Почему мы блокируем TeamViewer
Объясняем, чем опасны программы удаленного доступа
Недавно в «Приемной» был опубликован важный пост. Пользователь пожаловался, что в нашем приложении «Телекард» блокируется вход, если на телефоне установлен TeamViewer.
У этого приложения есть две версии: одна называется Remote Control и позволяет управлять компьютерами с телефона, другая — Quick Support, и с ее помощью можно управлять телефоном, просматривая его экран. По умолчанию мы блокируем обе.
Зачем это было сделано?
Мы имеем дело с беспрецедентным ростом телефонного мошенничества за последние полгода. Каждый третий клиент финансовой организации в России сталкивался с мошенниками за этот период. В условиях пандемии люди сильно обеспокоены вопросом сохранности средств, и в момент, когда им звонит «представитель банка», они теряют бдительность.
Мошенники вводят клиента в заблуждение, играя на его эмоциях. Проблема не в том, что они могут получить доступ к вашему телефону или компьютеру. Проблема в том, что мошенники манипулируют человеком и могут украсть деньги его же руками.
Мы не сомневаемся в компетентности многих IT-специалистов, которые являются клиентами нашего банка и используют TeamViewer по рабочей необходимости. Мы решили в таких случаях идти им навстречу, разрешая входить в «Телекард» на свой страх и риск. Однако, для большинства пользователей оставлять такую лазейку было бы непредусмотрительно.
В «Газпромбанке» работают одни из лучших специалистов по информационной безопасности на рынке. Мы очень серьезно относимся к этому вопросу: постоянно информируем клиентов и даже помогаем возвращать средства в случае, если они были украдены. Блокировать возможность пользоваться TeamViewer на фоне буйного раcцвета мошенничества может быть и «негуманно», но когда у тебя почти 1,8 млн пользователей приложения с неясным уровнем подкованности в технических вопросах, нужно ставить хотя бы временные заглушки. Что мы и сделали.
Сценарий атаки
Рассмотрим реальный случай атаки с использованием TeamViewer Remote Control.
- Мошенник подает за клиента заявку на кредит на сайте Газпромбанка и указывает номер телефона клиента
- Звонит клиенту, представляется сотрудником банка и сообщает,
что на него пытаются оформить подозрительный кредит, а также, что его интернет-банк взломан с помощью вирусного ПО, поэтому пароль нужно срочно сбросить. - Говорит клиенту, что проведёт действия по отмене
оформленного кредита и сбросит пароль. Просит установить TeamViewer Quick Support для проведения этих манипуляций через «Телекард» - Если выясняется, что у жертвы установлен Remote Control c заранее вписанным id домашнего компьютера, предлагает «удобный» вариант решения проблемы с удалением вредоносного ПО. Нужен только id и пароль от соединения, который обычно у клиента где-нибудь записан.
- Заходит на компьютер жертвы и устанавливает кейлоггер, после чего говорит что вредоносная программа успешно удалена. Просит клиента зайти через Remote Control на свой компьютер и проверить в личном кабинете сотового оператора, не установлена ли переадресация SMS на другой номер телефона. Затем через клиента инициирует сброс пароля интернет-банка.
- В этот момент у мошенника появляются все необходимые данные: логин и пароль от личного кабинета мобильного оператора, где он устанавливает переадресацию SMS на подконтрольный ему номер, а также номер карты, CVV, логин и пароль от интернет-банка.
- Получает кредит наличными на карту клиента и выводит деньги на подконтрольный ему счет.
Это невозможно! Любой человек догадается, что это мошенники.
Увы, нет. Жертвами телефонных мошенников становятся и чиновники, и полицейские, и финансисты. Никакой зависимости от возраста и рода занятий нет: у нас были случаи, когда преступники обманывали молодых людей сильно младше 30, а это категория клиентов, от которой можно ожидать большей бдительности и технической подкованности.
Что делать дальше
Беречь свои деньги и никогда не сообщать звонящим из «службы безопасности» какие-либо данные. Лучше положите трубку и перезвоните в банк.
Мы постоянно совершенствуем свое мобильное приложение с точки зрения безопасности. Впоследствии, как только мы разработаем систему защиты на такие случаи, как вышеприведенный, мы не будем закрывать доступ к нашему приложению из-за TeamViewer и других средств удаленного администрирования. Это неудобство для клиента, и мы это признаем. Однако, вопрос сохранности средств стоит для нас на первом месте.
Комментарий недоступен
Более подробно об условиях предоставления комплексного обслуживания можно прочитать в этом документе:
https://www.gazprombank.ru/upload/files/iblock/7a6/pravila_dko_02.03.2020.pdf
В пункте 6.2.9 приложения №4 указано, что банк вправе временно приостановить или ограничить доступ клиента в приложение в случае если возможна попытка несанкционированного доступа от имени клиента
Комментарий недоступен
Комментарий недоступен
Это называется «натянуть сову на глобус». Вам выше верно написали про то, что уши у клиентов тоже есть. Очень ущербное поведение.
Но попытка возможна всегда, так как мне могут позвонить мошенники в любой момент, значит можно заблокировать вход сразу на всю жизнь.
Комментарий недоступен
Следует в том числе и что как минимум 592 ваших пользователей стоит ждать блокировки на этом основании(число - из количества подключивших Газпромбанк к Дзен-мани, там на старте интеграции просится телефон и парол) или Дзен-мани как то по совсем по особому именно с вами интегрируется и ваша СБ уверена что нехороших операций быть не может? Тот же вопрос - про budgetbakers.com (потому что там тоже интеграция со всеми кто в России работает кроме яндекс денег и пейпала - требует логин и пароль, если поставлен еще и СМС на вход то требует и его).
Кстати о, у меня вот в PlayStore есть небольшое старое приложение, которое использует Accessibility Services для чтения данных конкретных чужих приложения,фильтр на нужные приложения сделан в моем коде. Назначение приложение вполне себе белопушистое в том смысле что приложение делает именно то, о чем сказано в описании и ничего больше и пользователю от этого польза.
Установки есть, мало но есть. Интересно, если хоть один из пользователей этого приложения так же и ваш клиент - ему следует ждать предложения удалить одно из приложений? Ну если конечно у вас узнают package id.
А как быть с крупными приложениями (например большинство менеджеров паролей умеют Accessibility Service ставить) - они ж тоже могут с экрана читать и даже управлять.