Ваша учетная запись в финансовой институции (т.е. доступ к банковскому или любому другому счёту) — это основная цель кибер-преступников. Поэтому первое, что следует сделать в первую очередь — активировать двухфакторную аутентификацию, чтобы усложнить злоумышленнику перехват вашей учётной записи.
Двухфакторная аутентификация: как это работает?
Включить двухфакторную аутентификацию — это словно добавить противоугонную секретку на автомобиль: если украдут ключ, то все равно не смогут завести, ибо секретку знаете только вы. Двухфакторная аутентификация — это не просто вход в систему в два этапа, а необходимость ввести данные двух разных типов, используя разные каналы передачи данных (Интернет, мобильная связь, отдельное приложение и т.д.).
Платежная директива PSD2, которая регулирует европейские электронные платежи, выделяет три типа информации, минимум два из которых должны быть использованы при безопасной аутентификации:
- информация, которую знает только клиент (уникальный номер клиента, пароль, пин-код и т.п.);
- предмет, принадлежащий клиенту (мобильный телефон или другое устройство, на которое приходит уникальный код);
- сам клиент (биометрические данные).
А карта кодов разве не годится?
До недавних пор вторым фактором считалась карточка с кодами, выдаваемая банком, но эти коды являются статичной информацией и в этом плане мало чем отличаются от пароля. Код, который приходит вам по смс или на электронную почту, уникален: его нельзя предугадать или использовать повторно.
Стоит ли подключать?
Да, сперва может казаться, что это усложняет процесс, но двухфакторная аутентификация занимает всего лишь дополнительные полминуты и значительно сокращает риск утечки ваших финансовых данных и самих средств. Неужели ваши сбережения не стоят дополнительных 30 секунд?
Все ли предлагают двухфакторную аутентификацию?
Если ваш банк (или другая финансовая организация) предлагает возможность двухфакторной аутентификации, не поленитесь этим воспользоваться. Если же сервис, которым вы пользуетесь, содержит ваши финансовые данные и не предлагает такой опции, то это повод задуматься о его надежности и добросовестности. К слову, имеет смысл обеспокоиться защитой не только финансовых, но и персональных данных. Включайте второй фактор везде, где только можно.
Сеть
У меня двухфакторная аутентификация. Я спасён?
Итак, будем считать, что учетную запись мы защитили, как могли. Но это не панацея, если мы пользуемся незащищенной сетью. Любые финансовые операции, любой вход в ваш интернет-банк и личный кабинет финтех-платформ через публичный WiFi — это колоссальный риск поделиться всеми своими данными с мошенниками.
Что плохого в общедоступном WiFi?
Его общедоступность. Мы не знаем, кто его контролирует и как он защищен. Во-первых, вы можете по ошибке вообще воспользоваться не той сетью: злоумышленнику проще простого прийти в публичное место, создать WiFi-сеть с Названием-Публичного-Места-Free, начать раздавать беспроводной интернет и видеть все ваши действия. Во-вторых, может быть взломана та настоящая сеть, к которой вы подключены. В обоих случаях мошенники получают все данные, которые вы вводите на своем компьютере — именно поэтому важна двухфакторная аутентификация, так как уникальный-код нельзя использовать повторно, а биометрические данные довольно сложно подделать (сетчатка глаза, голос, форма лица и т.д.).
Мобильный интернет
Это самый безопасный способ совершать финансовые операции, находясь в общественном месте. В этом случае между вами и провайдером связи (который гарантирует безопасность) нет посредников (которые не гарантируют вам ничего). Правда, если вы раздаете свой мобильный интернет с телефона на компьютер, вы превращаетесь в WiFi-точку, которая хоть и более надежная, но все же — теоретически — уязвимая.
«Теоретически» — потому что эту раздачу вы создаете на какой-то короткий промежуток времени. Но если вы опасаетесь, что за вами может целенаправленно охотиться продвинутый хакер, совершайте платежи с мобильного телефона или планшета, где есть сим-карта с мобильным интернетом.
VPN
VPN — виртуальная частная сеть, которая не только помогает обойти географические и законодательные ограничения (например, если какие-то ресурсы на территории, где вы находитесь, официально заблокированы). VPN также защищает ваши данные от мошенников, которые пользуются уязвимостью сети WiFi. При создании VPN исключается возможность «вклинивыться» или возможность перехвата данных до пункта VPN, к которому вы подключаетесь.
NB: учитывайте, что некоторые финансовые институции блокируют возможность доступа через VPN.
Домашний WiFi
Конечно, домашняя сеть — не приоритет для злоумышленников. Однако никто не может быть застрахован от условного соседа-хакера, который обнаружил уязвимость вашего WiFi и решил его взломать.
Зачастую пользователи ничего не знают о том, как настроен их WiFi: подключили, заплатили, воткнули в розетку. Вот стандартные рекомендации для защиты домашней сети WiFi:
- замените заводское название сети и пароль; введите шифрование (это можно сделать при введении пароля — выбирайте WPA2 или WPA2 AES);
- отключите удаленный доступ к настройкам роутера, если он у вас включён (зайдите в разделы ”Remote Access” и ”Remote Help”);
- выключайте роутер при длительном отсутствии.
Сайты
Фишинговый сайт? Что это?>
Фишинговый сайт — это тот, который притворяется сайтом вашей финансовой институции. Он выглядит точь в точь как сайт вашего банка или финтех-платформы. Это нехитрая технология: в интернете полно инструментов, чтобы просто скопировать, клонировать сайт.
Как это работает?
Например, вам приходит письмо по электронной почте от вашей финансовой организации: что-то изменилось, пожалуйста, зайдите в ваш аккаунт и что-то поменяйте. И ссылка. Вы проходите по ссылке — все выглядит как обычно. Сама строка адреса тоже выглядит «как надо»: достаточно поменять одну букву на похожую, и вы никогда этого не заметите (например, заменить в адресной строке прописную l на заглавную i — они будут выглядеть идентично).
В этом якобы личном кабинете вас просят ввести сперва одни данные, потом другие, потом появляется табличка «ошибка» и просьба повторить ввод. Если у вас двухфакторная аутентификация, в этот момент вы вводите уже второй по счету уникальный код — а в это время хакер, получающий ваши данные, этим кодом подписывает транзакцию. Свою. За ваш счет. Код, который приходит по смс/почте, действителен 30-60 секунд (в зависимости от степени защиты), но для ловких мошенников этого вполне достаточно.
Как распознать подвох?
Зайдите в вашу учетную запись не по ссылке, а через браузер, как вы делаете это обычно или наберите адрес вручную. Если там действительно какие-то изменения, вы наверняка увидите сообщение в своем личном кабинете.
То есть: никогда не совершайте никаких действий, связанных с вводом собственных данных, на той странице, которую вы открыли по ссылке из письма. Письмо может быть отправлено кем угодно!
Кроме того, всегда можно воспользоваться услугами virustotal.com: на этом сайте можно узнать, содержится ли вирус в конкретной ссылке или нет.
Это единственная опасность, связанная с сайтами?
Нет! Сайт, на котором вы совершаете покупку, может быть источником финансовой угрозы: он может быть специально создан мошенниками, чтобы заполучить доступ к вашему счёту. Вы не поверите, насколько часто это встречается.
Например?
Например, вы захотели купить брендовую сумку со скидкой в 90%, ввели свои карточные данные, но что-то пошло не так. Денег с вас не списали, сумку вы не получите, но ваши данные достались какому-то третьему лицу, скорее всего, сомнительному.
Как отличить
Существует несколько примет, по которым можно определить надежный сайт от подозрительного.
SSL-сертификат
Secure Socket Layer — это самый популярный на сегодняшний день сертификат, который, во-первых, подтверждает подлинность сайта, а во-вторых, гарантирует безопасное шифрование данных.
У обладателей SSL-сертификата в строке браузера (URL) можно увидеть зеленый замочек и название компании (название не всегда может отображаться, но даёт уверенность пользователю что вы находитесь на сайте компании), владеющей сайтом.
Кроме того, SSL-сертификат дает право на использование протокола https (т.е. к простому http добавляется s как secure).
Если вы видите красный значок, оранжевый или перечеркнутый — это повод задуматься и вовремя отказаться от транзакции.
Как еще можно проверить интернет-магазин (и другой сайт, с помощью которого вы планируете перевести средства)?
Обратите внимание на логотипы карточных производителей: если сайт мошеннический, то лого VISA/MasterCard будут отличаться от оригинальных (см. ниже).
Полезный сервис Who Is поможет проверить данные о владельце сайта.
Что делать, если вы раскусили мошенника?
Сообщите в ту финансовую организацию, которой мошенник «прикидывается». Возможно, это не единичный случай, и вы поможете остановить массовую атаку на клиентов конкретной организации. В целом в каждой стране есть отдельные структуры, которые занимаются киберпреступлениями — если вдруг у вас какой-то другой кейс, обратитесь к ним. Например, в Латвии за это отвечает CERT.
А что такое 3D-Secure? Это меня от чего-то защищает?
3D-Secure — это особый протокол авторизации при онлайн-покупках. Говоря человеческим языком, это когда при оплате чего-либо на сайте поставщика вы переправляетесь на сайт своей финансовой институции. Это, безусловно, надежнее: ведь там вы вводите все свои два фактора и другие меры безопасности.
Это значит, что надо избегать тех сайтов, где нет 3D-Secure?
Отнюдь. По закону, если онлайн-торговец не обзавелся 3D-Secure, он несет финансовую ответственность за риск утечки ваших данных и обязан компенсировать вам средства за ту покупку, которую вы не совершали.
Например, если кто-то похитил ваши карточные данные (допустим, просто украл вашу карту) и что-то приобрел себе на сайте, где нет технологии 3D-Secure, компания, владеющая сайтом, должна вернуть вам деньги. Данные требования регулируются правилами VISA/MasterCard.
Почему такие же некоторые компании не используют 3D-Secure?
Самый частый пример — это транспортные компании, например авиаперевозчик Ryanair. Отсутствие 3D-Secure не несет для них репутационных рисков. Здесь работает элементарная финансовая выгода: если суммы, связанные с выплатами по искам не превышают стоимости технологии 3D-Secure (которую надо не только внедрить, но и поддерживать), то компании удобнее обходиться без нее.
Как понять, что ваши финансовые данные украли?
Регулярно проверяйте выписку по счёту. Обычно мошенники совершают очень много покупок за короткий срок (ведь вы рано или поздно обнаружите брешь и заморозите счёт), причем стоимость покупок меняется по возрастающей (чтобы проверить ваши лимиты и не переборщить). Среди наиболее частых покупок — билеты на транспорт, косметика, техника. Ещё одна отличная мера контроля — это смс-оповещение о любом списании средств.
Эти покупки совершаются только в интернет-магазинах?
Нет, украденные карточные данные легко внедряются в липовую карточку. Покупается пластик и программируется на черном рынке.
Что делать, если вашим счётом пользуется мошенник?
Как только вы обнаружили, что не совершали данных покупок, немедленно обратитесь в финансовую институцию. Во-первых, необходимо заблокировать счёт, во-вторых, надо написать заявление, чтобы начать расследование. Если покупки были сделаны на сайтах без 3D-Secure, вам вернут денежные средства, в остальных случаях финансовая организация начнёт своё расследование.
Какие еще меры по безопасности собственных данных?
Вирус — это не только когда «с моим компьютером что-то не так», это еще и одна из главных угроз для финансовой безопасности. Поэтому стоит придерживаться всех стандартных антивирусных мер.
Проверяйте получателя средств
Если вы оплачиваете счета с помощью инвойсинга — т.е. когда вам по электронной почте/смс выставляют счёт — не забудьте проверить получателя денежных средств. С помощью вирусов мошенники могут отслеживать электронную почту, перехватывать письмо со счётом и менять номер реального поставщика на свой. В этой ситуации вы можете оказаться одновременно и жертвой, и ответственным лицом — ведь вы собственноручно переведёте деньги.
Купите надежный антивирусник
Здесь как со здоровьем: лучше не экономить. Купите антивирусник из тех, которые входят в топ-10 на сегодняшний день.
Используйте лицензионный софт
Если вы используете пиратские программы, то каждое обновление, вообще каждое действие — это потенциальный риск: никто не знает, что там прошито в коде программы и никто за это не несет ответственности. В этом плане владельцам техники Apple повезло чуть больше.
Не совершайте лишних действий
Ничего не скачивайте, не устанавливайте и не запускайте на своем компьютере, если не готовы дать голову на отсечение, что это не содержит вирусов. Конечно, речь не идёт об обновлениях по безопасности операционной системы!
Правильно покидайте сайт
Закрывать сайт через «выход», а не только само окно. Особенно, если используете чужой компьютер или сидите в интернет-кафе. Большинство финансовых учреждений используют такие Cookies, которые сохраняют всю вашу сессию (чтобы в самую ответственную минуту не прервалось соединение). Поэтому, выходя из личного кабинета, нажимайте на «Выход», а не просто на крестик в правом верхнем углу. Да, транзакцию злоумышленник совершить не сможет, но получит доступ к вашим персональным данным, что сегодня тоже на вес золота.
Bilderlings благодарит отдел безопасности компании за помощь в подготовке материала.
