Россияне смогут переводить друг другу деньги — причем между разными банками — по номеру мобильного телефона. Для этого номер телефона будет привязываться к определенному номеру карточного счета, и вместо реквизитов карты отправителю нужно будет указать только мобильный телефон.
Об этом «Известиям» рассказал источник, близкий к Visa и MasterCard, информацию также подтвердил источник, близкий к Банку России. По словам собеседников «Известий», новая система переводов средств заработает с 2018 года. По мнению экспертов, она существенно упростит процесс переводов между гражданами. Однако нововведение не исключает роста количества ошибочных трансакций и атак хакеров, опасаются эксперты.
Сегодня банки из десяти крупнейших уже предлагают услугу перевода между счетами клиентов по номеру телефона. Однако сделать это со счета, например, в Сбербанке на счет клиента Бинбанка пока нельзя — для такого перевода потребуется заполнять все реквизиты. Однако платежные системы Visa и MasterCard, на которых выпущены абсолютное большинство карт российских банков, планируют сделать такие переводы реальностью,
Источник «Известий», близкий к платежным системам, пояснил, что вопрос замены номера карты номером сотовых телефонов для переводов между гражданами в настоящее время прорабатывают ведущие международные платежные системы Visa и MasterCard. По словам собеседника, новая система переводов денег по номеру мобильного телефона будет действовать в рамках любых каналов дистанционного обслуживания, в том числе интернет- и мобильного банка, банкоматов.
— Процесс переводов средств р2р существенно упростится и поможет избежать ошибок, ведь мобильный телефон ввести проще, чем реквизиты карты, — отметил источник.
По словам собеседника, переводы фактически будут осуществляться по аналогии с современными мессенджерами, где не нужно знать какой-то специальный идентификатор, чтобы пообщаться с человеком. Вы просто открываете приложение, и, если у человека из вашего контакт-листа оно установлено, можно начать с ним общение незамедлительно. Использование номера мобильного телефона вместо реквизитов карт делает процесс денежных переводов таким же удобным, указал источник.
Начальник отдела по развитию бизнеса электронной коммерции Бинбанка Филипп Петров уверен, что нововведение значительно сократит время проведения переводов между физлицами и упростит процесс использования сервиса р2р. Директор департамента платежных систем СМП-банка Елена Биндусова согласна с коллегой. По ее словам, использование мобильного телефона в качестве идентификатора банковских клиентов будет удобнее гражданам: сотовые номера родственников, друзей, коллег всегда под рукой в списке контактов мобильного и перевод можно сделать в несколько кликов, не запрашивая дополнительно номер карты. Елена Биндусова не прогнозирует существенного увеличения дополнительных затрат со стороны банков, которые будут внедрять новый подход к идентификации клиента.
Руководитель направления противодействия мошенничеству центра информбезопасности компании «Инфосистемы джет» Алексей Сизов опасается, что такое упрощение переводов повысит процент ошибок.
— У номеров карт и счетов есть специальные схемы контроля правильности ввода номера — последняя цифра карты, например, — пояснил Алексей Сизов. — Таким образом, ошибка в одну цифру в номере карты на 99,9% не приводит к ошибочному переводу, так как такой карты просто не существует. Деньги вернутся на счет отправителя. Ошибка же в одной цифре номера телефона приведет к переводу денег на некорректного получателя.
Алексей Сизов не исключает ситуаций, когда хакеры смогут завладеть обоими идентификаторами граждан — и номером мобильного телефона, и реквизитами карт.
— Такая ситуация может произойти, например, при совершении нескольких платежей одному продавцу с помощью карты и номера телефона, — пояснил Алексей Сизов. — Информация об обоих идентификаторах позволит злоумышленникам проводить атаки на систему 3D-secure, которая предполагает аутентификацию по SMS или логину и паролю с помощью уязвимости сигнального протокола SS7.
По словам представителя «Инфосистемы джет», кибермошенникам уже удалось провести подобную атаку на абонентов немецкого сотового оператора O2-Telefonica, в результате которого с банковских счетов ряда пользователей были похищены деньги. Поэтому для совершения безопасных переводов пользователям следует раскрывать только один из идентификаторов — либо номер карты, либо мобильный телефон, отметил Алексей Сизов.
Специалисты из Jamf Threat Labs нашли новый вариант вредоносной программы для macOS, которая умудрилась пройти все защитные механизмы Apple — она была и подписана, и заверена с использованием настоящего сертификата Apple Developer.
Вредонос назывался Gmeet_updater.app и притворялся обновлением для Google Meet. Распространялся через .dmg-файл — это классика для macOS.
Несмотря на то что приложение было «официально одобрено» Apple, для запуска всё равно использовалась социальная инженерия: жертве нужно было кликнуть правой кнопкой мыши и выбрать «Открыть» — обход Gatekeeper для неподписанных приложений, только тут подпись как бы была.
Программа запускала некое SwiftUI-приложение с названием «Technician Panel» — якобы для отвода глаз, а параллельно связывалась с удалённым сервером и подтягивала дополнительные вредоносные скрипты.
Что делает этот инфостилер:
ворует пароли из браузеров (Safari, Chrome, Firefox, Brave, Opera, Waterfox);
вытаскивает текстовые файлы, PDF, ключи, кошельки и заметки Apple;
охотится за криптокошельками (Electrum, Exodus, Atomic, Ledger Live);
делает слепок системы с помощью system_profiler;
заменяет приложение Ledger Live на модифицированную и не подписанную версию с сервера злоумышленника;
отправляет всё украденное на хардкоденный сервер hxxp[:]//45.146.130.131/log.
Кроме кражи, вредонос умеет задерживаться в системе: прописывает себя в LaunchDaemons, создаёт скрытые конфиги и использует второй этап атаки — постоянный AppleScript, который «слушает» команды с сервера злоумышленника. Среди них — выполнение shell-скриптов, запуск SOCKS5-прокси и самоуничтожение.
Вишенка на торте — базовая защита от анализа. Если вирус понимает, что его крутят в песочнице, он «молча» прекращает активность и в системе появляется фиктивный демон с аргументом Black Listed.
Jamf выяснили, что сертификат разработчика с ID A2FTSWF4A2 уже использовался минимум в трёх вредоносах. Они сообщили об этом Apple — и сертификат аннулировали. Но осадочек, как говорится, остался: зловред вполне мог обойти все базовые фильтры macOS.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
