Busy executive reading email and talking on phone at same time. Serious senior businessman trying to focus on report while using mobile phone. Multi-tasks concept

С любопытной (и пренеприятной) ситуацией столкнулся один мой знакомый. У него украли деньги с карты, при этом он даже не пользовался мобильным приложением банка.

Произошло всё следующим образом.

У него есть карта в одном банке (название банка роли не играет, боюсь, с чем-то подобным могут столкнуться клиенты самых разных банков). Мобильного приложения банка у него не установлено по принципиальным мотивам — боялся хакеров, вирусов и всего такого. При этом он активно пользовался онлайн-банком на сайте банка — отправлял переводы родственникам.

Однажды  он обнаружил, что деньги с карты испарились после перевода с карты на карту. Получатель платежа — лицо неизвестное.

Общение с банком ни к чему не привело: «Вы совершили перевод, используя мобильное приложение, код для подтверждения операции был направлен вам на телефон».

При этом SMS-сообщений о списании (необходимых для подтверждения перевода) он не получал, да и вообще не пользовался мобильным приложением, как я уже писал выше.

В итоге в банке ему предложили обращаться в полицию. В полицию он не пошёл — сумма не такая, чтобы заморачиваться.

Но ситуация стоит того, чтобы в ней разобраться.

Как мошенники провернули операцию по списанию средств через мобильное приложение

Ситуация развивалась следующим образом.

  1. Мой знакомый открыл сайт банка и ввёл там имя и пароль для входа.
  2. Ему предложили ввести код для входа в онлайн-банк, отправленный по SMS.
  3. Он ввёл код и получил сообщение об ошибке — код введён неверно.
  4. Тогда он попробовал войти ещё раз, но в этот  раз код очень долго не присылался и он закрыл сайт.
  5. Через некоторое время он попробовал снова зайти в личный кабинет на сайте банка и в этот раз уже обнаружил, что денег нет.

Выглядит всё очень обыденно и странно, если не знать, что первый раз, заходя на сайт банка, он набрал название банка в поисковике и перешёл по ссылке.

Первая ссылка в результатах поиска оказалось рекламной, и привела в итоге на фишинговый сайт.

Фишинг — это вид интернет-мошенничества, при котором с помощью сайтов, оформленных как сайты известных компаний, выманивается конфиденциальная информация, необходимая для получения доступа к реальным ресурсам.

Рекламные сервисы должны модерировать то, что рекламируют, но периодически злоумышленникам удаётся прорекламировать что-то, что не должно проходить модерацию.

Кроме того, ссылки в результатах поиска могут подменяться и расширениями для браузера — в цифровых магазинах Google Chrome и Firefox модерация тоже оставляет желать лучшего.

Таким образом, SMS-код, который ввёл на сайте мой знакомый, был кодом для установки мобильного приложения на телефон злоумышленника. После этого, приложение автоматически переключилось на работу с Push-уведомлениями.

Сразу после подключения онлайн-приложения, происходит автоматическое подключение push-уведомлений.

Эти уведомления отправляются через интернет прямо на устройство, вместо SMS-уведомлений. Т.е. после этого с помощью мобильного приложения можно было бы делать всё что угодно, — владелец счёта об этом бы не узнал.

Короче всё оказалось следствием невнимательности моего знакомого, «помноженное» на плохую модерацию в поисковике и то, что переключение на пуш-уведомления происходило без дополнительного согласия клиента.

Как не оказаться в такой ситуации

Самая главная ошибка, которая была совершена в этой ситуации, заключается в том, что для перехода на сайт банка был использован поисковик.

Это не страшно, просто в таких случаях нужно избегать рекламных ссылок и проверять адрес сайта на который они приводят. Но ещё лучше вводить адрес сайта банка вручную.

Самое забавное в этой ситуации заключается в том, что если бы мой знакомый изначально установил мобильное приложение, то не оказался бы в такой ситуации. То есть использование мобильного приложения защищает вас от угрозы фишинга — вы не переходите по ссылкам, а запускаете приложение, которые достаточно установить один раз.

Конечно, не стоит забывать и об ответственности банка — переключение на Push-уведомления, на мой взгляд, должно подтверждаться через SMS, и об ответственности рекламной службы.

Только без денег в этом случае рискует остаться клиент, поэтому ему нужно полагаться, в первую очередь, только на себя.