Опасное удобство: как защитить банковские счета, привязанные к смартфону

28.12.2021 |

Источник: spbIT

Россия — один из мировых лидеров в области финтеха, и в ближайшие годы эта позиция будет только укрепляться: по данным ЦБ, уже сейчас более 90% счетов обслуживаются дистанционно, а доля безналичных платежей еще в октябре составляла 75% от их общего числа. Но в новых технологиях кроются и свои опасности. Так, например, этим летом у одного из жителей столицы украли смартфон, а потом с его помощью вывели со счетов более 3,5 млн рублей. О том, как максимально защитить свои безналичные средства от злоумышленников, завладевших вашим смартфоном, специально для «Известий» рассказала эксперт Центра финансовой грамотности НИФИ Минфина России Ольга Дайнеко.

Самое простое правило

По словам Ольги Дайнеко, чаще всего попытки злоумышленников воспользоваться чужим смартфоном для вывода денег заканчиваются тем, что они пытаются использовать его для бесконтактной оплаты, но и кража денег со счетов, привязанных к установленным банковским приложениям, тоже случается. При этом надо понимать, что именно полноценный взлом невозможен без привлечения профессионалов высокого уровня — это удовольствие не из дешевых, а значит, к таким методам прибегают только в случае, если нужно украсть значительные суммы со счетов, на которых они заведомо есть.

Поэтому первый и самый главный совет, который дает Ольга Дайнек,о — не хранить все основные средства на счетах, привязанных к функциям оплаты или приложениям, установленным на смартфон.

— Не нужно привязывать к функции бесконтактной оплаты карты и счета, на которые поступают зарплата, вознаграждения и хранятся сбережения, в том числе карты, считающиеся основными, — говорит Дайнеко. — Для текущих расчетов и бесконтактной оплаты нужно использовать отдельную дебетовую карту, на которую можно перечислять определенный денежный лимит. К слову, это не только разумно, но и финансово грамотно во избежание спонтанных покупок.

В принципе, самый лучший способ защитить свои деньги — иметь несколько счетов в разных банках и ставить на смартфон приложения тех, чьи платежные средства используются в повседневной жизни. А приложения банка, где лежат основные средства, не устанавливать вовсе. Тем более сейчас большинство банков подключено к системе быстрых платежей (СБП), которая позволяет переводить до 100 тыс. рублей в месяц без комиссии. Вскоре, по словам первого зампреда Банка России Ольги Скоробогатовой, переводы между своими счетами в разных банках через эту систему и вовсе могут сделать бесплатными без ограничения по сумме.

— Все депозиты, где находятся накапливаемые средства, не должны отражаться (не должны быть подключены) в мобильном банке. Для распоряжения значимыми суммами лучше использовать домашнюю сеть интернет, защищенное устройство и вход через двухуровневую идентификацию интернет-банка, — добавляет Ольга Дайнеко.

Что делать со смартфоном

При использовании непосредственно смартфона для проведения финансовых операций в первую очередь важно помнить, что делать это, подключаясь к незапароленным общественным сетям Wi-Fi, нельзя ни в коем случае. Кроме того, нельзя скачивать приложения и игры из незнакомых источников, в том числе по сторонним или присланным ссылкам.

— Чаще всего вредоносные программы, ворующие данные из банковских приложений, внедряются в «интересные» игры. Такой вид кражи данных называется «рутинг». Пользователь смартфона в этом случае может не догадываться, что постороннее лицо получило доступ к устройству и всем приложениям, — предупреждает Дайнеко.

Вместе с тем эксперт советует установить суточный лимит по операциям и СМС-уведомления для каждой из них, а также установить антивирус на смартфон. Вообще, большинство банковских приложений уже содержат антивирусный компонент, но перестраховаться лишним не будет, говорит собеседница «Известий».

Обновление банковских приложений лучше сделать автоматическим: чаще всего они основываются именно на исправлениях системы безопасности, которые были внедрены после того, как специалисты банка обнаружили уязвимости в более ранних версиях.

Что касается паролей, ни в коем случае нельзя использовать одни и те же коды для разблокировки смартфона и установленных на него приложений: они обязательно должны быть разными. Вдобавок ключи следует периодически менять, а функцию автозаполнения паролей лучше вовсе отключить — хоть это и удобно, но воспользоваться ей смогут и мошенники, завладевшие устройством. А разблокировку самого смартфона лучше делать исключительно через цифровой или цифро-буквенный код, а не посредством инструментария по распознаванию лиц и отпечатков пальцев.

— В большинстве случаев для распознавания по лицу в телефоне используется только фронтальная камера и набор не слишком сложных алгоритмов. Однако чаще это просто фото без ИК-сенсора и точечного проектора, который вполне возможно обмануть с помощью распечатанной или выведенной на экран фотографии, взятой из соцсетей, например, — говорит Дайнеко. — Сканер отпечатка пальца удобен, но тоже не идеальное средство защиты. На данный момент на любом телефоне самым безопасным и надежным средством остается PIN-код. Лучше, если он составляет не менее шести знаков.

Перевыпуск SIM-карт

Ольга Дайнеко также отмечает, что ранее мошенники пользовались способом перевыпуска SIM-карт по поддельным доверенностям, но сейчас этот способ практически не используется.

— Большинство банковских приложений считывает уникальный идентификатор SIM-карты и блокирует любые операции до тех пор, пока клиент не подтвердит перевыпуск SIM-карты обращением в банк или регистрацией кодовой информации в банковском приложении, — говорит она. — Именно поэтому многие пользователи замечают, что, поменяв SIM-карту (например, взамен старой и физически изношенной, но с тем же номером) или при покупке нового устройства, банковское приложение перестает работать и требует подтверждения аутентификации владельца счета.

Тем не менее перестраховаться от несанкционированного доступа к вашей SIM-карте всё равно будет не лишним: для этого нужно у своего мобильного оператора оформить заявление о запрете перевыпуска SIM-карты без присутствия владельца.

Говоря о постепенно внедряемых виртуальных SIM-картах eSIM, важно упомянуть, что безопасность от дублирования и перепрограммирования, которую они обеспечивают, с другой стороны компенсируется риском взлома облака, в котором хранятся ее данные.

— Однако ввиду особенности технологии очевидно, что на устройстве, которое использует eSIM, будет невозможно создать новый профиль без пароля владельца устройства. При каждой загрузке — даже при сбросе к заводским настройкам — будет загружаться профиль предыдущего владельца, а это, в свою очередь, позволит удаленно определить местоположение устройства, — говорит Дайнеко.

Если потеряли

При утере смартфона нужно как можно быстрее выполнить несколько действий в строгой последовательности. Первым делом нужно связаться с банком и сообщить о возможности несанкционированного доступа к счетам и заблокировать их вместе с картами. После этого нужно сделать то же самое с SIM-картой, оставшейся в утерянном телефоне.

Если устройство поддерживает удаленный доступ через аккаунт на сайте производителя, следующим шагом нужно воспользоваться этой функцией и стереть со смартфона все данные, а его заблокировать.

При наличии подозрений, что телефон был именно украден, Ольга Дайнеко рекомендует обращаться в полицию с заявлением о краже. Это необходимо не только для поиска украденного телефона, но и для подтверждения, что средства с банковских счетов списаны или переведены не вами.

Александр Лесных