Positive Technologies рассказала о способах защиты денег в онлайн-банках

10

Positive Technologies рассказала о способах защиты денег в онлайн-банках

Positive Technologies рассказала о способах защиты денег в онлайн-банках

Мошенники находят уязвимости в программном обеспечении банковских приложений, однако сами пользователи могут упростить проникновение посторонних людей в личный кабинет. Это происходит в случаях, например, когда логином для входа в мобильный банк служит номер телефона, рассказал РИА Новости руководитель группы исследований безопасности банковских систем Positive Technologies Максим Костиков.

Positive Technologies рассказала о способах защиты денег в онлайн-банках Виктория Сафронова

В последнее время часто происходят утечки банковской информации с данными карт и персональными данными клиентов, рассказал Максим Костиков. «Зная эту информацию, злоумышленник может воспользоваться функционалом восстановления доступа к личному кабинету. Сейчас обычно для этого требуется номер телефона и карточные данные», — сказал эксперт.

Злоумышленник может получить доступ к личному кабинету и изменить аутентификационные данные клиента, если у него есть возможность перехватить СМС. Однако для того, чтобы попасть в личный кабинет пользователя, недостаточно иметь только доступ к СМС или звонкам клиентов. Мошенникам также необходима информация о логине, пароле, данных карты.

Доступ к личному кабинету может быть упрощен, если пользователь установил в качестве логина для входа в мобильный банк свой номер телефона. Во-вторых, попасть в личный кабинет для злоумышленников проще, если для восстановления доступа нужен только номер телефона и карточные данные или информация, полученная из публичного доступа или возможных утечек данных.

Эксперт советует переключить уведомления из СМС-формата на push-оповещения, поскольку в первом случае может произойти перехват. «Для нивелирования данных угроз банкам необходимо добавить дополнительный фактор аутентификации при восстановлении доступа, а именно — кодовое слово, генерировать произвольные имена пользователям и разрешать их менять, добавить функционал подтверждения переводов только по push», — сказал Костиков.

Премия молодых предпринимателей Young Awards 2021. Подать заявку.

Однако даже попав в личный кабинет пользователя, мошенник столкнется с антифрод-системой банка, которая при подозрительной активности в аккаунте должна не позволить ему нанести финансовый вред клиенту или же свести его к минимуму.

Подписывайтесь на наш TG-канал, чтобы быть в курсе всех новостей и событий!

Источник: rb.ru

Comments are closed.