Опасное удобство: как защитить банковские счета, привязанные к смартфону

Самое простое правило

По словам Ольги Дайнеко, чаще всего попытки злоумышленников воспользоваться чужим смартфоном для вывода денег заканчиваются тем, что они пытаются использовать его для бесконтактной оплаты, но и кража денег со счетов, привязанных к установленным банковским приложениям, тоже случается. При этом надо понимать, что именно полноценный взлом невозможен без привлечения профессионалов высокого уровня — это удовольствие не из дешевых, а значит, к таким методам прибегают только в случае, если нужно украсть значительные суммы со счетов, на которых они заведомо есть.

Поэтому первый и самый главный совет, который дает Ольга Дайнек,о — не хранить все основные средства на счетах, привязанных к функциям оплаты или приложениям, установленным на смартфон.

— Не нужно привязывать к функции бесконтактной оплаты карты и счета, на которые поступают зарплата, вознаграждения и хранятся сбережения, в том числе карты, считающиеся основными, — говорит Дайнеко. — Для текущих расчетов и бесконтактной оплаты нужно использовать отдельную дебетовую карту, на которую можно перечислять определенный денежный лимит. К слову, это не только разумно, но и финансово грамотно во избежание спонтанных покупок.

В принципе, самый лучший способ защитить свои деньги — иметь несколько счетов в разных банках и ставить на смартфон приложения тех, чьи платежные средства используются в повседневной жизни. А приложения банка, где лежат основные средства, не устанавливать вовсе. Тем более сейчас большинство банков подключено к системе быстрых платежей (СБП), которая позволяет переводить до 100 тыс. рублей в месяц без комиссии. Вскоре, по словам первого зампреда Банка России Ольги Скоробогатовой, переводы между своими счетами в разных банках через эту систему и вовсе могут сделать бесплатными без ограничения по сумме.

— Все депозиты, где находятся накапливаемые средства, не должны отражаться (не должны быть подключены) в мобильном банке. Для распоряжения значимыми суммами лучше использовать домашнюю сеть интернет, защищенное устройство и вход через двухуровневую идентификацию интернет-банка, — добавляет Ольга Дайнеко.

Что делать со смартфоном

При использовании непосредственно смартфона для проведения финансовых операций в первую очередь важно помнить, что делать это, подключаясь к незапароленным общественным сетям Wi-Fi, нельзя ни в коем случае. Кроме того, нельзя скачивать приложения и игры из незнакомых источников, в том числе по сторонним или присланным ссылкам.

— Чаще всего вредоносные программы, ворующие данные из банковских приложений, внедряются в «интересные» игры. Такой вид кражи данных называется «рутинг». Пользователь смартфона в этом случае может не догадываться, что постороннее лицо получило доступ к устройству и всем приложениям, — предупреждает Дайнеко.

Вместе с тем эксперт советует установить суточный лимит по операциям и СМС-уведомления для каждой из них, а также установить антивирус на смартфон. Вообще, большинство банковских приложений уже содержат антивирусный компонент, но перестраховаться лишним не будет, говорит собеседница «Известий».

Обновление банковских приложений лучше сделать автоматическим: чаще всего они основываются именно на исправлениях системы безопасности, которые были внедрены после того, как специалисты банка обнаружили уязвимости в более ранних версиях.

Что касается паролей, ни в коем случае нельзя использовать одни и те же коды для разблокировки смартфона и установленных на него приложений: они обязательно должны быть разными. Вдобавок ключи следует периодически менять, а функцию автозаполнения паролей лучше вовсе отключить — хоть это и удобно, но воспользоваться ей смогут и мошенники, завладевшие устройством. А разблокировку самого смартфона лучше делать исключительно через цифровой или цифро-буквенный код, а не посредством инструментария по распознаванию лиц и отпечатков пальцев.

— В большинстве случаев для распознавания по лицу в телефоне используется только фронтальная камера и набор не слишком сложных алгоритмов. Однако чаще это просто фото без ИК-сенсора и точечного проектора, который вполне возможно обмануть с помощью распечатанной или выведенной на экран фотографии, взятой из соцсетей, например, — говорит Дайнеко. — Сканер отпечатка пальца удобен, но тоже не идеальное средство защиты. На данный момент на любом телефоне самым безопасным и надежным средством остается PIN-код. Лучше, если он составляет не менее шести знаков.

Перевыпуск SIM-карт

Ольга Дайнеко также отмечает, что ранее мошенники пользовались способом перевыпуска SIM-карт по поддельным доверенностям, но сейчас этот способ практически не используется.

— Большинство банковских приложений считывает уникальный идентификатор SIM-карты и блокирует любые операции до тех пор, пока клиент не подтвердит перевыпуск SIM-карты обращением в банк или регистрацией кодовой информации в банковском приложении, — говорит она. — Именно поэтому многие пользователи замечают, что, поменяв SIM-карту (например, взамен старой и физически изношенной, но с тем же номером) или при покупке нового устройства, банковское приложение перестает работать и требует подтверждения аутентификации владельца счета.

Тем не менее перестраховаться от несанкционированного доступа к вашей SIM-карте всё равно будет не лишним: для этого нужно у своего мобильного оператора оформить заявление о запрете перевыпуска SIM-карты без присутствия владельца.

Говоря о постепенно внедряемых виртуальных SIM-картах eSIM, важно упомянуть, что безопасность от дублирования и перепрограммирования, которую они обеспечивают, с другой стороны компенсируется риском взлома облака, в котором хранятся ее данные.

— Однако ввиду особенности технологии очевидно, что на устройстве, которое использует eSIM, будет невозможно создать новый профиль без пароля владельца устройства. При каждой загрузке — даже при сбросе к заводским настройкам — будет загружаться профиль предыдущего владельца, а это, в свою очередь, позволит удаленно определить местоположение устройства, — говорит Дайнеко.

Если потеряли

При утере смартфона нужно как можно быстрее выполнить несколько действий в строгой последовательности. Первым делом нужно связаться с банком и сообщить о возможности несанкционированного доступа к счетам и заблокировать их вместе с картами. После этого нужно сделать то же самое с SIM-картой, оставшейся в утерянном телефоне.

Если устройство поддерживает удаленный доступ через аккаунт на сайте производителя, следующим шагом нужно воспользоваться этой функцией и стереть со смартфона все данные, а его заблокировать.

При наличии подозрений, что телефон был именно украден, Ольга Дайнеко рекомендует обращаться в полицию с заявлением о краже. Это необходимо не только для поиска украденного телефона, но и для подтверждения, что средства с банковских счетов списаны или переведены не вами.

Александр Лесных