Взлом мобильного банка

Смартфоны сейчас стали полноценными платформами для приложений - их стоимость и распространение позволяют обеспечить клиентов банков постоянным контролем за своими финансовыми активами. Смартфоны, как правило, находятся всегда под рукой и в случае необходимости могут привлечь внимание своих владельцев. Банки начинают использовать мобильные платформы для создания новых сервисов и так называемой цифровой трансформации своего бизнеса - активного вовлечения клиентов в процесс предоставления финансовых сервисов. С помощью мобильных телефонов банки могут организовать проверку счетов, оповещение пользователей о изменении их состояния, формирование транзакций и многие другие сервисы. Именно поэтому для привлечения современных и продвинутых пользователей банки предлагают им мобильные приложения собственной разработки.

Однако с появлением новых возможностей появляются и новые риски. Злоумышленники все больше внимания проявляют в мобильным платформам и видят в них отличный источник наживы и выход на новых, зачастую менее подготовленных, жертв. К тому же эффективность социальной инженерии не сильно зависит от платформы, но от скорости принятия необдуманных решений. Поэтому мобильные технологии опасны именно возможностью принятия и быстрого исполнения навязанных решений. Кроме того, сами устройства достаточно компактны, и поэтому их можно банально украсть. Если мобильное устройство используется как идентификатор, то украв его злоумышленник может получить достаточно полномочий для доступа к счету.

Классификация и способы взлома мобильного банка

Сразу следует сказать, что под мобильные платформы - Android и iOS - пишется значительно меньше вирусов по сравнению с настольными операционными системами. Это достигается за счёт контроля и постоянного обновления как самой платформы, так и приложений, использования контролируемого производителем магазина приложений, контролем целостности устанавливаемых пакетов, управлением полномочиями отдельных приложений, разделением приложений и другими встроенными в саму платформу механизмами защиты. Именно поэтому для мобильных платформ нет вирусов в их классическом понимании - вредоносного саморазмножающегося кода, автоматически встраивающегося в другие приложения. Существующие вредносы - это троянские программы , для установки которых требуется взаимодействие с пользователем устройства. Случаев автоматического заражения пока не зафиксировано. Именно поэтому безопасность мобильных приложений, в том числе и банковских, зависит в основном от квалификации пользователей.

Взлом мобильного банка

Тем не менее, уже появилось несколько способов атаки на мобильные приложения банков. Можно выделить следующие случаи:

  • Социальная инженерия. Это атака не на приложение, а на пользователя, однако наличие мобильного приложения банка ускоряет атаку и усугубляет последствия. Например, если приходит сообщение "Я в беде - срочно положи деньги на телефон такой-то", то без мобильного приложения нужно было бы запустить компьютер, подключиться к интернету, активировать веб-интерфейс и только после этого завершить атаку. На это нужно время, в течении которого можно догадаться позвонить человеку и переспросить - а действительно ли он в беде и ему требуется финансовая помощь. В случае же мобильного приложения достаточно скопировать номер телефона в буфер обмена и ввести его в мобильном приложении банка - на это требуется всего несколько минут. Кроме того, социальная инженерия используется для установки вредоносных приложений - для этого необходимо взаимодействие с пользователем.
  • Установка вредоноса. Обычно для этого используется социальная инженерия - обмануть пользователя и убедить его установить вредоную программ, которая будет перехватывать SMS и пароли. Например, какая-нибудь фирма, разработавшая игрушку, разоряется, ее перекупают вместе с кодами хакерская группировка, которая встраивает в игру троянский функционал при следующем обновлении. Однако могут быть и экзотические способы установки вредоноса, например, злоумышленник может попросить на улице телефон, чтобы позвонить и незаметно установить на него троянскую программу. Именно поэтому не рекомендуется давать свой телефон в руки посторонним. Впрочем, вполне возможна установка вредоносов и с помощью уязвимостей в мобильных приложениях, например, браузере или почтовом клиенте, как это сейчас происходит на персональных компьютерах, хотя пока таких случаев не зафиксировано, тем не менее в будущем они вполне возможны.
  • Воровство или потеря устройства. Поскольку устройство является мобильным, то клиент может его потерять, а нашедший его злоумышленник может с помощью установленного ранее и авторизованного приложения совершать несанкционированные транзакции. Такими атаками могут помышлять воры, которые действуют в местах большого скопления людей.
  • NFC. Если телефон оборудован NFC, который позволяет совершать NFC-платежи с помощью мобильного телефона через мобильное приложение банка, то это может быть дополнительными вектором атаки, в этом случае само приложение мобильного банка не ломается, а злоумышленник просто использует интерфейс платы (если карта забита в телефон). Фактически это уже карточный фрод. Чтобы этого не случилось лучше всего настроить подтверждение всех платежей по PIN-коду.
  • Перехват данных. Здесь также следует сразу отметить, что при правильно спроектированном приложении вероятность воровства необходимых данных и прохождения процедуры верификации приложения посторонним пользователем достаточно низкая - часто для этого нужно клонировать SIM-карту, к которой привязан счёт в банке, или устанавливать троянец, который в реальном времени будет перехватывать SMS на устройстве клиента. Тем не менее вероятность и такого исхода существует - некто может привязать банковское приложение к чужому счету и выполнить операции от имени другого клиента банка, но сделать это очень трудно, и точно массовые атаки подобного типа не возможны.

Объект воздействия взлома мобильного банка

Как и в случае с веб-приложением здесь также две стороны для атаки: само мобильное приложение и банковская система дистанционного обслуживания, с которой мобильное приложение взаимодействует.

Источник угрозы

Основной источник угрозы - мобильная платформа, которая совмещает как достаточно производительное вычислительное устройство, так и мобильный телефон, который можно использовать для идентификации пользователей. Если злоумышленнику удалось закрепиться на устройстве, то он может подсмотреть важную для идентификации информацию или навязать транзакцию с помощью манипулирования приложением.

Анализ риска взлома мобильного банка

Для защиты клиента используется антивирусные программы на мобильном устройстве. Кроме того, рекомендуется включать блокировку экрана с помощью одного из методов аутентификации.

От атак можно защититься с помощью экранов блокировки и установки PIN-кода на банковское приложение. Для защиты мобильного приложения со стороны клиентов лучше всего устанавливать антивирус, который проверял бы устройство на наличие известных троянских программ. В мобильном клиенте некоторых банков есть даже встроенные антивирусные модули, которые проверяют устройство перед запуском самого клиента. Некоторые антивирусы имеют функцию "антивор", которая обнуляет все данные на телефоне в случае его утери и последующего подключения к Сети.

В то же время защититься можно с помощью отпечатка устройства и лимитов для новых устройств клиента.

На стороне банка рекомендуется использовать метод идентификации устройства, на котором запущено приложение. Сбор данных о привычках пользователя позволяет обеспечить выявление аномального поведения, что позволяет динамически менять лимиты на операции в зависимости от уровня доверия к устройству, с которого подключается пользователь. Для новых устройств можно использовать процедуру более строгой аутентификации.

Также со стороны банка логично использовать идентификатор мобильного устройства - так называемый отпечаток устройства. При первом запуске приложения такой отпечаток фиксируется, а потом проводится строгая аутентификация пользователя, чтобы привязать номера телефонов и адреса почты к конкретному отпечатку. В дальнейшем уже отпечаток используется для аутентификации пользователя для банковской системы, а пользователь должен только ввести свой PIN-код и будет допущен до банковской системы.