Хакеры атакуют Сбербанк

Хакеры атакуют Сбербанк

Банки 30 Мар 2012, 14:45
Хакеры атакуют Сбербанк
<p>Не успели правоохранительные органы РФ отрапортовать о поимке, с помощью GroupIB и FO<nobr>X–I</nobr>T, злоумышленников из группы Carberp, которые атаковали клиентов «Сбербанка», как банковские карты этого <nobr>финансово-кредитного</nobr> учреждения снова оказались «под ударом».</p>

<p>Что на самом деле правда, а что паника — пока разобрать сложно. Судя по всему, зафиксирован «шлейф» однотипных случаев: данные по банковским картам скомпрометированы (скорее всего, в результате оплаты товаров и услуг через Интернет без использования сертифицированного шлюза). Они  используются для перевода средств на счета мобильных телефонов российских операторов связи. Сделать это вполне реально, если злоумышленники знают <nobr>CVV-коды</nobr> — их можно только украсть из <nobr>интернет-магазинов</nobr>, в тех же банкоматах мы вводим PIN.</p>

<p>Однако привязать карты для работы в системах мобильной коммерции операторов «Большой тройки», чтобы потратить средства пользователей побольше и побыстрее, просто так не получится — надо владеть доступом к счету, чтобы правильно «сказать» системе случайную сумму блокировки денежных средств в момент регистрации (такую же схему используют в PayPal). Поэтому речь может идти только о том, чтобы списывать деньги с банковских карт для пополнения счетов мобильной связи, а уже дальше получить эти средства через вывод в электронные валюты типа WebMoney или Яндекс. Деньги. Это можно сделать с помощью виртуальных банковских карт, привязанных к счету мобильного телефона.</p>

<p>Отметим, что официальная информация от банка на эту тему отсутствует. Последняя новость на странице п<nobr>ресс-центра</nobr> Центрального аппарата Сбербанка — о выплате купонного дохода по государственным сберегательным операциям. О проблемах клиентов — ни слова.</p>

<p>Без сомнения, атаке подвергаются только карты без подключенной системы 3DSecure — если абонент использует эту технологию для карт, с помощью которых он оплачивает покупки в Сети, то ему ничего не грозит. Дело в том, что там используется еще один уровень авторизации — SMS на его номер телефона (его нельзя просто так поменять — только при личном визите в банк) или отдельный пароль, который не может совпадать с CVV или PIN.</p>

<p>Существуют ли меры противодействия подобным случаям? Разумеется. <nobr>Во-первых</nobr>, все неавторизованные транзакции надо не просто оспаривать в банк, а писать заявление в правоохранительные органы. Деньги вам не сразу, но вернут. <nobr>Во-вторых</nobr>, для платежей в сети Интернет стоит использовать «мусорную» карту с минимальным остатком. <nobr>В-третьих</nobr>, желательно подключить себе <nobr>SMS-информирование</nobr> и 3DSecure для платежей через Сеть. Ну и, конечно, не устанавливать на смартфон, куда банк присылает одноразовые <nobr>SMS-коды</nobr> для авторизации, странное программное обеспечение — оно может оказаться вирусом. <nobr></nobr> И наконец, при оплате товаров через Интернет необходимо использовать только те магазины, которые производят оплату через <nobr>интернет-процессинговые</nobr> компании: там риск утраты данных минимален.</p>

<p><i>Максим Букин</i></p>
Подписывайтесь на нашу рубрику:
Для подпсики необходимо авторизироваться
Укажите вашу электронную почту в личном кабинете
Комментарий
Чтобы оставить комментарий необходимо авторизироваться