Security Lab

СМС-оповещения о движении средств по счету: всегда ли это безопасно

СМС-оповещения о движении средств по счету: всегда ли это безопасно
Купил как-то в Штатах местную SIM-карту. И стали с тех пор на мой номер приходить СМС-ки о состоянии текущего банковского счета прежнего владельца телефонного номера и движении средств по нему в BankofAmerica. Примерно такие.
Посмеялись мы над забывчивостью владельца, не сообщившего в банк о смене номера мобильного телефона, и, как казалось, история на этом и закончилась.
Но, оказывается, есть банки, с которыми в такие игры лучше не играть.
Примерно такая же история, что и со мной, приключилась с одной юной особой, и не в Америке, а на родных просторах . И банк был несколько другой. И стал он девушке не только об операциях по счету кредитной карты сообщать, но и настойчиво предлагать воспользоваться  услугами «Мобильного банка». Если так предлагают, то почему бы не воспользоваться? Оказалось, чтобы денежки со счета забывчивого предыдущего владельца перевести на свой счет не просто, а очень просто. Надо на заветный короткий номер отправить распоряжение в виде СМС о переводе средств ну, например, на лицевой счет этой самой SIM-карты. И все! Банк, в глаза не видевший ни девушку, ни кредитную карту в ее руках, карточный счет благополучно обнулил, пополнив телефонный счет на ту же сумму. Ну, а дальше еще проще – девушка бежит в «Юнистрим» и полученную сумму благополучно обналичивает.
А банк сообщает о переводе средств не только авантюристке, но и владельцу кредитной карты. Наличие двух номеров, привязанных к счету, и, соответственно, двух подключений «Мобильного банка» к двум разным симкам банк все это время (2,5 года с моменты смены владельцем телефонного номера) нисколько не смущали. На два номера рассылать – так на два. С двух номеров получать распоряжения по средствам – ничего особенного, можем и с двух.
Интерес появился только после опустошения счета и жалобы клиента. Предприимчивая новая владелица SIM-карты свои данные указала честно, ее вычислили, нашли и осудили за кражу по пункту «в» части 2 ст.158 УК (в) (причинение значительного ущерба гражданину). Дело было в богоугодном Дивееве, и, видимо, близость святого места к районному суду сделала самый гуманный суд в мире гуманным до крайности. При максимальном штрафе по этой части статьи в 200 тысяч рублей суд ограничился наказанием в 5 тысяч, то ли посчитав, что сам по себе процесс поспособствовал полному  исправлению, то ли войдя в тяжелое материальное положение воришки, покусившейся аж на 18 с небольшим тысяч. Даже КоАП за мелкое хищение (до 1 тысячи рублей) предусматривает штраф не менее этой самой тысячи до пятикратной стоимости похищенного имущества.
О частном определении  в отношении банка, предоставившего такие невиданно простые возможности для хищения чужого имущества, ничего не сообщается. Видимо, его и не было. О том, что банк после этого перестроил систему мобильного управления счетами, тоже сведений не поступало. В результате возникает вопрос, способствует ли подобный приговор предотвращению краж и не возникает вопрос о том, почему банки так настойчиво добивались (и добились) переноса срока вступления в силу статьи 9 нового 161-ФЗ «О национальной платежной системе», обязывающей возместить клиенту сумму операции, совершенной без согласия клиента после получения уведомления об этом в установленный срок.
В общем, будьте бдительны. Тем более что мошенники ищут все новые и новые способы изъятия денежных средств со счетов и на каждую новую защитную меру в системах дистанционного банковского обслуживания (ДБО) и электронных платежей находят свои контрмеры. Вот и Брайан Кребс, эксперт по компьютерной безопасности, сообщает, что для коммуникаторов на Android’е создана вредоносная программа Perkele , перехватывающая СМС-сообщения, передаваемые системами ДБО. Программа заточена под интернет-банкинг 69 конкретных банков 10 стран (России в этом списке пока нет, а вот относительно зарубежных банков, работающих в России и использующих родные системы ДБО, этого уверенно сказать нельзя). Perkele работает с другой вредоносной программой, которая меняет инструкции в банковском клиенте на смартфоне и от его имени требует установки для двухуровневой аутентификации дополнительную программу (естественно, Perkele). Кребс сообщает, что версия программы для атаки на клиентов одного банка стоит всего тысячу долларов, а полная версия (для 69 банков) – пятнадцать тысяч.
Будьте бдительны!
двухуровневая аутентификация дистанционное банковское обслуживание смс-оповещение 161-ФЗ
Alt text

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену

Михаил Емельянников

Блог известного российского эксперта в области информационной безопасности, защиты персональных данных, коммерческой тайны, государственного регулирования охраны конфиденциальности. Комментарии к «громким» событиям, связанным с утечкой данных и взломом компьютерных сетей.