Все
разделы

Публикации

Как взломать интернет-банк?

Ответ на этот вопрос могут дать соцсети.

На днях мне рассказали любопытную историю. Началось все со смены пароля в интернет-банке (ИБ) одной небезызвестной на рынке кредитной организации. Сама по себе операция элементарная, обычно совершается в «настройках» или «профиле» – в зависимости от системы. И вот клиент заходит в свой «профиль» в личном кабинете интернет-банка и видит, что там появилась новая функция, позволяющая интегрировать ИБ со своей страницей в Facebook или «ВКонтакте». Делать этого знакомый не стал, поскольку у него сразу же возник вопрос – безопасно ли такое действие?

Ответ на этот вопрос зависит от того, насколько далеко будут заходить банки в интеграции своих электронных офисов и соцсетей. Полагаю, что на данный момент угрозы нет, но даже первые «росточки» заставляют задуматься. Дело в том, что креативным бизнес-подразделениям банков, всегда нацеленным на повышение уровня клиентского сервиса, в дискуссиях с представителями безопасности порой даже по спорным вопросам удается одерживать верх. Найти баланс между удобством и рисками не всегда просто. И в какой-то момент какой-то банк может решиться, например, интегрировать ИБ в соцсети до такой степени, что пользователь сможет заходить в банковскую систему без дополнительных логинов и паролей – например, непосредственно со своей страницы в Facebook. И вот тогда мы наверняка столкнемся с новой волной мошенничества, которая будет касаться именно интернет-банка.

На данный момент в подавляющем большинстве случаев мошенники предпочитают воровать деньги с банковских карт, поскольку там все проще, возможностей больше, в частности – по причине невнимательности самих пользователей кредиток. С ИБ в плане мошенничества намного больше возни, кроме того – прозорливые банки давно придумали подтверждать каждую операцию об оплате одноразовыми паролями, которые приходят на мобильный телефон конкретного клиента.

Хотя рассказывали мне реальный случай: сидел один хороший человек в кафе, открыл ноутбук, зашел в интернет-банк, что-то там сделал, закрыл и стал допивать кофе. А за спиной у него сидел другой человек – не очень хороший. Он подсмотрел логин и пароль, также зашел в этот интернет-банк со своего устройства и совершил операцию перевода средств. А как же разовый пароль? Он его тоже подсмотрел – именно тот, нужный, от «свежей» операции: владелец ИБ сидел перед ним и достал телефон, на который пришло SMS-сообщение с кодом. Зоркость глаз – оружие мошенника.

Но пока такие истории – редкость, как и в целом кража денег в интернет-банках. И не портил бы я эту статистику соцсетями. Очевидно, что в случае тесной интеграции как минимум попасть в банковский кабинет клиента мошенникам станет намного проще. Страница в соцсетях не блокируется автоматически и не просит снова ввести пароль после того, как клиент забыл, что она открыта. Как правило, уже второй вход в соцсеть с конкретного компьютера происходит автоматически – ничего вводить не нужно, все пароли сохранились, ведь так удобней пользователю. И так далее, и тому подобное…

Кстати говоря, даже просто зайти в ИБ клиента, не имея доступа к одноразовым паролям, – это уже немало. Мошенник сможет оценить состояние счетов человека и принять решение, «работать» ли дальше в этом направлении или продолжить поиски кого-то более состоятельного.

А с одноразовыми паролями мошенникам станет легче – благодаря той же интеграции с соцсетями, пользователи которых очень любят заходить туда с телефона. Украсть телефон – дело пустяковое. Причем можно взять его «теплым», прямо с открытой страницей в том же Facebook (и даже если она закрыта, пароль для входа на нее телефон обычно не запрашивает, поскольку он уже был когда-то введен и сохранен). Далее дело за малым: через социальную сеть входишь в ИБ, делаешь перевод, пароль приходит на этот же украденный телефон. Результат – «жертва» остается без телефона и без денег.

Надеюсь, что мои фантазии таковыми и останутся. И до серьезной интеграции ИБ и соцсетей дело не дойдет. А лучше, чтобы эти две вещи существовали в параллельных мирах. Через интернет-банк будем платить и переводить, а в соцсетях пусть каждый делает, что хочет. Лично я прекрасно обхожусь без них.

Кирилл Гуманков