Защитите от хакеров ваши операции в онлайн-банке. Браузер для интернет банкинга
Новые опасности онлайн-банкинга | CHIP Россия
Неверный клик — и денег нет. Мы расскажем о частых ошибках и о том, как пользоваться безопасным браузером от CHIP, предназначенным специально для интернет-банкинга.
За рубежом борьбой с интернет-преступностью занимаются не только госорганы: сайт www.antiphising.org с 2004 года ведет просветительскую работу и собирает статистику онлайновых краж
Интернет-кошельки Webmoney и «Яндекс.Деньги» также подвергаются фишинг-атакам Радость от покупки нового ПК была велика.
Сервис-специалист только что подключил его к Сети, и наша читательница решила незамедлительно расплатиться за установку по системе интернет-банкинга.
После ввода пароля появилось сообщение об ошибке, и интернет-страница банка оказалась в оффлайне. Следующий вход в систему повергает нашу читательницу в шок: мошенники полностью обчистили ее счет. Эта женщина стала жертвой фарминг-атаки.
Все дело в том, что хакеры на несколько минут подменили портал банка на поддельную страницу.
Чтобы обезопасить вас от подобных проблем и помочь переводить деньги только нужному получателю, мы собрали и описали десять наиболее частых опасностей, возникающих во время использования систем интернет-банкинга. Кроме того, мы расскажем, как защитить себя от них, и одновременно снабдим вас отличным средством защиты — безопасным браузером от CHIP, который вы найдете на сайте http://download.chip.eu/ru.
Фарминг: новая форма фишинга
На приемы фишинга уже практически никто не попадается.
Во всяком случае так можно предполагать, поскольку большинство пользователей систем интернет-банкинга уже достаточно просвещены и более не кликают по ссылкам на банковские страницы в полученных электронных письмах.
Несмотря на это, старый знакомый фишинг эволюционирует и продолжает причинять наибольший вред при онлайн-банкинге.
Интернет-мафия не спит, мошенники разработали новую форму обмана — фарминг. По известному принципу пользователь попадает на фишинг-страницу, которая кажется схожей с оригиналом. Но ловушка работает иначе: вредоносная программа так перепрограммирует браузер на вашем компьютере, что даже при вводе правильного адреса банка браузер отсылает на поддельную страницу.
Решение. Лучшая защита — это обновленная версия антивирусной базы. Ведь такие атаки исходят главным образом от вредоносных программ. Кроме того, всегда следует проверять, начинается ли URL банка с комбинации https. Помимо этого в современных версиях браузеров адресная строка должна окраситься в зеленый или желтый цвет, а также появляется значок замка, информирующий о шифровании страницы. у многих имитирующих порталов эти признаки отсутствуют.
Но будьте внимательны: даже если страница обладает всеми перечисленными признаками, она, тем не менее, может быть фальшивой. Это значит, что если в портале банка обнаружится брешь в защите и хакер воспользуется ею для наложения фишинг-страницы, то браузер отобразит все необходимые защитные признаки. В этом случае при вводе данных доступа деньги будут потеряны.
Лучше наберите в браузере URL банка вручную и сохраните его в виде закладки — только при наборе веб-адреса вы окажетесь неуязвимы для фишинг-атаки.
Совет. Есть простая возможность разоблачить поддельную страницу: введите верный номер счета, но неверный PIN. Если страница принадлежит действительно вашему банку, то на экране появится сообщение об ошибке, поскольку данные доступа введены неправильно. Фальшивая страница, напротив, поблагодарит за ввод данных и отправит их хакеру, который будет долго ругаться.
Windows : защита не гарантирована
Серверы банков в большинстве своем неплохо защищены, в отличие от вашего компьютера — особенно если на нем установлена Windows.
Вместо того чтобы атаковать денежные подвалы банков, хакеры выбирают самое слабое звено цепи — пользователя операционной системы от Microsoft. Для того чтобы обезопасить себя от мошенников, пользователям ХР и Vista потребуются специальные защитные инструменты. Правда, они тормозят работу системы и требуют постоянной заботы. Это значит, что следует ежедневно обновлять антивирусные базы.
Решение. Даже не думайте выходить в Сеть под Windows без обновленной антивирусной базы! Кстати, самый высокий уровень защиты обеспечивает Linux. Благодаря решениям этой ОС вы забудете о медленных сканирующих программах, но взамен придется осваивать новый интерфейс.
Если вы параллельно пользуетесь обеими системами, то выполняйте финансовые операции под Linux, а письма и картинки обрабатывайте в Windows. Либо пользуйтесь LiveCD — например, Knoppix с ресурса www.knoppix.org. Но при переходе с Windows на Linux придется каждый раз перезагружать компьютер. Либо воспользуйтесь MokaFive Player (www.mokafive.com) — виртуализатором, базирующимся на VMware. Преимущество: можно без проблем запустить на виртуальной машине Damn Small Linux. Он небольшой, гибкий, в комплекте с ним поставляется Firefox, обеспечивающий более безопасный онлайн-банкинг.
Internet Explorer : множество «дыр» в защите
Браузер Internet Explorer небезопасен. Сделав в Firefox верные настройки и поставив нужные дополнения, вы имеете гораздо больше шансов отразить хакерскую атаку. Напротив, благодаря множеству брешей и наличию компонентов ActiveX Explorer дает широкое поле для действий хакеров. Компания по защите информации Secunia в августе этого года обнаружила 29 слабых мест в защите Internet Explorer 7, десять из которых представляют серьезную опасность. Если, несмотря ни на что, вы хотите и далее пользоваться программой, необходимо постоянно устанавливать свежие обновления.
Решение. Гораздо надежнее работать с Firefox, который, тем не менее, тоже требуется своевременно обновлять. Надежное решение — воспользоваться безопасным браузером от CHIP, который можно скачать на сайте http://download.chip.eu/ru. Мы дополнили портативную версию Firefox самыми важными плагинами безопасности, сделав ее прочнее и надежнее. Встроенный PhishLank SiteChecker защитит от поддельных банковских сайтов и предупредит, если вы уже находитесь на странице мошенников. Плагин имеет доступ к базе данных, в которую сообществом вносятся все известные фишинг-сайты.
Плагин No Script деактивирует, к примеру, JavaScript, представляющей при использовании интернет-банкинга серьезный риск. Большинство банковских порталов работает и без него.
Проблема, возникающая после деактивации JavaScript, заключается в том, что многие сайты с поддержкой Web 2.0 просто не будут корректно работать. Но если пользоваться безопасным портативным браузером и параллельно обычной версией Firefox, указанная проблема отпадает — и ваши финансовые операции оказываются под надежной защитой. Следующее преимущество: браузер запускается прямо с портативных носителей информации, таких как USB-накопители и CD. Пользуйтесь нашим Firefox только для осуществления денежных операций в Интернете. Сохраните на USB-накопителе ярлык к сайту банка и запускайте браузер только через него. Для этого откройте сайт банка, кликните по маленькому символу слева от URL в строке ввода браузера и, удерживая кнопку мыши нажатой, перетащите его на USB-накопитель.
С сожалением приходится признать, что можно столкнуться с банками, допускающими к работе со своими онлайн-системами только Internet Explorer, что не только не позволяет использовать Firefox и другие браузеры, но и лишает возможности осуществлять онлайн-банкинг под Linux. Тогда стоит подумать о замене банка на такой, который подходит более профессионально к обслуживанию клиентов во всех областях.
Открытая LAN : приглашение для хакеров
Незащищенная сеть опасна и привлекает внимание мошенников — при этом неважно, в проводной или беспроводной сети вы работаете.
Проникновение в последнюю, правда, удается хакерам намного проще.
Достаточно всего лишь ноутбука — и вор контролирует весь обмен данными, в том числе пароли PIN и коды TAN системы онлайн-банкинга. Шифрование WPA обязательно для беспроводных сетей. МАС-фильтр, разрешающий доступ к сети только определенным устройствам, дополнительно повысит защиту.
Но даже если вы не пользуетесь WLAN, а подключены напрямую через роутер, оборудование имеет слабое звено — пароль по умолчанию. Измените его, чтобы взломщики не проникли в вашу сеть через Интернет. Модель роутера можно идентифицировать «снаружи» посредством апплета Java и JavaScript. Мошенник может проникнуть на чужой роутер самыми обычными средствами и со стандартным паролем даже с противоположной стороны глобуса.
Имея доступ к оборудованию, он может запустить атаку Drive-byPharming. Это приводит к тому, что пользователь, как и в случае обычного фарминга, попадает на поддельную страницу банка. Антивирусная программа в этой ситуации не поможет, поскольку взлом осуществляется без установки вредоносного ПО на компьютере жертвы.
Запомнить имя и пароль: высокий риск
Даже в самом безопасном браузере может обнаружиться брешь. В Firefox версии 2.0.0.5 уязвимым был менеджер паролей. Если в браузере был активирован JavaScript и пользователь сохранял на рабочем месте личные данные доступа (имя пользователя и пароль), хакеры могли считать эти данные на специально созданных страницах и направить их дальше по цепочке.
Решение. Постоянно обновляйте версию браузера. Слабое место было быстро устранено, и Firefox снова уверенно держится на плаву, тем не менее, никогда не сохраняйте данные доступа в браузере: имя пользователя и пароль доступа к онлайн-банкингу должны вводиться вручную.
Хранение паролей TAN на ПК: нет гарантии безопасности
То же, что сказано про сохранение данных доступа, действует и в отношении паролей TAN (Transaction Authorisation Number — номера авторизации транзакций). Даже программные системы хранения и шифровки данных не гарантируют полной защиты от хакеров. В результате теста на безопасность хранения паролей мы обнаружили в некоторых программах слабые места и смогли обнаружить пароли. Еще одна опасность, которая остается всегда: как только пользователь открывает шифровальную программу, чтобы получить нужные пароли, — защита пробита. Мошенники могут считать информацию прямо с чужого монитора и получить доступ сразу ко всем паролям TAN.
Решение. Пароли TAN доставать лучше из ящика стола. В противном случае поинтересуйтесь у банка, предоставляют ли они услугу безопасного получения номера по SMS — mTAN. Процедура mTAN завязана у большинства банков на реквизитах получателя при переводах.
Если хакер перенаправляет денежный поток, TAN становится непригодным. Некоторые банки предоставляют эти услуги бесплатно, другие просят за отправку SMS небольшую сумму.
Ошибка ввода: деньги потеряны навсегда?
Маленькая ошибка с фатальным концом: если выполнять перевод в спешке, можно допустить ошибку при вводе номера счета получателя.
Банк выполняет ваше поручение как положено, только вот деньги попадают не туда, куда надо, и нужный адресат остается с носом. Что необходимо знать: банк не может вернуть ваши деньги, если проводка уже завершена, а это происходит довольно быстро. Разумеется, будет вдвойне обидно, если неверно введенный номер счета в действительности существует. Если именно так и произошло, то, несмотря на правовую обязанность получателя вернуть ваши деньги, этого может не произойти. В случае если адресат оказывается человеком финансово несостоятельным, деньги можно считать потерянными.
Решение. Лишний раз проверьте данные сразу после ввода, а затем еще раз, когда страница попросит подтверждения. Если появляется ошибка, то сразу же проинформируйте о случившемся банк. Хорошая защита от опечаток: приложите ваши документы о переводе средств — многие порталы позволяют сделать это.
Банкинг в дороге: зона опасности
Советуем соблюдать осторожность при использовании онлайн-банкинга в общественных местах, таких, например, как интернет-кафе. Есть вероятность перевести деньги хакерам, ибо неизвестно, насколько хороша антивирусная защита этого ПК. Кроме того, в рамках одной сети очень просто отслеживать весь обмен данными.
Выполняя финансовые операции, пользователь может и не обратить внимания, что за соседним столом сидит хакер и все протоколирует.
Решение. Избегайте денежных операций на чужих рабочих местах. Лучший вариант — мобильный банкинг.
Некоторые банки уже позволяют выполнять некоторые операции по мобильному телефону, к тому же бесплатно. В зависимости от провайдера могут возникнуть расходы на доступ к сети, которые окажутся довольно высокими при работе из-за рубежа. Но такие расходы все же несравнимо ниже убытков, которые способен причинить хакер. Согласно мировой статистике, в 2007 году средний убыток за одну хакерскую атаку составил около $6000.
Посредники в игре: суровое наказание
В нашем примере в начале статьи хакера разыскать не удалось, поскольку в игре оказался посредник, который перевел ему деньги по системе Western Union.
Получить перечисленные деньги мошенник может в любой точке мира спустя уже несколько минут. Для этого от него потребуется только удостоверение личности, которое в большинстве случаев является подделкой. Деньги пропали, а единственный, на ком можно сорвать злость, — посредник. Обычно им является во всех отношениях порядочный гражданин, обнаруживший у себя электронное письмо с предложением высокого вознаграждения только лишь за предоставление данных своего счета для перевода денег.
Решение. Не реагируйте на электронные письма с неправдоподобными обещаниями! За ними обычно всегда скрывается мошенничество. Используйте экспресс-службы для денежных переводов только в отношении действительно близких вам людей.
Некорректный выход из системы: роковые последствия
Состояние счета проверено, перевод денег выполнен, и вместо того чтобы затем выйти из системы надлежащим образом, вы просто закрываете окно браузера. Последствия могут быть фатальными, особенно в ситуациях, когда компьютером пользуетесь не вы один. Все потому, что на некоторых порталах можно войти в систему, просто нажав в истории браузера на нужный адрес, и для получения доступа к финансам даже не потребуют ввод PIN.
Решение. Правильно покидайте систему! Для дополнительной безопасности после сеанса банкинга можно удалить все следы, оставленные в браузере: историю, кеш и cookies.
Скорая помощь: как реагировать
Если худший сценарий все-таки реализован и вы стали жертвой мошенничества, воспользуйтесь следующими советами.
Заблокировать доступ.
Сохраняйте спокойствие и заблокируйте доступ к счету. Ежедневно проверяйте состояние счета. Так вы сразу сможете заметить наличие нежелательных транзакций, а банк, вероятно, успеет избавить вас от убытков.
Связаться с банком. Если вы уверены, что транзакция прошла успешно, но страница все равно выдает необъяснимую ошибку, сразу же проинформируйте об этом банк. Потому что как раз в этот момент хакер, очевидно, делает свое грязное дело. Несмотря на волнение, оставайтесь все же объективны, вежливы и точно опишите происшедшее.
Не производить на ПК никаких изменений. Больше не прикасайтесь к компьютеру, оставьте все как есть. Даже если вы заметили трояна, не закрывайте вредоносную программу.
Потому что только в этом случае можно проследить ход событий и установить, что в причинении убытков виноват мошенник.
Инструменты безопасного онлайн-банкинга F-Secure Internet Security 2008 — антивирусная программа Avira AntiRootkit Tool — защита от вредоносных программ Comodo Firewall Pro — защита Windows от троянов и хакерских атак NoScrlpt — больше безопасности во время интернет-серфинга PhishTank SiteChecker — защита от фишинг-атак SpyBot — Search & Destroy — предохраняет от программ-шпионов
ichip.ru
Настройки браузера для работы в системе Интернет-банк
Главная
Настройки браузера для работы в системе Интернет-банк
Настройки браузера для работы в системе Интернет-банк
Для прохождения процедуры «Предварительной регистрации» и начала работы в системе «Интернет-банк» на компьютере должно быть установлено следующее программное обеспечение:
Sun Java Plugin (Java 2)
USB-драйвер для токена "iBank 2 Key"
Как правило для работы с Интернет-Банком браузер не требует дополнительной настройки. Но в некоторых случаях по умолчанию настройка браузера изменилась/изменена и требует корректировки
Настройка Mozilla Firefox
Перед началом работы с системой Интернет-Банк на компьютере должно быть установлено следующее программное обеспечение: Sun Java Plugin (Java 2), USB-драйвер для токена "iBank 2 Key".
Для работы с системой в браузере Mozilla Firefox необходимо проверить следующие настройки:
В настройках Java должна быть включена поддержка Mozilla.
В открывшемся окне необходимо перейти на закладку "Advanced"
Далее надо развернуть пункт "Default Java for brawsers" нажав на значок " + " слева от надписи.
Далее необходимо проверить установлена ли "галочка" на пункте "Mozilla family" если нет, то надо её поставить.
И нажать кнопку "OK"
Закрываем окна настройки Java и "Панель управления".
Запускаем Mozilla Firefox, и открываем пункт меню "Инструменты" - "Настройки"
В открывшемся окне необходимо выбрать "Содержимое".
Проверяем установлена ли галочка в пункте "Использовать JavaScript". Если нет то ставим ее. Нажимаем кнопку "ОК".
Для вступления изменений в силу необходимо перезапустить браузер. И можно приступать к работе с системой "Интернет-Банк"
Настройка Opera
Запускаем Opera, и открываем пункт меню "Инструменты" - "Общие настройки.."
В открывшемся окне выбираем закладку "Расширенные"
Далее выбираем "Содержимое"
Проверяем установлена ли галочка в пункте "Включить JavaScript". Если нет то ставим ее. Нажимаем кнопку "ОК".
Для вступления изменений в силу необходимо перезапустить браузер. И можно приступать к работе с системой "Интернет-Банк"
Настройка Google Chrome
Запускаем Google Chrome, и в правом верхнем углу браузера нажимаем кнопку с изображением ключа "Настройка и управление Google Chrome"
В открывшемся меню выбираем пункт - "Настройки"
В окне "Настройки" необходимо выбрать пункт "Дополнительные"
Нажать кнопку "Настройки контента"
>
В разделе JavaScript, в пункте "Разрешить всем сайтам использовать JavaScript (рекомендуется)".
Для вступления изменений в силу необходимо перезапустить браузер. И можно приступать к работе с системой "Интернет-Банк"
ibank.transcapital.com
Введение в безопасный онлайн банкинг
Онлайн банкинг очень популярен, поскольку это действительно очень удобный способ оплаты счетов и покупок в интернете. Сегодня у каждого банка есть свой интернет-портал, где пользователи могут осуществлять платежи простым нажатием клавиш не выходя из дома или офиса. Когда речь идет о больших суммах и регулярных банковских операциях онлайн, встает вопрос их безопасности. Кибер преступники надеются на большой улов благодаря троянам, фишинговым сайтам и социальной инженерии. Чтобы не попасть в их ловушку, нужно быть не только предельно наблюдательным, но и в некоторой степени информационно подкованным. Прочитав эту статью вы узнаете, как можно обезопасить свои онлайн переводы средств при использовании различных устройств.
Если вы считаете, что ваш компьютер в безопасности лишь по той причине, что никто никогда у вас ничего не воровал, вспомните, как хакеры сливали персональные и секретные данные с серверов Google, Яндекс, Yahoo, NASA и т.д. Сравните уровень безопасности у этих корпораций и уровень безопасности на вашем Windows или Android устройстве чтобы понять всю серьезность данной проблемы.
Защита домашнего компьютера при онлайн банкинге
Большинство пользователей осуществляют онлайн банкинг через браузер на компьютере т. к. это более удобно, нежели производить банковские операции на экране маленького смартфона, но также более опасно. Windows (поговорим именно об этой ОС, как получившей наиболее распространение как настольная операционная система) всё ещё остается и будет оставаться главной целью для злоумышленников. Вот несколько важных советов, следуя которым вы сможете производить банковские операции на более безопасном уровне.
Устанавливайте обновления для Windows
Это наиболее важно, т. к. защищает компьютер от вредоносного ПО. Поэтому убедитесь, что у вас включена установка критических обновлений через Центр обновлений Windows. Прежде всего не устанавливайте такие обновления как «исправления» рекомендуемые Microsoft - т.к. в прошлом были проблемы с некоторыми из этих патчей. Однако, как упоминалось выше, установка критических обновлений обязательна для безопасности. В Windows 7 и 8 это настраивается в Центре обновления Windows - Включение или отключение автоматического обновления - удалить галочку с пункта Получать рекомендуемые обновления таким же образом, как и важные обновления. В Windows 10 отсутствует различие в устанавливаемых обновлениях.
Создание отдельной учетной записи
В добавление к установке обновлений и обязательной антивирусной защите рекомендуется создать отдельную учетную запись для банковских операций. Это усложнит доступ к уже защищенным файлам cookies и временным данным Windows, а так же защитит банковские счета, если они сохранены в папке «Документы» относящейся к отдельной учетной записи для банковских операций, потому что Windows блокирует доступ к вновь созданной учетной записи от других аккаунтов системы. Чтобы создать отдельный аккаунт в Windows 10 в Параметры - Учетные записи - Семья и другие пользователи - Добавить пользователя для этого компьютера - У меня нет данных для входа этого человека - Добавить пользователя без учетной записи Майкрософт - введите свои данные и нажмите Далее, после чего, локальная учетная запись будет создана.
Использование специального браузера для онлайн банкинга
Для банковских операций используется либо специализированное банковское приложение, либо специальный защищенный браузер, например BitBox (разработан в Германии по заказу правительства, работает в изолированном окружении чтобы исключить утечку информации из операционной системы). Он имеет следующие преимущества: в случае особого проявления вирусного ПО на компьютере браузер гарантированно защищен от проникновений. Браузер не подходит для каждодневного использования ввиду специфики работы, но идеален для онлайн банкинга. Браузер запускается в специальной изолированной среде, и для этого пользователь должен иметь современный компьютер обладающий достаточной мощностью.
При установке браузера BitBox выберите режим эксперта (Expert Mode), потому что только в этом случае при работе будет возможным производить закачку файлов. Для этого лучше всего использовать папку «Документы» во вновь созданном аккаунте Windows, которая не будет видна остальным пользователям компьютера.
Немецкий браузер BitBox - для безопасных онлайн платежей
Использование для банкинга отдельной операционной системы
В некоторых случаях может быть удобным использовать отдельную операционную систему, например "Linux Live" (запускаемую с DVD диска или USB), что создаёт чрезвычайную защиту при онлайн банкинге.
Linux Live с USB - надежная защита для онлайн-банкинга
Онлайн банкинг с использованием смартфонов
На смартфонах рекомендуется использовать специальные банковские приложения, которые хранят и передают данные в зашифрованном виде и лучше защищены от атак, чем обычные программы. При выборе приложения для банкинга важно, чтобы приложение имело некоторые защитные функции, например блокирование возможности производить снимки экрана (скриншоты), потому что фотографируя экран, хакеры могут получить доступ к персональной информации.
Защита iOS устройств
Пользователи iOS устройств изначально хорошо защищены против атак, т. к. все приложения в App Store проходят серьёзную проверку, а так же существуют ограниченные права доступа приложений в системе iOS. Побочным эффектом можно считать работу сторонних антивирусов неэффективной, и так же едва пользователи могут себя защитить от известных уязвимостей, если Apple ещё не выпустила «заплатку».
При вводе данных, в особенности при онлайн банкинге, устройство защищено использованием сканера для отпечатка пальца, установленного начиная с 5-ой версии. Сравнивая отпечаток система открывает доступ к банковскому приложению. Ввод пин-кода нужен только однажды - при установке приложения, следующие доступы система будет осуществлять с использованием отпечатка пальца хранящегося в надежном месте памяти устройства.
Защита Android устройств сторонними программами
Операционная система Android - более легкая цель для хакерских атак ввиду открытой архитектуры и повсеместной распространенности (так, согласно статистическим данным независимой аналитической компании "StatCounter" в первом квартале 2017 года Android даже обогнал десктопный Windows по количеству пользователей).
При помощи соответствующих разрешений приложения могут полностью контролировать систему, в том числе и получать доступ к онлайн банкингу. В принципе, как и в iOS, следует использовать специальное банковское приложение и никогда не открывать банковский аккаунт через браузер.
Специализированные приложения намного лучше защищены от атак, чем обычные браузеры. Если смартфон оборудован сканером отпечатка пальца для контроля доступа, то это будет дополнительной защитой, которую не нужно игнорировать.
Другая особенность Android, ввиду комплексных разрешений системы, вредоносному ПО возможно удалить банковское ПО и установить поддельную копию, либо сканировать сетевой трафик в фоновом режиме. Однако все это просто предотвратить. Во-первых установите антивирус, который будет постоянно отслеживать систему. Во-вторых , вы можете установить «McAfee Financial Security» - приложение, которое будет проверять, не переустанавливалось ли банковское приложение.
Financial Security for Android - защита финансовых операций на смартфонах и планшетах Android
Приложения типа «McAfee Financial Security» проверяют контрольную сумму установленного приложения и сравнивают её с собственной базой данных, и более того, отслеживает соединения с сетью. В процессе онлайн банкинга McAfee разорвёт соединение с интернетом в том случае, если выход в сеть осуществляется по небезопасному Wi-Fi соединению и установит связь с сетью через мобильную сеть. Более того, благодаря таким приложениям становятся невозможны ARP (протокол определения адреса) атаки, когда злоумышленники изменяют подключение к сети и запросы к сайту банка поступают на сайт хакеров.
Хакеры проникают через уязвимости...
Независимо от платформы, на которой производится онлайн банкинг, хакеры часто находят способы обхода защитных механизмов. Даже простая антивирусная защита часто противодействует этому. Однако, в некоторых случаях злоумышленники используют социальную инженерию - информацию, находящуюся в свободном доступе в интернете, например, чтобы заполучить копию вашей сим-карты. Таким образом, злоумышленники могут перехватить передаваемые пароли и перевести деньги со счета. Во многих случаях достаточно внедрить вирус на компьютер, который кажется вполне безобидным. В случае с вирусом Acecard, хакеры использовали спам рассылку от компании Adobe, предлагающую программу Adobe Flash пользователям Android. И хотя поддержка этой программы закончилась в 2012 году, некоторые всё же попали в эту ловушку. Для защиты от таких вирусов следует установить приложение финансовой безопасности, например «McAfee Financial Security»
...используя хитрости и уловки
Кибер террористы используют крайне хитрый способ получить доступ к данным. В начале они распространяют программу по интернету, которая изначально не представляет угрозы. Такая структура программы классифицируется антивирусами как «не опасная» и поэтому рейтинг угрозы ей не присваивается.
Спустя время, когда эта программа получит достаточное распространение, вирус активирует свои настоящие функции. Это может произойти через несколько месяцев или даже несколько лет после заражения. Такое случилось и в случае Acecard вируса. Acecard - это банковский троян для мобильных операционных систем, который впервые был обнаружен в феврале 2014 года, однако как вирус он начал проявляться только в мае 2014 года. Чтобы получить доступ к данным, Acecard использует простой, но эффективный способ: вирус располагает свое собственное окно, над окном ввода пароля, почти идентичное настоящему, и собирает введенные пароли на банковских сайтах. Через «командный сервер» вирус получает обновления и новые окна ввода. На мобильное устройство он попадает как правило через спам - замаскированное обновление известных программ.
Атаки на OTP (One Time Password - одноразовый пароль)
Получение одноразового пароля - это процедура получения одноразового кода по SMS, которая считается относительно безопасным способом. Однако, атаки на этот вид получения доступа тоже имеются (как пример, недавняя ситуация имело место быть Вконтакте). Одна из самых простых, это установка трояна, например такого как Zeus-P2P на настольный компьютер. Как только будет сделан перевод в браузере, вирус изменит получателя. CMC которое приходит от банка, часто содержит только название банка, сумму перевода, а так же одноразовый пароль, и если внимательно не проверить банк получатель, можно отослать деньги злоумышленникам, просто введя одноразовый пароль.
SIM-карта как доступ к вашим деньгам
Распространенный вид мошенничества - замена и подмена SIM-карты. Злоумышленники, собрав о жертве открытую информацию, подают заявку о замене сим-карты провайдеру жертвы. Необходимую информацию о жертве легко узнать в с социальных сетях и другими хитрыми методами. После активации новой сим-карты хакеры на неё получают одноразовый пароль (OTP) и снимают деньги. Провайдеры мобильной связи предприняли дополнительные меры безопасности против такого вида мошенничества, особенно после громких скандалов в Европе, когда таким образом было украдено более одного миллиона евро, однако в некоторых случаях, провайдеры до сих пор не проверяют личные данные должным образом. Например, в некоторых случаях для восстановления якобы украденной или потерянной SIM-карты достаточно перечислить последние входящие или исходящие звонки, номера, длительность разговоров и т.д., в то время, как мошенники сами могут названивать на телефон жертвы, подготавливая для провайдера жертвы такую конфиденциальную информацию.
Поскольку ваш номер телефона используется банковскими учреждениями как финансовый номер телефона (в платежной системе Qiwi или LigPay это даже ваш банковский счет), крайне важно беречь свою SIM-карту:
не сообщайте подозрительным лицам свой номер телефона и названия банковских учреждений;
не отвечайте на телефонные звонки, в которых Вас просят сообщить какие-либо персональные сведения;
отключайте интернет на телефоне в момент ожидания одноразовых паролей по SMS;
храните в безопасности все данные SIM карты: PIN и PUK-коды;
если SIM карта вдруг "не обслуживается" в сети, целесообразно заблокировать проведение каких-либо финансовых операций в своем банке и обратиться к своему мобильному оператору для восстановления доступа;
Защита криптовалютных платежей
"Цифровая валюта" - это анонимно, конфиденциально и безопасно! Но безопасно - в каком случае? Ведь основная масса держателей криптовалюты доверяет все свои сбережения третьим лицам, которые в случае их ликвидации или кражи никому ничего не будут должны! В частности, это: онлайн-обменники, криптовалютные биржи, онлайн-кошельки и программные кошельки (хранят информацию на компьютере пользователя).
Даже если криптовалютная биржа уверяет своих клиентов в супер надежности и безопасности, хакерам все же удается взламывать такие «надежные» сервисы, о чем вы можете самостоятельно найти информацию в сети.
И поскольку у криптовалюты не существует гарантов в виде финансовых учреждений (как в обычной банковской системе), пользователи сами несут ответственность за сбережение своих кровных. В первую очередь:
Доверяйте криптовалютным биржам и онлайн-кошелькам небольшие суммы;
Копии резервных кошельков храните в нескольких местах одновременно;
Создание кошельков на флэш-накопителе USB
Безопасный криптовалютный кошелек можно реализовать на флэш-накопителе USB. Для данной операции подходят несколько видов "легких" криптовалютных кошельков, таких например, как Electrum (он работает в MacOS, Windows и Linux).
В компьютерной версии кошелька Electrum пользователи могут воспользоваться опцией добавления операционной системы (ОС) на флэш-накопитель - будет создан загрузочный USB-накопитель с операционной системой наподобие Tails или Ubuntu, где будут хранится данные кошелька для безопасного хранения и проведения финансовых операций.
Другие приложения на этом устройстве хранить не рекомендуется, такой диск следует использовать исключительно в качестве безопасного криптовалютного кошелька.
Специальные криптовалютные флэш-кошельки
Ряд компаний (такие как Opendime, Ledger, Trezor, Keepkey и другие) предлагает аппаратные криптовалютные флеш-кошельки для безопасного хранения криптовалют. Как правило, они защищены встроенными элементами безопасности и на них установлено специальное ПО, даже если злоумышленники смогут заполучить флэш-кошелек физически, то воспользоваться им будет затруднительно.
Граждане! Храните деньги на USB! Если, конечно, они у вас есть
Четыре важных совета по безопасности онлайн платежей
Двухфакторная аутентификация - дополнительный уровень безопасности, даже несмотря на потенциальные уязвимости, всегда используйте ее!
Немедленный выход. После завершения банковских операций необходимо сразу же выйти из аккаунта и устройства для предотвращения шпионажа вредоносным ПО.
Использование параллельных устройств. Всегда используйте второе устройство для получения пароля при двухфакторной аутентификации. Также это актуально, если вам необходимо передать логин и пароль другому лицу: для передачи логина используйте одно устройство или канал связи, а для пароля другое устройство и канал связи.
Ограничивайте платежи. Для онлайн банкинга полезно ограничивать сумму платежей. Если у вас регулярные месячные платежи не превышают определенную сумму, вы можете установить ограничение на эту сумму, которое предотвратит в худшем случае снятие всего баланса со счета.
Вконтакте
Facebook
Twitter
Google+
Pinterest
Оцените материал: Загрузка...
seo-zona.ru
Защитите от хакеров ваши операции в онлайн-банке
Что такое браузер SafeZone? Самый защищённый браузер в мире®, обеспечивающий безопасность и анонимность в Интернете, с функцией Режима безопасных платежей.
В последнее время очереди в банковскую кассу стали для многих довольно редким событием. Проверка баланса, оплата счетов и совершение покупок с помощью онлайн-банков действительно очень удобны и стали для нас обычным явлением, несмотря на то, что они связаны с повышенным риском. Каждый раз при авторизации на странице интернет-банка мы вводим комбинацию логина и пароля, которая может оказаться в руках злоумышленников, поставив под угрозу сохранность денежных средств. Чтобы обезопасить вас и ваши сбережения, мы создали защищённый Режим безопасных платежей в браузере SafeZone.
Мы обеспечиваем безопасность и анонимность при работе в Интернете
Пользователи постоянно устанавливают большое количество подключаемых расширений и модулей в свои веб-обозреватели, чтобы повысить уровень конфиденциальности, заблокировать рекламу или распознать сайты с низкой репутацией. Наши разработчики приняли решение максимально повысить уровень обеспечиваемой приватности, по умолчанию встроив данные расширения в браузер с говорящим названием SafeZone.
Поначалу данный продукт был доступен только в платных версиях наших антивирусных продуктов, однако, следуя миссии обеспечения надёжной онлайн-защиты каждого Интернет-пользователя, мы сделали его доступным и в бесплатной версии антивируса Avast.
Режим безопасных платежей изолирует вашу сессию
Хакеры имеют множество способов для перехвата информации во время совершения операций в интернет-банке. При использовании SafeZone сервисы онлайн-банков открываются в надёжно защищённом Режиме безопасных платежей. При вводе URL-адреса вашего интернет-банка (например: online.sberbank.ru) Режим безопасных платежей запускается автоматически.
Данная функция изолирует сеанс в защищённом виртуальном пространстве, охраняя передаваемые данные от потенциальной угрозы кейлоггеров, шпионских программ, отслеживания в сети и перехвата любых учётных и прочих персональных данных. Работая в Режиме безопасных платежей, вы можете быть уверены в сохранности производимых финансовых операций и защите ваших действий от отслеживания.
Для обеспечения более высокого уровня защиты наше веб-решение шифрует передаваемые и получаемые данные с помощью собственных DNS-серверов. Это особенно актуально при подключении к незащищенным общедоступным точкам доступа Wi-Fi. Вы можете активировать Режим безопасных платежей в любое время и на любом сайте по вашему желанию, обеспечив дополнительный уровень защиты и конфиденциальности.
Защита от мошеннических сайтов
Фишинг – один из самых популярных способов хищения персональных данных для последующего отъёма денежных средств у пользователей онлайн-сервисов. Как правило, используется метод рассылки e-mail сообщений от имени банковских учреждений и прочих известных организаций. Сразу отличить от оригинала подобные сообщения бывает непросто. Данные письма зачастую содержат призыв для перехода по прикреплённой ссылке, кликнув по которой пользователь оказывается на мошенническом сайте, внешне неотличимым от настоящего, где по той или иной причине будет необходимо ввести свои учётные данные (например, для входа в интернет-банк). Ранее мы писали о случаях маскировки мошеннических сайтов под страницы известных ритейлеров и службы DHL.
В случае, если вы попытаетесь перейти на подозрительный сайт, используя наш веб-обозреватель, сессия автоматически будет перенесена в изолированное защищенное окно для обеспечения защиты от взлома и акцентирования внимания пользователя о потенциальной онлайн-угрозе. Обратите внимание на веб-адрес сайта. Как правило, злоумышленники делают его похожим на оригинальный, но с незначительными изменениями. Отсутствие протокола HTTPS также должно насторожить. В случае каких-либо сомнений в подлинности сайта или письма всегда рекомендуем связываться со службой поддержки вашего банка.
Наш продукт фильтрует веб-страницы с плохой репутацией и предотвращает автоматическую установку нежелательных расширений, исключая риск стать жертвой шпионских программ. Это наш самый безопасный инструмент для ежедневной работы в Интернете.
Установите SafeZone в качестве браузера по умолчанию
Данный инструмент является одним из компонентов защиты нашего антивируса и по умолчанию устанавливается вместе с ним. На рабочем столе появляется ярлык программы. Однако, по желанию, его можно удалить. Во время инсталляции антивируса вы также можете исключить программу из списка компонентов для установки.
Открыть компонент можно также через пользовательский интерфейс антивируса Avast в разделе Инструменты либо через меню Пуск. Если у вас уже установлен антивирус Avast, а браузер не отображается в списке установленных, перезагрузите свой компьютер для завершения процесса установки.
Как удалить браузер SafeZone
Для корректного удаления любого дополнительного элемента антивирусной защиты Avast откройте Панель управления компьютера -> Установка и удаление программ (Программы и компоненты) -> Двойное нажатие на Avast -> Выберите Модифицировать -> Снимите галочку с компонента, который вы пожелаете удалить.
Следите за нашими новостями в социальных сетях:ВКонтакте Facebook TwitterОдноклассники
blog.avast.com
Безопасный интернет-банкинг для чайников. Часть 2. Мобильнички.
Всем по Nokia 3310, ребятки!
Ну а что, без шуток — отличный телефон на все времена.Крепкий, не ломается, от врага отбиться можно, аккумулятора надолго хватает. И что самое главное для нашей темы — простой и абсолютно безопасный. Не несёт вообще никаких угроз информационной безопасности своего владельца. Ну разве что кто-то смски прочитает о том, как Маша любит Сашу и где они в первый раз встретились. Назовём это так. Да и змейка же!
Первая часть цикла по безопасному интернет-банкингу для чайников была посвящена общим вопросам. Сегодня продолжение — поговорим про угрозы своим деньгам со стороны так нами любимых телефонов.
Сразу хочу сказать, что утверждения ниже применимы и к планшетам (ну, такие штуки, на АйПад похожи). То есть если я пишу телефон, то я имею ввиду телефон, смартфон, коммуникатор (на самом деле нет), планшет, смартопланшет, планшетосмарт и всё вот это на операционках Андроид (Android OS) и айОс (iOS). Туда же, думаю, можно отнести и Windows Phone, но с ней я меньше знаком, признаю. На вашем месте я бы всё равно не рисковал.
Формат всё такой же. Философия всё та же — максимум доступно, максимум полезно, максимум забавно! Поехали!
Не используйте мобильный банкинг на своём телефоне!
Достаточно спорное утверждение, и о критике этого утверждения говорится в двух пунктах ниже. Но у нас же высочайший градус паранойи! Только бумажные платёжки! Только хардкор!
Я имею ввиду специальные приложения, создаваемые банками для удобного доступа своих клиентов к платежам через интернет. У многих банков есть подобные продукты, некоторые даже действительно удобные. Но с такими приложениями (программами, если хотите) есть ряд проблем. Во-первых, неясно, кто и как писал и тестировал эту программу. Это могли быть и сотрудники самого банка, и специально нанятая компания, и школьник Петя на перемене между москвоведением и основами православной культуры (см. рисунок).
Моя любимая гифка по мотивам игры Mass Effect. Это гениально вообще!
И в каждом из этих случаев разный объём затрат, естественно. А вкладывается ли ваш банк в тестирование этой программы и проверку на ошибки? Во-вторых, проводились ли на эту программу целенаправленные атаки с целью проверки её надёжности и безопасности? Или банк поступил по принципу «Программа есть, а как работает — наплевать! Пусть сами клиенты потестируют на себе, а мы потом поправим, если вдруг что». В-третих, телефон гораздо проще потерять или украсть, чем стационарный компьютер или ноутбук. А у вас там и пароли сохранены (удобно же всё запомнить!), и смски с отчётами.
Так что самым безопасным в использовании мобильного банкинга будет отказаться от использования мобильного банкинга.
Не используйте мобильный банкинг на рутованном или джейлбрейкнутом телефоне! (К предыдущему утверждению)
Поясним для тех, что такое рут (root) для платформы Andoid и Jailbreak для айфонов и айпадов. Покупая телефон от крупного производителя, вы получаете не все технически доступные в нём функции (и это хорошо — не нажмёте чего-нибудь случайно, чтобы всё взорвалось). Некоторые любители извращений проводят ряд операций (операций, гыгыгы), чтобы открыть этот функционал и получить дополнительные права в системе. Тут-то как раз и кроется главная угроза — дополнительные возможности получает не только человек, но и, при некоторых условиях, вредоносные программы. Хочу, однако, отметить, что сама по себе эта операция не несёт угрозы вашим деньгам (хотя следует к ней относится с осторожностью, конечно, и понимать, что ты делаешь и для чего). Для устройств компании Apple это вообще возможность избавиться от анальной огороженнности её инфраструктуры и заливать пиратскую музыку и фильмы к себе на айфончики! Чики-чики.
Проверить ваши устройства на наличие прав суперпользователя (эвона какое умное слово!) достаточно просто! Для андроида: проверьте наличие в списке приложений одного из вот этих двух: «Superuser» или «Суперпользователь». Для яблочных огрызков — ищите там же Cydia, например. Нашли? Теперь думайте и считайте риски.
Не используйте программу для интернет-банка, если вы установили её не с официального магазина приложений своего телефона! (К предыдущим двум утверждениям)
По умолчанию, что андроид, что айос, позволяют устанавливать приложения только из своих магазинов — Play Google и AppStore соответственно. Но хочется же халявы! Зачем платить 0,99 бакса за програму, которая имитирует звук подушки-пердушки! Поковыряемся в настройках, разрешим сами себе устанавливать приложения из сторонних источников, и установим себе эту программу, предварительно скачанную с форума Best-Apps-For-Hackers-Unite.com! Естественно, без регистрации и смс! А на том же форуме есть и программка для вашего интернет-банка! С исправленными ошибками, естественно! Ещё более безопасна! 50 копеек с каждого платежа автоматически перечисляются в фонд помощи мушкам-дрозофилам! Так что думайте, что и откуда вы ставите и будьте осторожны!
Не пользуйтесь мобильными браузерами для доступа к сайту своего интернет-банка!
Есть мнение, что защищённость мобильных браузеров (программ для выхода в интернет) несколько ниже, чем у больших их собратьев с «настоящих» компьютеров. Насколько это правда сказать трудно, но я бы не рисковал, особенно принимая во внимание пункты выше.
Никогда! Слышите меня, никогда!!! не пользуйтесь для доступа к сайту интернет-банка тем же телефоном (планшетом), на который вам приходят смс-коды и смс-пароли!
Так и хочется сказать, что «Это я даже комментировать не буду!», но, конечно, стоит пояснить это утверждение.
Современный удалённый доступ с разумным уровнем защищённости к каким-либо сервисам основывается на двухфакторной аутентификации (помните, я вам её желал в первой статье?). Это очень просто. Сервис убеждается, что вы — это действительно вы на основе двух входящих величин. Первая — это то, что вы знаете (логин — ваше уникальное имя в системе, и пароль — секретная фраза, которая однозначно связана с именем). Вторая величина — это то, чем вы (и предположительно только вы) обладаете. Это может быть и usb-брелок с уникальным ключём, и отпечаток пальца, и рисунок сетчатки.
Применительно к интернет-банкингу вторая величина — это набор цифр, которые банк вам присылает в смс при попытке входа в систему или попытке проведения платежа. Предполагается, что вероятность того, что злоумышленник одновременно узнал ваш пароль и получил физический доступ к вашему телефону, стремится к нулю. Поэтому такая система считается надёжной и безопасной в самом общем случае.
Теперь вспоминаем наше утверждение. Получается, что у нас и пароль и смс-пароль оказываются на одном устройстве, которое мы считаем уязвимым? Именно так! Теперь злоумышленник знает и ваш пароль, и ваш одноразовый смс-пароль, и может делать с вашим счётом всё, что захочет! Теряется преимущество двух факторов.
Поэтому запомните: вход и работа с системой с одного устройства, смс — на другое!
Не пользуйтесь открытыми точками WiFi!
Ну там всякими в макдональдсах, кафешках, соседскими, всеми, где нет пароля.
Теоретически, весь интернет-трафик и передающиеся с мобильничка данные, должны шифроваться при работе с интернет-банком. Это осуществляется либо браузером, либо программой. В браузерах есть уязвимости; программу непонятно кто писал, не всегда прозрачен метод шифрования. Перехватить данные, которые идут по воздуху, а не по проводам — задача третьего класса для ученика физико-математической школы. Поэтому если данные не зашифрованы (а мы в нашей паранойе предполагаем, что это так) — злоумышленник знает о вас всё.
Да и с запароленными точками доступа тоже не всё ясно. В принципе, они тоже ломаются, но это прибавляет хлопот преступнику и он может залениться.
Установите антивирус на свой телефон!
Эффективность этого шага многими ставится под сомнение, но лично я считаю, что лишним не будет. Это даст хотя бы частичную защиту от троянских программ, которые воруют персональную информацию и являются тем самым «оружием массового поражения».
На сегодня, пожалуй, всё о безопасности мобильного интернет-банкинга. Старайтесь выполнять эти нехитрые рекомендации, усложняйте преступникам их жизнь.
Напомню вам главный постулат: ваша безопасность зависит только от вас самих.
Я снова призываю вас поделиться этими записями со своими друзьями в соцсетях (см. самое начало заметки, слева) и рассказать близким о том, что вы сегодня узнали. Я не призываю вас ставить лайки (кнопки соцсетей это именно «Поделиться», а не «Лайкнуть»), я лишь хочу, чтобы как можно меньше людей пострадало от действий преступников. А главное оружие в борьбе с ними — знание и внимательность!
Традиционно напоминаю, что все заметки цикла по этой ссылке.
ПЫСЫ. Всем спасибо за ваши ответы в опросе. Начинаю дописывать часть большой статьи, в которой буду анализировать ваши ответы. Пока скажу лишь одно: вы молодцы и зайки — читаете инструкции и не боитесь пользоваться современными технологиями!