Готовится масштабная атака: хакеры могут перехватывать SMS и входить в онлайн-банки

В даркнет периодически «сливают» номера клиентской базы банков. На такие лоты всегда находится покупатель. Мошенники выкупают номера и начинают «прозвон». Успех операции зависит от человека: кто-то не поверит и бросит трубку, и тогда злоумышленник зря потратит деньги на покупку номеров. На этот раз в даркнет попал более серьёзный товар — доступ к коммутатору оператора мобильной связи, который позволяет перехватывать SMS. От клиента банка мало что зависит, если мошенник получит сообщение с паролем, войдёт в мобильное приложение и украдёт деньги. Рассказываем, насколько это опасно и как защититься.

Спасите наши банкинги

Хакеры могут взломать мобильные банкинги россиян, пишут «Известия». В даркнете на продажу выставили доступ к коммутатору мобильного оператора. Название оператора и страна действия не разглашается. Но коммутатор может предоставлять доступ к российским сотовым операторам в роуминге. Это позволит хакерам получить контроль над системой сигнализации SS7 и перехватывать SMS с паролями от банков.

За доступ к коммутатору продавец просил 30 тыс. долларов в биткоинах. О «лоте» рассказали в компании по борьбе с утечками данных DeviceLock.

Информация была выставлена на продажу в марте. Подготовка к подобной мошеннической операции требует траты времени и денег. Эксперты считают, что хакеры могут начать атаку на счета в мае. Как раз успеют подготовиться, а россияне расслабятся на праздниках и утратят бдительность.

Почему стоит опасаться россиянам

Среди стран СНГ Россия – лакомый кусочек для интернет-мошенников, считают эксперты компании. Во-первых, русскоговорящие злоумышленники «специализируются» на онлайн-атаках. Во-вторых, жители страны активно пользуются мобильными банкингами и хранят деньги на накопительных и текущих счетах.

Мошенники могут действовать осторожно: взламывать десятки, максимум – сотни аккаунтов в день, чтобы не привлекать внимание. Масштабную атаку на счета зафиксируют банковские антифорд-системы, и хакерам придётся остановиться.

Как защитить деньги в мобильном приложении банка

1. Переключиться на двухфакторную аутентификацию. Входить в мобильный банк не только по SMS-паролю: дополнительно использовать код, отпечаток пальца или другой защитный фактор.
2. Отключить SMS-рассылку одноразовых паролей от банка и включить push-уведомления. Push приходят только на устройство, с которого владелец входит в аккаунт.
3. Храните деньги на сберегательном счёте или вкладе, к которому нет доступа через мобильное приложение.
4. Не создавайте аккаунт в онлайн-банкинге «на всякий случай». Если не пользуетесь приложением регулярно – обратитесь в банк и попросите удалить учётную запись.

Взломать онлайн-банк не так просто. У большинства финансовых организаций для входа в приложение требуется логин и пароль. А одноразовый SMS-код уже давно не используется для разового входа. Чаще всего в онлайн-банк заходят с помощью пароля от приложения, который устанавливает сам владелец, сканирования отпечатка пальца или Face ID.

Банки считают, что один доступ к коммутатору и перехват SMS не поможет мошенникам. Не игнорируйте попытки мошенников украсть деньги — жалуйтесь в службу безопасности банка. Некоторые финансовые организации даже платят за информацию о преступниках.