Мобильный банк пугает большинство россиян

Олеся Афанасьева 27 Марта 2023 - 17:13

...

Мобильный банк пугает большинство россиян

Пользоваться интернет-банкингом рискованно и опасно. Так считают 60% граждан России, принявших участие в весеннем опросе социологов. Доверяют финансовым услугам онлайн только 6% респондентов.

Результаты мартовского исследования на тему интернет-банкинга опубликованы на сайте исследовательского центра НАФИ. В опросе приняли участие 1600 россиян старше 18 лет.

Согласно результатам, 41% опрошенных видит значительный риск в использовании интернет-банкинга, а каждый пятый (18%) считает, что этими технологиями пользоваться опасно.

28% допускают незначительные риски при использовании мобильного банка или проведении операций через личный кабинет. Только 6% уверены, что это полностью безопасно.

Интересно, что меньше всего доверия к цифровым финансовым услугам у молодых людей — почти треть (28%) представителей молодежи считают, что очень опасно использовать такие технологии.

Среди пользователей старше 45 лет таковых 13%.

Высказывать мнение о безопасности интернет-банкинга больше расположены россияне с высшим образованием — 41%.

При этом цифровые банковские сервисы за последние пять лет стали популярнее: доля пользователей мобильного банка увеличилась вдвое (с 34% в 2018-ом до 70% в этом году).

Число россиян, совершавших операции с помощью интернет-банкинга выросло с 2018 года в 2,5 раза — до 43% в 2023-ом.

Из других показателей:

личным кабинетом банка немного, но чаще пользуются мужчины (47% против 40% среди женщин);
половина пользователей официально трудоустроена (48%);
мобильный банк популярнее у жителей крупных городов (73%), россиян от 35 до 44 лет (80%) и респондентов с высшим образованием (79%).

“Опасения по использованию онлайн-банкинга и онлайн-оплат абсолютно иррациональны”, — комментирует статистику главный специалист отдела комплексных систем защиты информации компании “Газинформсервис” Дмитрий Овчинников.

По его мнению, страхи связаны с тем, что клиент не может потрогать деньги руками. Перевод происходит без его участия — он не видит, что происходит внутри банковской системы.

Передача бумажных денег из рук в руки создает иллюзию, что ситуация управляема. Однако это не совсем так, объясняет эксперт. Еще недавно оплата наличными могла закончиться фальшивками, воровством или рваными купюрами.

Благодаря развитию банковской сферы и платежам через интернет, все эти виды мошенничеств ушли в прошлое, напоминает Овчинников.

При этом специалисты рекомендуют соблюдать свод правил безопасных онлайн-платежей:

Не пользоваться чужими устройствами при оплате и переводе.
Гаджет должен быть защищен антивирусом и содержать “свежие” обновления. Нет пиратскому софту и подозрительным файлам из интернета.
Платить всегда только через официального клиента или веб-сайт банка. Не переходить по сомнительным ссылкам от продавца.
Лучше не оплачивать товар прямым переводом, без чека. В крайнем случае — уточнять назначение платежа.
Не делиться платежной информацией и кодами из уведомлений.
Использовать для онлайн-покупок виртуальную карту с небольшим количеством денег на счету.
Тщательно проверять реквизиты при переводе.

Кроме того, если клиент по ошибке получил перевод от третьих лиц, не нужно возвращать деньги напрямую, советуют эксперты. Лучше обратиться в банк для отмены операции.

Добавим, по свежим данным Банка России, типичная жертва финансовых мошенников — не пенсионер, как принято считать, а работающий мужчина 25-44 лет, со средним заработком и банковскими онлайн-сервисами в телефоне.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Вероника Дубровская 13 Мая 2024 - 21:44

Эксплойты Трояны Уязвимости программ Целевые атаки Таргетированные атаки Корпорации Государство F.A.C.C.T.

Вредонос PhantomDL приписывают группе PhantomCore

В марте этого года специалисты F.A.C.C.T. Threat Intelligence обнаружили ранее неизвестный вредоносный загрузчик PhantomDL (PhantomGoDownloader). После проведенного анализа был выявлен ряд связей, указывающих на причастность группы PhantomCore к данному вредоносу.

Кибергруппировка PhantomCore, действующая против организаций РФ с начала 2024 года, эксплуатирует уязвимость CVE-2023-38831, в которой вместо ZIP-архивов используются RAR-архивы.

Кибершпионы рассылают жертвам фишинговые письма, содержащие во вложении вредоносные архивы и пароли в тексте письма.

Исследователи F.A.C.C.T. Threat Intelligence обнаружили исполняемый файл на платформе VirusTotal с именем «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf .exe» и запароленный RAR-архив «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.rar». Эксперты подобрали пароль для архива «11112222».

Как выяснилось, в архиве были обнаружены одноименные файлы (рис.1):

исполняемый файл, а также легитимный PDF-файл, который как раз и является документом-приманкой, содержащим информацию об акте приема-передачи строительной площадки на территории предприятия атомной отрасли РФ (рис. 2)

Рис. 1 – содержимое архива «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.rar»

Рис. 2 – содержимое документа-приманки «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf»

Хакеры эксплуатируют ту же вариацию уязвимости WinRAR, что и группировка PhantomCore, где вместо ZIP-архивов используются RAR-архивы.

Пользователи с версией WinRAR ниже 6.23 запустят исполняемый файл при открытии PDF-файла, так как они содержатся в одноименной директории архива. Если же версия WinRAR 6.23 и выше, тогда юзеры увидят легитимный PDF-файл.

Исполняемый файл-загрузчик был написан на языке Go, для обфускации которого, возможно, использовалась утилита garble.

Имя компьютера / домен жертвы загрузчик получает с помощью команды:

cmd.exe /c «echo %USERDOMAIN%».

Далее загрузчик делает HTTP POST-запрос к серверу hxxp://188.127.227[.]201/check и передает сгенерированный uuid и имя компьютера / домена жертвы.

В ситуации, когда SYN-запросы отправляются не с российского IP-адреса, соединение будет разорвано (RST).

Если от сервера приходит ответ 200 OK ненулевой длины, то загрузчик выполнит одну из двух команд:

install – включает в себя последовательность действий:

отправить запрос на сетевой адрес hxxp://188.127.227[.]201/start;
получить в ответ от сервера URL;
загрузить следующую стадию (нагрузку) с полученного URL, сохранить под указанным именем в каталог %APPDATA%\Microsoft\Windows, запустить нагрузку;
выполнить запрос после завершения на сетевой адрес hxxp://188.127.227[.]201/end.

bay – завершить работу.

Уже 26 марта на том же VirusTotal специалисты обнаружили еще один загруженный архив с паролем «11112222», в котором содержались следующие файлы:

«Информация по договору.pdf .exe» — загрузчик на Go с той же хэш-суммой, что и файл «Akt_priema_peredaci_plosadki_20240322103904_20240323105837.pdf .exe» (SHA-1: d6a7b11b0f71cb3ea14a4c89d2d742a90a05bf3c);
«Информация по договору.pdf» – легитимный PDF-файл, являющийся документом-приманкой, содержимое которого не соответствует его названию (рис. 3).

Рис. 3 – содержимое документа-приманки «Информация по договору.pdf»

Чуть позже в мае был обнаружен новый образец, который не имел обфускации классов и методов. Это помогло заполучить название проекта D:\github\phantomDL и присвоить этому зловреду имя PhantomDL.

Образец поддерживает всё те же команды: bay, install, но в качестве сервера управления (C2) используется другой IP-адрес: 91.219.151[.]47. В новом образце также были заменены названия страниц для отправки запросов на сервер.

Эксперты F.A.C.C.T. Threat Intelligence провели анализ образцов и связали данную активность с киберпреступниками PhantomCore по следующим причинам:

В атаках с использованием загрузчика PhantomDL эксплуатируется уязвимость в RAR-архивах, что также присуще группировке PhantomCore.
Атаки нацелены на РФ, а именно на сферы, связанные с ВПК.
В документах-приманках содержатся схожие темы, где указаны акты по взаимным работам двух организаций.
Пересечения в именованиях файлов и паролей к архивам из разных атак.
Пересечения в именах классов и методов между трояном удаленного доступа PhantomRAT и загрузчиком PhantomDL.
Схожие названия для переменной, хранящей адрес управляющего сервера, в конфигурации: у PhantomRAT — «PRIMARY_END_POINT», а у PhantomDL — «PrimaryIP».

Киберпреступники явно переходят из стадии тестирования к наступлению, все тщательнее развивая свой инструментарий.