Почему мы блокируем TeamViewer
Объясняем, чем опасны программы удаленного доступа
Недавно в «Приемной» был опубликован важный пост. Пользователь пожаловался, что в нашем приложении «Телекард» блокируется вход, если на телефоне установлен TeamViewer.
У этого приложения есть две версии: одна называется Remote Control и позволяет управлять компьютерами с телефона, другая — Quick Support, и с ее помощью можно управлять телефоном, просматривая его экран. По умолчанию мы блокируем обе.
Зачем это было сделано?
Мы имеем дело с беспрецедентным ростом телефонного мошенничества за последние полгода. Каждый третий клиент финансовой организации в России сталкивался с мошенниками за этот период. В условиях пандемии люди сильно обеспокоены вопросом сохранности средств, и в момент, когда им звонит «представитель банка», они теряют бдительность.
Мошенники вводят клиента в заблуждение, играя на его эмоциях. Проблема не в том, что они могут получить доступ к вашему телефону или компьютеру. Проблема в том, что мошенники манипулируют человеком и могут украсть деньги его же руками.
Мы не сомневаемся в компетентности многих IT-специалистов, которые являются клиентами нашего банка и используют TeamViewer по рабочей необходимости. Мы решили в таких случаях идти им навстречу, разрешая входить в «Телекард» на свой страх и риск. Однако, для большинства пользователей оставлять такую лазейку было бы непредусмотрительно.
В «Газпромбанке» работают одни из лучших специалистов по информационной безопасности на рынке. Мы очень серьезно относимся к этому вопросу: постоянно информируем клиентов и даже помогаем возвращать средства в случае, если они были украдены. Блокировать возможность пользоваться TeamViewer на фоне буйного раcцвета мошенничества может быть и «негуманно», но когда у тебя почти 1,8 млн пользователей приложения с неясным уровнем подкованности в технических вопросах, нужно ставить хотя бы временные заглушки. Что мы и сделали.
Сценарий атаки
Рассмотрим реальный случай атаки с использованием TeamViewer Remote Control.
- Мошенник подает за клиента заявку на кредит на сайте Газпромбанка и указывает номер телефона клиента
- Звонит клиенту, представляется сотрудником банка и сообщает,
что на него пытаются оформить подозрительный кредит, а также, что его интернет-банк взломан с помощью вирусного ПО, поэтому пароль нужно срочно сбросить. - Говорит клиенту, что проведёт действия по отмене
оформленного кредита и сбросит пароль. Просит установить TeamViewer Quick Support для проведения этих манипуляций через «Телекард» - Если выясняется, что у жертвы установлен Remote Control c заранее вписанным id домашнего компьютера, предлагает «удобный» вариант решения проблемы с удалением вредоносного ПО. Нужен только id и пароль от соединения, который обычно у клиента где-нибудь записан.
- Заходит на компьютер жертвы и устанавливает кейлоггер, после чего говорит что вредоносная программа успешно удалена. Просит клиента зайти через Remote Control на свой компьютер и проверить в личном кабинете сотового оператора, не установлена ли переадресация SMS на другой номер телефона. Затем через клиента инициирует сброс пароля интернет-банка.
- В этот момент у мошенника появляются все необходимые данные: логин и пароль от личного кабинета мобильного оператора, где он устанавливает переадресацию SMS на подконтрольный ему номер, а также номер карты, CVV, логин и пароль от интернет-банка.
- Получает кредит наличными на карту клиента и выводит деньги на подконтрольный ему счет.
Это невозможно! Любой человек догадается, что это мошенники.
Увы, нет. Жертвами телефонных мошенников становятся и чиновники, и полицейские, и финансисты. Никакой зависимости от возраста и рода занятий нет: у нас были случаи, когда преступники обманывали молодых людей сильно младше 30, а это категория клиентов, от которой можно ожидать большей бдительности и технической подкованности.
Что делать дальше
Беречь свои деньги и никогда не сообщать звонящим из «службы безопасности» какие-либо данные. Лучше положите трубку и перезвоните в банк.
Мы постоянно совершенствуем свое мобильное приложение с точки зрения безопасности. Впоследствии, как только мы разработаем систему защиты на такие случаи, как вышеприведенный, мы не будем закрывать доступ к нашему приложению из-за TeamViewer и других средств удаленного администрирования. Это неудобство для клиента, и мы это признаем. Однако, вопрос сохранности средств стоит для нас на первом месте.
Здорово, что вы написали целую статью, но TeamViewer Quick Support на iOs не дает возможность управлять телефоном. Только демонстрировать экран. Так же демонстрация экрана доступна в таких приложениях как Skype и Zoom. Планируется требования по удалению этих программ как потенциально опасных с iOs как это и происходит сейчас с TeamViewer?)
А ещё надо запрещать пользоваться виндой. Там есть RDP.
Веб-версии Интернет-банков, кстати, сканируют открыты ли порты RDP, VNC, ssh и тд. И ваш банк скорее всего знает, что у вас на винде открыт RDP, если он себе результаты сканирования забирает.
Это в каком Web API такое возможно?)
Как пример.
https://habr.com/ru/post/456558/
А ну если только отправлять запросы на localhost. CSP должен не пропускать такие запросы. Может быть это для какого нибудь ie8 будет работать, не знаю.
Странно, непонятно, зачем они это делают.
Я, конечно, обычный фронтендер, и ИБ не так глубоко знаю.
Спасибо за статью.
Антифрод собирает для скоринга.
Вот пример прозвона. FF, винда.