный код. Удивительно, но факт. Это создает почву для самых разных видов мошенничества – от подмены приложения прямо в магазине до перехвата данных пользователя.

Журналисты портала Get.Mobian поговорили с представителями банков и выяснили, почему так происходит, как это работает и что предпринять компаниям. Ну, и как защититься пользователям, конечно.

Феликс Хачатрян, сооснователь и управляющий директор Ubank

«Во-первых, если на устройстве уже установлено какое-то приложение, то при обновлении из Google Play пользователь закачивает обновление именно этого приложения, а не что-то постороннее. Более того, нельзя разместить приложение с аналогичным package name — уникальным идентификатором приложения.

Во-вторых, действительно, любой человек может загрузить в магазин приложение, похожее на ваше. Оно может выглядеть и не как клон. Вам могут честно написать, что разработчик этого приложения кто-то другой, но подкупить вас тем, что данное приложение, например, бесплатно, в отличие от родного приложения вашего банка, или содержит какие-то дополнительные фишки, или что-то еще. К сожалению, тут сознательность должна идти от самого пользователя и разъяснительная работа со стороны банка.

Если речь идет о приложении — полном клоне, то тут важно для пользователя быть внимательным, смотреть на количество скачиваний, отзывы и на название разработчика приложения. Например, у Ubank больше 4 млн скачиваний, сотни положительных отзывов, и эту информацию не подделать.

Со стороны банков в любом случае важно всегда мониторить сторы на наличие таких мошеннических приложений и оперативно подавать жалобу в Appstore или Google Play».

Николай Афанасьев, менеджер по развитию бизнеса компании «Аладдин Р.Д.»

«В настоящее время мы можем наблюдать тенденцию увеличения доли безналичных платежей по сравнению с наличными. Очевидно, что такая тенденция в ближайшее время сохранится. Это также не остается незамеченным для киберпреступников, которые крадут денежные средства физических и юридических лиц с различных электронных счетов и электронных кошельков.

Значительная часть краж денежных средств при безналичных платежах осуществляется с использованием специализированных „троянов“, которыми заражаются ПК и мобильные устройства пользователей. Суть таких атак “троянов”, как правило, сводится к тому, чтобы подменить реальные реквизиты платежей на подставные в ходе совершения платежа. Например, пользователь платежной системы при подготовке и подтверждении платёжного распоряжения может видеть на экране ПК или мобильного телефона те реквизиты, которые он сам указал, а “троян” в момент отправки такого распоряжения в платежную систему или банк может незаметно подменить реквизиты. В результате деньги „уйдут“ на счёт киберпреступника.

Подтверждение с использованием одноразового пароля по SMS не спасает, так как мобильный телефон, как и ПК, может быть заражён „трояном“, способным блокировать уведомление о поступлении SMS и отправлять SMS-самостоятельно от лица пользователя. Если пользователь работает только через мобильный телефон, такой „троян“ способен формировать поддельные платёжные распоряжения, отправлять их оператору по переводу денежных средств незаметно для пользователя и подтверждать через SMS эти операции также незаметно для пользователя.

В случае если пользователь составляет платёжное распоряжение на ПК, а подтверждает на мобильном телефоне через SMS, то 2 работающих в паре „трояна“ (один – на ПК, второй – на мобильном телефоне) без труда могут аналогичным образом “увести” деньги пользователя.

Ввиду того, что на массовом рынке невозможно надёжно защитить компьютеры и мобильные устройства всех пользователей (антивирусы не панацея), большинство из них остаются под прицелом киберпреступников.

Для обеспечения надёжной защиты при безналичных платежах становится хорошей практикой выделять отдельную программно-аппаратную среду для визуального контроля и подтверждения платёжных распоряжений (далее – изолированная среда). Указанная среда должна иметь определенную степень изоляции от программной среды, в которой платёжное распоряжение составлялось.

В этом случае процесс выполнения безналичного платежа выглядит следующим образом:

1. Пользователь составляет платёжное распоряжение на ПК или в мобильном устройстве и даёт команду на его исполнение.
2. Оператор по переводу денежных средств, получив команду на исполнение, запрашивает от пользователя провести визуальный контроль реквизитов созданного им платёжного распоряжения и подтвердить свое намерение осуществить денежный перевод в изолированной среде.
3. Пользователь просматривает реквизиты в изолированной среде и там же подтверждает (либо отклоняет) выполнение операции.
4. Получив результат от изолированной среды, оператор по переводу денежных средств либо проводит операцию (если пользователь подтвердил ее), либо блокирует (если отклонил).

Требования к изолированной среде

Среда визуального контроля с подтверждением должна обеспечивать:

  • отображение реквизитов платёжного распоряжения для их визуального контроля клиентом;
  • возможность клиентом явно подтвердить или отклонить операцию перевода денежных средств в соответствии с отображёнными реквизитами;
  • формирование аутентификатора от визуализированных и подтвержденных клиентом реквизитов платёжного распоряжения с использованием секрета, недоступного среде составления распоряжений;
  • безопасную доверенную загрузку в себя (самостоятельную генерацию) секрета, с помощью которого должен формироваться аутентификатор;
  • безопасное хранение этого секрета.
  • Оператор по переводу денежных средств должен в этом случае иметь возможность проверить аутентификатор, сформированный в изолированной среде конкретного пользователя, чтобы убедиться, что:

  • аутентификатор в изолированной среде был сформирован именно тем пользователем, который составлял платёжное распоряжение (т.е. легальным клиентом);
  • аутентификатор был сформирован именно от тех реквизитов, которые входят в состав составленного платёжного распоряжения;
  • пользователь подтвердил операцию перевода денежных средств в соответствии с этими реквизитами.
  • Реализация возможности подтвердить безналичный платёж с использованием такой изолированной среды – это то, что нас ждёт в ближайшем будущем, и что станет привычной и неотъемлемой частью процедур подтверждения транзакций».

    Источник: Get.Mobian

    Вернуться к списку статей
    09.06.2015 12:08:00
    98% компаний подвергаются атакам киберпреступников

    Количество просмотров: 2697

    Управляющий директор «Лаборатории Касперского» в России, странах Закавказья и Средней Азии Сергей Земков об основных тенденциях и перспективах развития рынка информбезопасности

    22.01.2016 13:54:00
    Мошенники научились воровать деньги с карт с помощью смартфонов

    Количество просмотров: 2976

    Выявлен новый способ хищения денег: сигналы карт с бесконтактными технологиями мошенники перехватывают с помощью специальных устройств. По данным компании Zecurion, мошенники увели с карт россиян с помощью своих самодельных терминалов (RFID-ридеров) 2 млн рублей в 2015 году.

    Возврат к списку