Многие граждане несознательно упрощают мошенникам задачу проникновения в личный кабинет онлайн-банка, рассказал руководитель группы исследований безопасности банковских систем Positive Technologies Максим Костиков.
По его словам, в настоящее время очень часто происходят утечки банковской информации со сведениями о картах и персональными данными клиентов.
Для восстановления доступа к личному кабинету необходимо иметь информацию о логине и пароле, данные карты и номер телефона. Мошенники перехватывают СМС-сообщения и в результате могут изменить аутентификационные данные клиента.
Упростить злоумышленнику доступ к личному кабинету пользователя может использование номера телефона в качестве логина для входа в мобильный банк. Кроме того, проникнуть в личный кабинет проще, если для восстановления доступа необходим только номер телефона и карточные данные или информация из публичного доступа.
Третьим фактором становится то, что СМС-уведомления можно перехватывать. По возможности, клиентам банков нужно переключиться на push-уведомления.
«Для нивелирования данных угроз банкам необходимо добавить дополнительный фактор аутентификации при восстановлении доступа, а именно — кодовое слово, генерировать произвольные имена пользователям и разрешать их менять, добавить функционал подтверждения переводов только по push», — цитирует Костикова «РИА Новости».
Однако даже при попадании в личный кабинет пользователя злоумышленник столкнется с антифрод-системой банка. При подозрительной активности в аккаунте она должна не позволить мошеннику нанести финансовый вред клиенту или минимизировать его.
Как ранее, в апреле, выяснили «Известия», мошенники стали направлять россиянам СМС с кодом для регистрации счета юрлица или ИП в банке. Сообщение уведомляет о «регистрации в гостевой зоне для юрлиц на сайте Сбера».