Введение в безопасный онлайн банкинг

Онлайн банкинг очень популярен, поскольку это действительно очень удобный способ оплаты счетов и покупок в интернете. Сегодня у каждого банка есть свой интернет-портал, где пользователи могут осуществлять платежи простым нажатием клавиш не выходя из дома или офиса. Когда речь идет о больших суммах и регулярных банковских операциях онлайн, встает вопрос их безопасности. Кибер преступники надеются на большой улов благодаря троянам, фишинговым сайтам и социальной инженерии. Чтобы не попасть в их ловушку, нужно быть не только предельно наблюдательным, но и в некоторой степени информационно подкованным. Прочитав эту статью вы узнаете, как можно обезопасить свои онлайн переводы средств при использовании различных устройств.

Если вы считаете, что ваш компьютер в безопасности лишь по той причине, что никто никогда у вас ничего не воровал, вспомните, как хакеры сливали персональные и секретные данные с серверов Google, Яндекс, Yahoo, NASA и т.д. Сравните уровень безопасности у этих корпораций и уровень безопасности на вашем Windows или Android устройстве чтобы понять всю серьезность данной проблемы.

Защита домашнего компьютера при онлайн банкинге

Большинство пользователей осуществляют онлайн банкинг через браузер на компьютере т. к. это более удобно, нежели производить банковские операции на экране маленького смартфона, но также более опасно. Windows (поговорим именно об этой ОС, как получившей наиболее распространение как настольная операционная система) всё ещё остается и будет оставаться главной целью для злоумышленников. Вот несколько важных советов, следуя которым вы сможете производить банковские операции на более безопасном уровне.

Устанавливайте обновления для Windows

Это наиболее важно, т. к. защищает компьютер от вредоносного ПО. Поэтому убедитесь, что у вас включена установка критических обновлений через Центр обновлений Windows. Прежде всего не устанавливайте такие обновления как «исправления» рекомендуемые Microsoft - т.к. в прошлом были проблемы с некоторыми из этих патчей. Однако, как упоминалось выше, установка критических обновлений обязательна для безопасности. В Windows 7 и 8 это настраивается в Центре обновления Windows - Включение или отключение автоматического обновления - удалить галочку с пункта Получать рекомендуемые обновления таким же образом, как и важные обновления. В Windows 10 отсутствует различие в устанавливаемых обновлениях.

Создание отдельной учетной записи

В добавление к установке обновлений и обязательной антивирусной защите рекомендуется создать отдельную учетную запись для банковских операций. Это усложнит доступ к уже защищенным файлам cookies и временным данным Windows, а так же защитит банковские счета, если они сохранены в папке «Документы» относящейся к отдельной учетной записи для банковских операций, потому что Windows блокирует доступ к вновь созданной учетной записи от других аккаунтов системы. Чтобы создать отдельный аккаунт в Windows 10 в Параметры Учетные записи - Семья и другие пользователи - Добавить пользователя для этого компьютера - У меня нет данных для входа этого человека - Добавить пользователя без учетной записи Майкрософт - введите свои данные и нажмите Далее, после чего, локальная учетная запись будет создана.

Использование специального браузера для онлайн банкинга

Для банковских операций используется либо специализированное банковское приложение, либо специальный защищенный браузер, например BitBox (разработан в Германии по заказу правительства, работает в изолированном окружении чтобы исключить утечку информации из операционной системы). Он имеет следующие преимущества: в случае особого проявления вирусного ПО на компьютере браузер гарантированно защищен от проникновений. Браузер не подходит для каждодневного использования ввиду специфики работы, но идеален для онлайн банкинга. Браузер запускается в специальной изолированной среде, и для этого пользователь должен иметь современный компьютер обладающий достаточной мощностью.

При установке браузера BitBox выберите режим эксперта (Expert Mode), потому что только в этом случае при работе будет возможным производить закачку файлов. Для этого лучше всего использовать папку «Документы» во вновь созданном аккаунте Windows, которая не будет видна остальным пользователям компьютера.

Браузер BitBox - для безопасных онлайн платежей
Немецкий браузер BitBox - для безопасных онлайн платежей

Использование для банкинга отдельной операционной системы

В некоторых случаях может быть удобным использовать отдельную операционную систему, например "Linux Live" (запускаемую с DVD диска или USB), что создаёт чрезвычайную защиту при онлайн банкинге.

Linux Live можно грузить с USB
Linux Live с USB - надежная защита для онлайн-банкинга

Онлайн банкинг с использованием смартфонов

На смартфонах рекомендуется использовать специальные банковские приложения, которые хранят и передают данные в зашифрованном виде и лучше защищены от атак, чем обычные программы. При выборе приложения для банкинга важно, чтобы приложение имело некоторые защитные функции, например блокирование возможности производить снимки экрана (скриншоты), потому что фотографируя экран, хакеры могут получить доступ к персональной информации.

Защита iOS устройств

Пользователи iOS устройств изначально хорошо защищены против атак, т. к. все приложения в App Store проходят серьёзную проверку, а так же существуют ограниченные права доступа приложений в системе iOS. Побочным эффектом можно считать работу сторонних антивирусов неэффективной, и так же едва пользователи могут себя защитить от известных уязвимостей, если Apple ещё не выпустила «заплатку».

При вводе данных, в особенности при онлайн банкинге, устройство защищено использованием сканера для отпечатка пальца, установленного начиная с 5-ой версии. Сравнивая отпечаток система открывает доступ к банковскому приложению. Ввод пин-кода нужен только однажды - при установке приложения, следующие доступы система будет осуществлять с использованием отпечатка пальца хранящегося в надежном месте памяти устройства.

Защита Android устройств сторонними программами

Операционная система Android - более легкая цель для хакерских атак ввиду открытой архитектуры и повсеместной распространенности (так, согласно статистическим данным независимой аналитической компании "StatCounter" в первом квартале 2017 года Android даже обогнал десктопный Windows по количеству пользователей).

При помощи соответствующих разрешений приложения могут полностью контролировать систему, в том числе и получать доступ к онлайн банкингу. В принципе, как и в iOS, следует использовать специальное банковское приложение и никогда не открывать банковский аккаунт через браузер.

Специализированные приложения намного лучше защищены от атак, чем обычные браузеры. Если смартфон оборудован сканером отпечатка пальца для контроля доступа, то это будет дополнительной защитой, которую не нужно игнорировать.

Другая особенность Android, ввиду комплексных разрешений системы, вредоносному ПО возможно удалить банковское ПО и установить поддельную копию, либо сканировать сетевой трафик в фоновом режиме. Однако все это просто предотвратить. Во-первых установите антивирус, который будет постоянно отслеживать систему. Во-вторых , вы можете установить «McAfee Financial Security» - приложение, которое будет проверять, не переустанавливалось ли банковское приложение.

Financial Security для Android
Financial Security for Android - защита финансовых операций на смартфонах и планшетах Android

Приложения типа «McAfee Financial Security» проверяют контрольную сумму установленного приложения и сравнивают её с собственной базой данных, и более того, отслеживает соединения с сетью. В процессе онлайн банкинга McAfee разорвёт соединение с интернетом в том случае, если выход в сеть осуществляется по небезопасному Wi-Fi соединению и установит связь с сетью через мобильную сеть. Более того, благодаря таким приложениям становятся невозможны ARP (протокол определения адреса) атаки, когда злоумышленники изменяют подключение к сети и запросы к сайту банка поступают на сайт хакеров.

Хакеры проникают через уязвимости...

Независимо от платформы, на которой производится онлайн банкинг, хакеры часто находят способы обхода защитных механизмов. Даже простая антивирусная защита часто противодействует этому. Однако, в некоторых случаях злоумышленники используют социальную инженерию - информацию, находящуюся в свободном доступе в интернете, например, чтобы заполучить копию вашей сим-карты. Таким образом, злоумышленники могут перехватить передаваемые пароли и перевести деньги со счета. Во многих случаях достаточно внедрить вирус на компьютер, который кажется вполне безобидным. В случае с вирусом Acecard, хакеры использовали спам рассылку от компании Adobe, предлагающую программу Adobe Flash пользователям Android. И хотя поддержка этой программы закончилась в 2012 году, некоторые всё же попали в эту ловушку. Для защиты от таких вирусов следует установить приложение финансовой безопасности, например «McAfee Financial Security»

...используя хитрости и уловки

Кибер террористы используют крайне хитрый способ получить доступ к данным. В начале они распространяют программу по интернету, которая изначально не представляет угрозы. Такая структура программы классифицируется антивирусами как «не опасная» и поэтому рейтинг угрозы ей не присваивается.

Спустя время, когда эта программа получит достаточное распространение, вирус активирует свои настоящие функции. Это может произойти через несколько месяцев или даже несколько лет после заражения. Такое случилось и в случае Acecard вируса. Acecard - это банковский троян для мобильных операционных систем, который впервые был обнаружен в феврале 2014 года, однако как вирус он начал проявляться только в мае 2014 года. Чтобы получить доступ к данным, Acecard использует простой, но эффективный способ: вирус располагает свое собственное окно, над окном ввода пароля, почти идентичное настоящему, и собирает введенные пароли на банковских сайтах. Через «командный сервер» вирус получает обновления и новые окна ввода. На мобильное устройство он попадает как правило через спам - замаскированное обновление известных программ.

Атаки на OTP (One Time Password - одноразовый пароль)

Получение одноразового пароля - это процедура получения одноразового кода по SMS, которая считается относительно безопасным способом. Однако, атаки на этот вид получения доступа тоже имеются (как пример, недавняя ситуация имело место быть Вконтакте). Одна из самых простых, это установка трояна, например такого как Zeus-P2P на настольный компьютер. Как только будет сделан перевод в браузере, вирус изменит получателя. CMC которое приходит от банка, часто содержит только название банка, сумму перевода, а так же одноразовый пароль, и если внимательно не проверить банк получатель, можно отослать деньги злоумышленникам, просто введя одноразовый пароль.

SIM-карта как доступ к вашим деньгам

Распространенный вид мошенничества - замена и подмена SIM-карты. Злоумышленники, собрав о жертве открытую информацию, подают заявку о замене сим-карты провайдеру жертвы.  Необходимую информацию о жертве легко узнать в с социальных сетях и другими хитрыми методами. После активации новой сим-карты хакеры на неё получают одноразовый пароль (OTP) и снимают деньги. Провайдеры мобильной связи предприняли дополнительные меры безопасности против такого вида мошенничества, особенно после громких скандалов в Европе, когда таким образом было украдено более одного миллиона евро, однако в некоторых случаях, провайдеры до сих пор не проверяют личные данные должным образом. Например, в некоторых случаях для восстановления якобы украденной или потерянной SIM-карты достаточно перечислить последние входящие или исходящие звонки, номера, длительность разговоров и т.д., в то время, как мошенники сами могут названивать на телефон жертвы, подготавливая для провайдера жертвы такую конфиденциальную информацию.

Поскольку ваш номер телефона используется банковскими учреждениями как финансовый номер телефона (в платежной системе Qiwi или LigPay это даже ваш банковский счет), крайне важно беречь свою SIM-карту:

  • не сообщайте подозрительным лицам свой номер телефона и названия банковских учреждений;
  • не отвечайте на телефонные звонки, в которых Вас просят сообщить какие-либо персональные сведения;
  • отключайте интернет на телефоне в момент ожидания одноразовых паролей по SMS;
  • храните в безопасности все данные SIM карты: PIN и PUK-коды;
  • если SIM карта вдруг "не обслуживается" в сети, целесообразно заблокировать проведение каких-либо финансовых операций в своем банке и обратиться к своему мобильному оператору для восстановления доступа;

Защита криптовалютных платежей

"Цифровая валюта" - это анонимно, конфиденциально и безопасно! Но безопасно - в каком случае? Ведь основная масса держателей криптовалюты доверяет все свои сбережения третьим лицам, которые в случае их ликвидации или кражи никому ничего не будут должны! В частности, это: онлайн-обменники, криптовалютные биржи, онлайн-кошельки и программные кошельки (хранят информацию на компьютере пользователя).

Даже если криптовалютная биржа уверяет своих клиентов в супер надежности и безопасности, хакерам все же удается взламывать такие «надежные» сервисы, о чем вы можете самостоятельно найти информацию в сети.

И поскольку у криптовалюты не существует гарантов в виде финансовых учреждений (как в обычной банковской системе), пользователи сами несут ответственность за сбережение своих кровных. В первую очередь:

  • Доверяйте криптовалютным биржам и онлайн-кошелькам небольшие суммы;
  • Копии резервных кошельков храните в нескольких местах одновременно;

Создание кошельков на флэш-накопителе USB

Безопасный криптовалютный кошелек можно реализовать на флэш-накопителе USB. Для данной операции подходят несколько видов "легких" криптовалютных кошельков, таких например, как Electrum (он работает в MacOS, Windows и Linux).

В компьютерной версии кошелька Electrum пользователи могут воспользоваться опцией добавления операционной системы (ОС) на флэш-накопитель - будет создан загрузочный USB-накопитель с операционной системой наподобие Tails или Ubuntu, где будут хранится данные кошелька для безопасного хранения и проведения финансовых операций.

Другие приложения на этом устройстве хранить не рекомендуется, такой диск следует использовать исключительно в качестве безопасного криптовалютного кошелька.

Специальные криптовалютные флэш-кошельки

Ряд компаний (такие как Opendime, Ledger, Trezor, Keepkey и другие) предлагает аппаратные криптовалютные флеш-кошельки для безопасного хранения криптовалют. Как правило, они защищены встроенными элементами безопасности и на них установлено специальное ПО, даже если злоумышленники смогут заполучить флэш-кошелек физически, то воспользоваться им будет затруднительно.

Храните деньги на USB
Граждане! Храните деньги на USB! Если, конечно, они у вас есть

Четыре важных совета по безопасности онлайн платежей

Двухфакторная аутентификация - дополнительный уровень безопасности, даже несмотря на потенциальные уязвимости, всегда используйте ее!

Немедленный выход. После завершения банковских операций необходимо сразу же выйти из аккаунта и устройства для предотвращения шпионажа вредоносным ПО.

Использование параллельных устройств. Всегда используйте второе устройство для получения пароля при двухфакторной аутентификации. Также это актуально, если вам необходимо передать логин и пароль другому лицу: для передачи логина используйте одно устройство или канал связи, а для пароля другое устройство и канал связи.

Ограничивайте платежи. Для онлайн банкинга полезно ограничивать сумму платежей. Если у вас регулярные месячные платежи не превышают определенную сумму, вы можете установить ограничение на эту сумму, которое предотвратит в худшем случае снятие всего баланса со счета.

Оцените материал:
Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (10 голоса, рейтинг: 4,50 из 5)
Загрузка...

Вячеслав - типичный интернетчикВячеслав Скоблей (ака files) - типичный интернетчик. Скитаюсь интернетом, пишу на PHP, увлекаюсь созданием веб-сайтов на Wordpress, решаю многочисленные проблемы, которые до появления интернета не существовали...

Специализируюсь на безопасности сайтов: защищаю сайты от атак и взломов, занимаюсь лечением вирусов на сайтах и профилактикой...

Наверняка у Вас есть вопросы, просьбы или пожелания. Не стесняйтесь спросить, я отвечаю всегда быстро...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *