Следите за новостями

Цифра дня

71,5 млрд тг заработал Kcell за полгода

Техника безопасности для пользователей интернет-банкинга

Используете смартфон? Хакеры скажут вам спасибо...

23 июля 2015 13:03, Дмитрий Кан, Engine.ER Lab, Profit.kz

Спасение утопающих — дело рук самих утопающих

OTP-via-SMS

Многие банки используют одноразовые пароли для аутентификации пользователей интернет-банкинга. Чаще всего одноразовые пароли (One-Time Password — OTP) отправляют пользователям через SMS. Специалисты называют такой способ аутентификации двухфакторным, так как помимо логина и пароля пользователь должен ввести полученный OTP-код.

Количество пользователей, использующих смартфоны, растет. Однако рост популярности смартфонов открывает для хакеров новые возможности, которые компрометируют схему аутентификации OTP via SMS.

Безопасности для интернет-банкинга

Используете смартфон? Хакеры скажут вам спасибо...

Пока не было смартфонов — в мобильных телефонах не было вирусов. Смартфоны отличаются от простых мобильных телефонов не только большим сенсорным экраном, отсутствием кнопок и наличием камер. Основное отличие заключается в том, что на смартфоны можно устанавливать дополнительные программы — игры, WhatsApp, Telegram, WeChat, Viber, Skype, веб-браузеры, банковские приложения и так далее. 95% функциональных возможностей смартфонов не связаны со звонками и SMS-сообщениями. С технической точки зрения смартфон правильнее называть портативным 0носимым компьютером с сенсорным экраном, который предназначен для работы в интернете и имеет встроенный GSM-модуль.

«Любое устройство, подключенное к интернету, является потенциальным объектом успешной хакерской атаки». Хакеры используют функциональные возможности смартфонов в своих целях — они взламывают смартфоны, используя многочисленные уязвимости, и незаметно устанавливают на них вредоносные программы (трояны, кейлогеры, программы-шпионы и пр.), которые в обиходе чаще всего называют просто «вирусами». После этого они могут получить полный удаленный контроль над вашим смартфоном: подслушивать ваши разговоры, совершать и блокировать звонки, читать сообщения в мессенжерах и электронной почте, просматривать список контактов и события в вашем календаре, тайно читать, отправлять, перехватывать и удалять SMS-сообщения, определять ваше местоположение с помощью датчика GPS, делать тайные снимки с камер, отслеживать вашу интернет-активность. Можно найти множество примеров таких хакерских атак.

Но если вы используете Интернет-банкинг или Мобильный-банкинг, прежде всего мошенники постараются украсть ваши логины и пароли, чтобы украсть ваши деньги. Мошенники могут украсть логины и пароли не только со смартфона, но и с любого endpoint-web-терминала — персонального компьютера, планшета, ноутбука. Часто для кражи логинов и паролей они используют методы социальной инженерии. После этого для кражи ваших денег им останется получить актуальный OTP-код.

Если SIM-карта с номером M1, на который вы получаете OTP-коды, установлена в смартфоне, задача мошенников по краже ваших денег уже решена. После кражи OTP-кода вредоносная программа («вирус») будет блокировать звонки и удалять SMS-сообщения от вашего банка, чтобы банк не мог вас оповестить, а вы не смогли получить предупреждения и заблокировать счет.

UTMT против хакеров

Кража OTP-кода с вашего мобильного телефона станет невозможной, если SIM-карта с номером M1, на который вы получаете OTP-коды, будет установлена в самый простой и бюджетный мобильный телефон, который не поддерживает соединения с интернетом. Такие телефоны не поддерживают стандарты 3G, 4G, Wi-Fi, GPRS, EDGE и технологию Java. Технически они относятся к поколению 2G — то есть предназначены только для звонков и SMS (GSM phase 2). Такие бюджетные телефоны часто называют «пустышками». Как правило они реализованы в виде компактных кнопочных моноблоков. Автор предлагает называть такие модели ультра-тонкими мобильными терминалами — Ultra-Thin Mobile Terminal (UTMT) [в соответствии с терминологией GSM (MT — Mobile Terminal) и по аналогии с архитектурой тонких клиентов и ультра-тонким терминалом Sun Ray].

Хакерские атаки на UTMT-телефоны технически невозможны — их нельзя подключить к интернету и на них нельзя установить новые программы. Это исключает возможность удаленного управления и удаленной кражи OTP-кода c UTMT-телефона. Управлять UTMT-телефоном может только тот, кто держит его в руках. Попытка реализовать хакерскую атаку на UTMT-телефон эквивалентна попытке удаленно взломать настольный бухгалтерский калькулятор.

Поэтому, в отличие от смартфона, UTMT-телефон обеспечивает вам надежный канал связи (GSM) с вашим банком, на который исключено удаленное воздействие.

Если ваша SIM-карта будет установлена в UTMT-телефон, для кражи OTP-кода с этого номера хакерам потребуется специальное оборудование — GSM-сканеры или ложные базовые станции. Задача получения OTP-кода для них усложнится в сотни раз — взлом смартфона никак не влияет на UTMT-телефон, который имеет абсолютную стойкость к хакерским атакам.

Если у вас на счету нет миллионов, вероятность целевой хакерской атаки на вас стремится к нулю. Когда хакеры поймут, что вы не используете смартфон для получения OTP-кодов, они, скорее всего, переключатся на других (более беспечных) пользователей интернет-банкинга.

Выделите один мобильный номер для получения OTP-кодов от вашего банка и установите SIM-карту с этим номером в UTMT-телефон. Это обеспечит большую сохранность ваших денег.

Преимущества

— Новые модели UTMT-телефонов нужно заряжать 1 раз в 10-12 дней. Поэтому комбинация Смартфон + UTMT-телефон обеспечит вам более надежную связь и большее удобство, чем один или даже два смартфона. Обычному пользователю два смартфона не нужны — для веб-серфинга достаточно одного. Когда батарея вашего смартфона разрядится, простой телефон позволит вам оставаться на связи. Еще больший эффект от использования UTMT-телефонов почувствуют владельцы планшетов.

— Носить два телефона неудобно, но носить с собой UTMT-телефон практичнее, чем зарядку для смартфона.

— Если вы занимаетесь экстремальными видами спорта, UTMT-телефон сохранит вам много смартфонов! ;)

— Простой телефон не будет привлекать ненужного внимания в неблагополучных районах, в общественном транспорте и поздно ночью на улице.

UTMT-телефоны продолжают выпускать многие производители. Операторы предлагают их владельцам планшетов и смартфонов в качестве «дополнительного устройства для звонков». В качестве UTMT-телефона можно использовать, например, Nokia 130, Samsung E1200, Philips E160, Alcatel OT E801, Alcatel One Touch 1013D и другие модели.

Недостатки и способы их устранения

Носить с собой два телефона неудобно. К сожалению, реалии таковы, что вам придется выбирать между Удобством и Безопасностью. Стоимость UTMT-телефона не превышает стоимости чехла для смартфона.

В случае взлома вашего смартфона хакеры постараются украсть больше.

Если у вас нет необходимости совершать online-платежи «на бегу», вы можете хранить ваш UTMT-телефон дома или на работе — рядом с вашим компьютером, который вы используете для работы с интернет-банкингом. Бухгалтеры могут хранить UTMT-телефон в сейфе — это обеспечит еще большую безопасность.

Все вышеизложенное вы можете также использовать для защиты ваших учетных записей в облачных сервисах — большинство популярных ресурсов (Gmail, Mail.ru, Yahoo, Facebook, vk.com и др.) используют OTP via SMS для аутентификации своих пользователей.

Безопасность ваших денег и цифровой собственности требует вашего содействия.