Доброго времени!
Онлайн-банкинг сильно упростил жизнь простых пользователей, предпринимателей и организаций — ведь теперь большинство банковских операций можно выполнять даже с обычного телефона! Это очень удобно, ведь не нужно тратить время на дорогу и нервы в отделение банка, стоя в очередях с бабушками. ☝
Но интернет — это поле для раздолья мошенников и злоумышленников, которые круглосуточно охотятся на беззаботных пользователей в сети…
Если совершать финансовые операции можно без вашего личного присутствия и предъявления паспорта, то злоумышленник может сделать то же самое от вашего лица (чего очень не хотелось бы…).
В этой статье рассмотрим, как обезопасить свои данные и сохранность средств на счетах.
Угрозы для банковской карты: советы по безопасности
Раньше мошенники охотились за данными банковских карт. Так, получив номер карты, срок ее действия и CVC2/CVV2-код (он на обратной стороне карты, рядом с магнитной полосой), можно было оплатить любую покупку в интернете.
Меня всегда удивляло, как просто можно украсть деньги с чужого счёта, ведь в магазинах и ресторанах работники брали карту в руки, а иногда уходили с ней к терминалу! 👀,
Такая практика, к сожалению, ещё существует в некоторых местах. Периодически можно увидеть новость, что кассир с уникальной памятью запоминал данные карт и безнаказанно оплачивал покупки в интернете на десятки тысяч долларов!
Совет №1
Чтобы обезопасить себя от такого рода трат, рекомендуется найти и запомнить CVV2-код на обратной стороне карточки — а после стереть его с помощью лезвия (это самое надежное!). Также можно замазать его маркером или лаком для ногтей. Звучит смешно, но способ 100% рабочий.
Совет №2
В некоторых случаях, данные вашей кредитки могут попасть к третьим лицам и другим путём. В таком случае, в дополнение к первому способу, рекомендуется иметь подключённую услугу СМС-информирования об операциях по счёту.
Подключить эту услугу можно в личном кабинете практически любого банка. По Сбербанку у меня на блоге была отдельная инструкция (ссылка ниже).
В помощь!
Как пользоваться Сбербанк-онлайн — инструкция
Совет №3
Также нужно установить лимиты на операции:
- Общий лимит потраченной суммы в месяц,
- Суточный лимит,
- Лимит на одну покупку.
Установив небольшой лимит на одну покупку, вы будете сразу информированы о первой мошеннической операции. А то значит — что успеете быстро заблокировать карту через онлайн-банкинг или позвонив оператору Call-центра.
Т.к. лимит на одну покупку небольшой, то и потери минимальны. Минус этого способа в том, что для более дорогих покупок нужно увеличивать лимит в настройках карты.
Примечание!
Хорошо, что банки почти полностью перешли на технологию 3D Secure. Технология 3D Secure устанавливает новые правила покупок в интернете: для подтверждения транзакции нужно ввести проверочный код, пришедший по СМС.
При этом расплачиваться картой лично можно, как и раньше, без подтверждения по СМС. Это очень удобная фишка, которая гарантирует отсутствие «незапланированных трат», если банковская карточка находится у вас в кармане. При получении карты обязательно удостоверьтесь в банке, поддерживает ли она 3D Secure.
Совет №4
Выбирайте банк с хорошей репутацией. Например, был случай, когда у меня был установлен лимит на покупки в 100$, а я для теста сайта оформил авиабилет стоимостью 250$.
Сначала всё было нормально, транзакция была отклонена 4 раза подряд. Но на 5-й раз транзакция прошла успешно! Сказать, что удивлению не было предела – ничего не сказать! При этом поддержка банка резко опустилась по интеллекту до уровня одноклеточных и упрямо отказывалась понять суть происходящего…
Совет №5
Весьма неплохим вариантом может стать параллельное использование вместе с картой накопительного счета (копилки, депозита и т.д.). Разумеется, счет нужно открыть в этом же банке.
В чем суть: основные средства лежат на этом счете, а на карте лишь небольшая часть (прим.: со чета средства снять или отправить никуда нельзя, кроме как на вашу карту). И вы, по мере необходимости, по чуть-чуть пополняете карту…
Таким образом, даже если злоумышленник получит доступ к вашей карте — он сможет завладеть только небольшой частью средств…
Совет №6
Допустим, злоумышленнику удалось узнать данные от личного кабинета вашего онлайн-банка. Что он может сделать?
Ну, во-первых, если система более-менее приличная, то почти ничего, кроме просмотра баланса и истории транзакций (по крайней мере, без вашей ошибки или ‘помощи’ ему…).
При входе в личный кабинет есть несколько защит от несанкционированного доступа:
- Одноразовый пароль по СМС на телефон,
- Звонок робота из банка для подтверждения входа,
- Сравнение последнего IP-адреса, с которого был вход,
- Идентификация устройства (компьютера, телефона), которым вы обычно пользуетесь,
- Письмо подтверждения на электронную почту,
- Двойная аутентификация через приложение Google Authenticator или Authy.
Как видите, при использовании любого из пунктов, хакеру мало будет знать только логин и пароль от кабинета. Ему потребуется что-нибудь из этого:
- Доступ к электронной почте,
- Копия СИМ-карты с вашим номером телефона,
- Прямой доступ к телефону,
- Прямой доступ к компьютеру или рабочему столу.
Важно!
Даже если хакер зайдёт в ваш личный кабинет, то для выполнения любого действия, ему понадобятся дополнительные средства подтверждения транзакции.
И именно поэтому, никогда не сообщайте никакие данные из СМС-ок от банка, сообщений из почты и т.д. и т.п. Возможно, что от лица банка вам звонит не сотрудник учреждения, а хакер…
Как злоумышленник может получить ваш логин и пароль
Хакеры используют программы-шпионы, простыми словами – вирусы. Существуют самые разные шпионы, как простые, так и целые вирусные комбайны.
Самый очевидный и эффективный способ защититься от шпионов — это использование специальных антивирусов, больше деталей о таких программах тут. Рекомендуется установить полноценный антивирус и дополнительно инструмент защиты от Spyware. Давайте рассмотрим возможности вирусов-шпионов и как от них защититься.
Первый вариант
Представим самого беспечного пользователя, который хранит логины и пароли в текстовом документе «пароли.txt». Первым делом, шпион будет сканировать компьютер на наличие подобных файлов. Будьте уверены, если вы ведёте файл с паролями без шифрования, то он будет найден и отправлен злоумышленнику.
Чтобы защитить свои данные используйте менеджеры паролей, архивируйте файл архиватором WinRAR с парольной защитой, кодируйте пароли (например, меняя местами первый и последний символ).
В помощь!
Создание зашифрованного архива (с доступом по паролю).
Второй вариант
Затем, шпион включит функцию «кейлоггер» и будет записывать все нажатия кнопок на клавиатуре. Специальный алгоритм вычленит из потока данных логины и пароли, при этом вы ни о чём не будете догадываться.
Чтобы защититься от «кейлоггера» нужно пользоваться менеджерами паролей (которые есть в современных антивирусах) и виртуальными клавиатурами. Виртуальная клавиатура нарисована на экране, и, чтобы ввести символ нужно кликнуть по нему мышкой. Считаю этот способ целесообразен лишь для очень секретных кабинетов…
Третий вариант
Получив только логин без пароля, вирус попробует подобрать пароль методом перебора, по-научному – брутфорс. Т.е., пароль подставляется из многотысячного словаря распространённых в мире паролей.
По статистике, метод очень даже рабочий, но защититься от него проще простого — используйте сложные пароли:
- не короче 10 символов,
- большие и маленькие буквы,
- специальные символы.
Придумывать, запоминать и вводить сложные пароли не нужно, лучше эту работу доверить менеджерам паролей и генераторам сложных паролей. Главное, не вводите пароли на фишинговых сайтах.
В помощь!
Как создать надёжный пароль (или самые нелепые пароли, которые взламывают)
Четвертый вариант
Ещё одна лазейка для хакеров – подстановка логинов и паролей от одного сервиса к другому. Например, хакер взламывает какой-то городской форум и получает ваши данные, и затем пытается с их помощью войти в онлайн-банкинг. Защититься тоже очень легко — для каждой регистрации используйте заново сгенерированный пароль!
Пятый вариант
Устаревающий способ для финансовых организаций – сетевой сниффинг. Для работы сниффинга даже не нужен вирус. Хакер получает доступ к роутеру, например в общественной сети (а может даже владеет общим роутером) и анализирует трафик браузеров с помощью специального софта, выявляя конфиденциальные данные.
Этот метод работает благодаря использованию HTTP-протокола, при котором данные от браузера к серверу передаются в незашифрованном виде.
Сейчас все переходят на HTTPS, в котором данные шифруются, и их невозможно рассекретить. Тем не менее, если ваш онлайн-банкинг работает по HTTP-протоколу (адресная строка начинается с http://сайт…), то для работы с ним нужно использовать VPN-подключение.
Важно!
Обращайте внимание на адресную строку браузера. Если это реальный сайт банка — вы увидите перед адресной строкой небольшую картинку замочка: безопасное подключение!
Шестой вариант
Для обхода идентификации устройства и подтверждения по электронной почте, хакер может получить удалённый доступ к Рабочему столу и работать за компьютером от вашего имени.
Эту функцию (RAT) выполняет всё тот же вирус-шпион. Чтобы защититься от RAT нужно просто не заражаться вирусами 😊,, т.е. использовать современную ОС и антивирус (с антишпионским ПО и брандмауэром).