1. Прослушав ещё несколько подобных разговоров сами будете чувствовать развод: Послушать звонки мошенников в Youtube.
2. Лучше вообще не разговаривать по входящим звонкам. Повесьте трубку будто связь разъединилась и сами перезвоните в банк по номеру на сайте. В идеале не использовать телефонную связь, а иметь своего менеджера в Telegram, WhatsApp или приложении банка и постоянно удалять переписку в мессенджерах, и в имени менеджера не писать, что это такой-то банк.
3. Ещё лучше завести для каждого банка отдельный секретный телефонный номер, который нигде больше не используется. Некоторые операторы предлагают виртуальные (дополнительные) мобильные номера. Главное не потерять контроль над таким номером.
4. Заводить для каждого банка отдельный email, который нигде не светится. Например, в Google это делается так mailbox+bankname@gmail.com. Но всё равно это по сути один email и защита так себе. Вы можете взять в аренду VDS, купить собственный домен и регистрировать на нём уже любые адреса и алиасы электронной почты. Алиас вида shortbankname4901@yourdomain.ru существеннее безопаснее. И если на такой адрес придёт персональное рекламное предложение, то вы будете знать с высокой долей вероятности, откуда утекли ваши персональные данные. Следовательно это повод поменять в банке email и телефон.
5. Отправить ссылку на эту статью в поддержку своего банка и потребовать дополнительных типов защиты и запрета удалённого смены номера и авторизации новой сим-карты.
6. Не ставить на смартфон и компьютер постороннее ПО, игры. Если же они вам жизненно необходимы, то не ставьте тогда туда банковские приложения. Купите VDS и заходите в ЛК банков из чистой операционной системы, где нет ничего постороннего. Вредоносное ПО может получить доступ к вашей VDS, но это уже несколько сложнее, особенно, если настроить firewall c двухфакторной авторизацией.
7. Не открывать ссылки и файлы, которых не запрашивали. Просмотр заголовков письма часто говорит о том, что оно левое. Но ряд заголовков можно подделать.
8. Не давать доступ к своим контактам никаким приложениям.
9. Написать своим депутатам с требованием внести законодательную инициативу обязывающие банки по требованию клиента использовать аппаратный токен и запрет на дистанционное изменение телефона. Понятно, что это скорее всего мера бесполезная, но вдруг.
10. Если вы арендуете или размещаете сервер для своей бухгалтерии и работы с банками — вот небольшой список базовых вещей, который помогут спать спокойнее:
Знаете, вы написали утопическую фигню - вот с всеми этими "секретными телефонными номерами", VDS, fail2ban, и прочим. 99,9% процентов пользователей не гики, задрачивающиеся отслеживанием появлением всех "антишпионских" приспособ, а люди, которые заняты своей работой, своей жизнью и жизнью родственников, и на изучение вот этого барахла у них нет ни времени, ни возможности ввиду отсутствия компьютерной подготовленности. К примеру, скажите, как пенсионерке установить и пользоваться VDS, а заодно утилитой fail2ban?
Тем временем, банковская система аутентификации пользователя в своём состоянии "как есть", довольно продуманна. Неэффективной её делают сами пользователи своей безалаберностью, вводя и рассказывая данные не в тех местах и не тем людям.
Теперь про "не тех людей", к примеру, звонящих "сотрудниках банков" и их поимке. Реализовать искоренение звонящих "сотрудников" банков имеющимися средствами очень проблематично. И часто они являются не распиаренными тюремными колл-центрами, а одиночками, которые могут быть вашими соседями. Такой мошенник приобретает базу данных, телефон с сответствующей прошивкой (с генерацией imei и id железа и приложений) , ноунэйм сим-карту и модем с кастомной прошивкой, переподключающийся через заданный промежуток времени с получением нового ip при очередном подключении. Посредством IP-телефонии такой мошенник подменяет номер при звонке жертве. А по окончанию "трудового дня" выбрасывает симку и генерирует новые id в телефоне. Противодействующие органы в этом случае могут противопоставить только пеленгацию, а развёртыване всей операции будет напоминать шпионский вымышленный фильм, где все действуют очень оперативно (жертва заявляет что ей звонил мошенник), банковская СБ передаёт данные IT отделу, IT вычисляет недавнюю соту (связавшись с ОПСОС без всяких обиняков), передаёт инфу опергруппе, а та выезжает со своими устройствами пеленгации и группой задержания. Потом они конечно выбивают дверь, а мошенник конечно не избавился от симки и телефона. Производят поимку. Профит! И это всё только для одного эпизода мошенничества.
Большую проблему уязвимости делают сами пользователи, вводя данные на фишинговых сайтах и закачивая нелицензионный софт, со вшитыми малварями похищающие куки с браузерными данными, и которые не определяются пресловутыми антивирусами ввиду того, что малвари пишутся под заказ. Мошенник, имея базу данных с ФИО и кое-какой инфой о счетах, данными на вход в онлайн-банк, из парсенной инфы левого софта и куки, подделывает компьютер совершенно неотличимый от компьютера жертвы, который уже знаком банковскому сайту, и заходит в кабинет жертвы, как свой. Ну а дальше вывод средств через дропов.
Системы двухфакторной аутентификации в частности, 2FA тоже снимают. Не знаю как, но на профильных сайтах объявления о снятии 2FA в течение 2-3 дней за процент от имеющейся суммы.
Остаются работники банков и точек продаж сим-карт, продающие базы данных тем же, с "профильных" сайтов. Вот тут наверное можно было бы повлиять на предотвращение утечек весомой уголовной ответственностью.
Про антимошенническую грамотность обывателя говорить не приходится. Современный человек сильно загружен выживаемостью, и вероятности, что он может стать следующей жертвой им не учитываются.
Поэтому, кардинальное решение банковских и компьютерных махинаций, вопрос открытый и в ближайшем времени решён не будет. Возможно в будущем, когда работа всех компаний, служб и департаментов будет координироваться нейросетью мгновенно, подобные схемы уйдут в небытие. Но пока имеем реалии жизни в киберпанке, а он не такой романтичный, как показано в фильмах.
Тот самый случай, когда комментарий лучше статьи.
В статье не раз сказано про опциональность мер. Никто их принудительно не призывает всем навязать. Вам не надо - ну и работайте как раньше. Но позвольте другим выбрать себе аппаратный или программный токен.
Комментарий недоступен
А что так глобально? Можно с малого, например запрет выдачи кредитов без личного присутствия, все! Какие тут оправдания будут ?
"Банковская система аутентификации" не продумана от слова совсем, можно сказать ее вообще нет. Статья немного мутная, но суть верная и вы ее абсолютно не уловили. Сейчас у многих банков вход только по смс (не считая номера карты, который НЕ является конфиденциальными данными) – это полная дичь, которая не имеет ничего общего с безопасностью.
Комментарий недоступен