Мобильный банкинг: 5 правил безопасности, которые нужно знать

Всем привет, меня зовут Вячеслав Аксенов. Я backend-разработчик с большим опытом работы в финтех-компаниях.

За свою карьеру я успел поработать в двух очень крупных банках Восточной Европы. У первого более 96 миллионов пользователей; Я участвовал в процессе приема платежей от клиентов через мобильные приложения и веб-интерфейс. У другого банка 14 миллионов клиентов, а моей зоной ответственности была антифрод-система, отвечающая за борьбу с мошенниками.

В этой статье я хотел бы затронуть тему того, насколько безопасно использовать мобильные приложения и веб-версии банков для совершения платежей. А также, чтобы дать вам совет, как защитить себя от атак злоумышленников и как сохранить свои деньги.

Введение

Вместо того, чтобы идти в физическое отделение банка, пользователь теперь может взять трубку и за считанные минуты решить практически любой интересующий его вопрос без очереди, ненужной бумажной волокиты и суеты.

Звучит как настоящее будущее. Однако такие возможности порождают и ряд рисков – ведь если кто-то сможет узнать все ваши пароли и воспользоваться вашим телефоном, то это будет равносильно тому, что этот кто-то стал полноправным владельцем вашего банковского счета.

Какие действия предпринимают банки для защиты данных пользователей?

Для защиты данных своих клиентов банки выстраивают архитектуру, чтобы в приложениях или веб-версиях ничего не хранилось. Все пользовательские данные хранятся в замкнутом цикле непосредственно внутри банка. А мобильные приложения и веб-версии — это всего лишь лицо, на котором отображаются эти данные. Но при любом запросе они отправляются и запрашиваются из бэкенда банка.

Таким образом появляется возможность кражи данных либо при получении доступа к внутренней сети банка, либо при компрометации сессии мобильного приложения/веб-сервиса.

Как правило, уважающий себя банк имеет серверы, которые установлены в специальных дата-центрах; обеспечен всеми возможными системами физической защиты и безопасности. Так, злоумышленнику будет сложно попасть внутрь, во-первых, а во-вторых, ему нужно будет знать, на каком из тысяч серверов хранится нужная ему информация.

Доступ во внутреннюю сеть, в свою очередь, работает по схеме вайтлиста — это значит, что запросы пропускаются и ответы даются только на те адреса, которые указаны в вайтлисте. Поэтому попасть во внутреннюю сеть извне невозможно.

Сессия пользователя означает наличие уникального токена, который генерируется каждый раз при входе в мобильное приложение. Обычно он остается действительным в течение нескольких минут, а затем запрашивается новый, который выдается только при наличии предыдущего. В противном случае сеанс завершается.

Поэтому приходим к такому сценарию, что наиболее возможный вектор атаки — это компрометация сессии пользователя, либо непосредственно мобильного приложения банка, расположенного на устройстве пользователя.

Уязвимости в банковских мобильных приложениях

Для защиты банковских пользователей мобильные приложения имеют несколько уровней защиты от различных векторов атак злоумышленников. И если на техническом уровне все возможности для взлома приложения фактически отсутствуют, то с человеческим фактором все гораздо интереснее.

Во многих актуальных приложениях авторизация происходит через мобильный телефон. Вы вводите свой номер мобильного телефона, вам приходит одноразовый код двухфакторной авторизации, вы вводите его в приложение и устанавливаете свой пин-код для входа в приложение.

И в этом есть очень опасный момент, приложение считает, что SIM-карта не может быть скомпрометирована. А это, в свою очередь, открывает возможности для злоумышленников получить доступ к вашему аккаунту посредством банальной кражи телефона.

Даже если телефон защищен паролем, SIM-карту можно переместить в другой телефон и использовать как способ получения любых SMS с кодами второго фактора. А на телефоне злоумышленника уже установлено банковское приложение, в которое, как и он, входите вы, и происходит вход.

И тут мы приходим к картине, что двухфакторная аутентификация через телефон — фикция. В конце концов, и телефон, и SIM-карта живут вместе и часто подвергаются компрометации. Сразу приходят мысли - как же так? Разве специалисты по банковской безопасности не могли придумать ничего лучше?

И здесь, как человек, разбирающийся в теме, могу сказать, что защищать можно что угодно так серьезно, как вам угодно. Однако каждый новый уровень защиты снижает удобство использования системы.

Например, если для входа в приложение нужно было подключить к телефону специальный физический токен, вряд ли кто-то будет продолжать пользоваться таким банковским приложением. Банально потому, что это было бы не так быстро, как быстро авторизоваться по отпечатку пальца или по лицу.

Как защитить себя

Но так ли все безнадежно и остается только панический страх, что какой-нибудь карманник может украсть весь ваш банковский счет с помощью телефона? Вовсе нет, есть процедура, которую вы можете предпринять, чтобы обезопасить свой банковский счет.

Первое, самое основное - на телефоне должен быть пароль для входа. Желательно, не самый простой, так что догадаться невозможно.

Во-вторых, вы никогда не должны использовать банковские приложения на рутированных телефонах, которые вы не можете контролировать. Это касается как андроид телефонов, так и смартфонов от яблока (джейлбрейк).

Многие банковские приложения даже не запустятся, если обнаружат, что телефон рутирован. Но даже если вы каким-то образом обойдете это, то знайте, что мимо вашего доступа любое приложение, которое просто захочет иметь возможность просканировать ваш трафик и вычислить полезные нагрузки, с помощью которых злоумышленник может получить много конфиденциальных данных.

Термин «Root» обычно ассоциируется с UNIX-подобными операционными системами, такими как Linux (Ubuntu, Fedora, OpenSUSE и т. д.) и Apple OS X. Проще говоря, root — это имя пользователя или учетная запись, которая по умолчанию имеет доступ ко всем команды и файлы в Linux или другой Unix-подобной операционной системе. Проще говоря, это суперпользователь без ограничений доступа.

Это означает, что человек может сам установить любое приложение, даже такое, которое может влиять на другие приложения или делать что-либо с телефоном. Телефоны без рута таких возможностей не имеют - каждое приложение в них имеет четко ограниченные права доступа.

В-третьих, иметь PIN-код банковского приложения, отличный от того, который вы используете для блокировки телефона.

Четвертый, и это, пожалуй, самый важный совет, обязательно укажите PIN-код на SIM-карте. Таким образом, даже если злоумышленник сможет получить физический доступ к вашей SIM-карте, он не сможет просто переставить ее в свой телефон и получить все коды авторизации. Это может показаться не самым удобным советом, но в нынешних реалиях ПИН-код телефона вводится крайне редко, но может сберечь немало нервов.

И в-пятых, не забывайте, что даже на стороне сотовых операторов могут быть недобросовестные сотрудники, которые могут передать копию сим-карты своему сообщнику, который получит все ваши СМС-коды. К сожалению, это не может быть защищено. но при любом подозрительном поведении какой-либо услуги, привязанной к сим-карте, следует попросить телефонного оператора перепроверить наличие дубликатов вашей сим-карты.

Выводы

С цифровой гигиеной в первых четырех пунктах и ​​бдительностью в пятом пункте вы сможете защитить себя от любых уязвимостей, существующих на данный момент при использовании мобильного банкинга.

Если вы знаете информацию, которая может быть полезна для защиты ваших данных и денег от злоумышленников — смело добавляйте свои советы в комментариях.