Почему мы блокируем TeamViewer
Объясняем, чем опасны программы удаленного доступа
Недавно в «Приемной» был опубликован важный пост. Пользователь пожаловался, что в нашем приложении «Телекард» блокируется вход, если на телефоне установлен TeamViewer.
У этого приложения есть две версии: одна называется Remote Control и позволяет управлять компьютерами с телефона, другая — Quick Support, и с ее помощью можно управлять телефоном, просматривая его экран. По умолчанию мы блокируем обе.
Зачем это было сделано?
Мы имеем дело с беспрецедентным ростом телефонного мошенничества за последние полгода. Каждый третий клиент финансовой организации в России сталкивался с мошенниками за этот период. В условиях пандемии люди сильно обеспокоены вопросом сохранности средств, и в момент, когда им звонит «представитель банка», они теряют бдительность.
Мошенники вводят клиента в заблуждение, играя на его эмоциях. Проблема не в том, что они могут получить доступ к вашему телефону или компьютеру. Проблема в том, что мошенники манипулируют человеком и могут украсть деньги его же руками.
Мы не сомневаемся в компетентности многих IT-специалистов, которые являются клиентами нашего банка и используют TeamViewer по рабочей необходимости. Мы решили в таких случаях идти им навстречу, разрешая входить в «Телекард» на свой страх и риск. Однако, для большинства пользователей оставлять такую лазейку было бы непредусмотрительно.
В «Газпромбанке» работают одни из лучших специалистов по информационной безопасности на рынке. Мы очень серьезно относимся к этому вопросу: постоянно информируем клиентов и даже помогаем возвращать средства в случае, если они были украдены. Блокировать возможность пользоваться TeamViewer на фоне буйного раcцвета мошенничества может быть и «негуманно», но когда у тебя почти 1,8 млн пользователей приложения с неясным уровнем подкованности в технических вопросах, нужно ставить хотя бы временные заглушки. Что мы и сделали.
Сценарий атаки
Рассмотрим реальный случай атаки с использованием TeamViewer Remote Control.
- Мошенник подает за клиента заявку на кредит на сайте Газпромбанка и указывает номер телефона клиента
- Звонит клиенту, представляется сотрудником банка и сообщает,
что на него пытаются оформить подозрительный кредит, а также, что его интернет-банк взломан с помощью вирусного ПО, поэтому пароль нужно срочно сбросить. - Говорит клиенту, что проведёт действия по отмене
оформленного кредита и сбросит пароль. Просит установить TeamViewer Quick Support для проведения этих манипуляций через «Телекард» - Если выясняется, что у жертвы установлен Remote Control c заранее вписанным id домашнего компьютера, предлагает «удобный» вариант решения проблемы с удалением вредоносного ПО. Нужен только id и пароль от соединения, который обычно у клиента где-нибудь записан.
- Заходит на компьютер жертвы и устанавливает кейлоггер, после чего говорит что вредоносная программа успешно удалена. Просит клиента зайти через Remote Control на свой компьютер и проверить в личном кабинете сотового оператора, не установлена ли переадресация SMS на другой номер телефона. Затем через клиента инициирует сброс пароля интернет-банка.
- В этот момент у мошенника появляются все необходимые данные: логин и пароль от личного кабинета мобильного оператора, где он устанавливает переадресацию SMS на подконтрольный ему номер, а также номер карты, CVV, логин и пароль от интернет-банка.
- Получает кредит наличными на карту клиента и выводит деньги на подконтрольный ему счет.
Увы, нет. Жертвами телефонных мошенников становятся и чиновники, и полицейские, и финансисты. Никакой зависимости от возраста и рода занятий нет: у нас были случаи, когда преступники обманывали молодых людей сильно младше 30, а это категория клиентов, от которой можно ожидать большей бдительности и технической подкованности.
Что делать дальше
Беречь свои деньги и никогда не сообщать звонящим из «службы безопасности» какие-либо данные. Лучше положите трубку и перезвоните в банк.
Мы постоянно совершенствуем свое мобильное приложение с точки зрения безопасности. Впоследствии, как только мы разработаем систему защиты на такие случаи, как вышеприведенный, мы не будем закрывать доступ к нашему приложению из-за TeamViewer и других средств удаленного администрирования. Это неудобство для клиента, и мы это признаем. Однако, вопрос сохранности средств стоит для нас на первом месте.
Комментарий недоступен
Комментарий недоступен
может вообще запретите клиентам телефоны использовать? они же пароли мошейникам отдают? барабанные перепонки им покоцаете, пальцы поотрубаете? чисто для профилактики.
вы что там реально с ума посходили? вы единственный банк, "додумавшийся" до такого идиотизма, при том, что тима как бы разрешена в магазине гугла не просто так
Комментарий недоступен
В магазине гугла не проверяют приложения на безопасность. Это не apple.
Плюсик за оперативное реагирование на гневный пост.
Минус за высосанные кейсы из пальца. Это настолько длинная и не рабочая цепочка, что где-то ржёт под столом ватага мошенников. Несите тряпки.
Здорово, что вы написали целую статью, но TeamViewer Quick Support на iOs не дает возможность управлять телефоном. Только демонстрировать экран. Так же демонстрация экрана доступна в таких приложениях как Skype и Zoom. Планируется требования по удалению этих программ как потенциально опасных с iOs как это и происходит сейчас с TeamViewer?)
А ещё надо запрещать пользоваться виндой. Там есть RDP.
И да! Где можно ознакомиться с реестром "блокируемых приложений"?)
Написал жалобу в google на дискриминационные требования приложения по поводу удаления другого легитимного приложения. Интересно, если таких обращений будет много, приложение гпб самого не забанят? 😃
Не забанят, в гайдлайнах гугла нет запрета на это
Я не читал комментариев и, возможно, уже кто-то до ребят это донёс. Но, если нет, то я первым буду.
Уважаемые "лучшие специалисты ИБ". Пишет вам не лучший, и не ИБ, но немного в теме человек.
1. Удалённо управлять Андроидами и айОСами нельзя. Управление через ТВ поддерживается только на конкретных прошивках, где производитель прошивки запартнёрился с ТВ.
2. Даже если речь не об управлении, а просто о просмотре, от этого в Андроиде есть штатная защита. Это специальный FLAG_SECURE, который можно выставить у Activity: https://developer.android.com/reference/android/view/WindowManager.LayoutParams.html#FLAG_SECURE Этот флаг запрещает захват экрана, если на нём отображается эта активити. Злоумышленник будет видеть только чёрный экран и ничего больше
Если у кого-то Андроид с приложением этого банка, сделайте простой тест. Снимите скриншот с экранов приложения. Если система может снять скриншот, то флаг не выставлен, что будет являться грубейшим нарушением правил безопасности для любого подобного ПО.
Ну и да. Уважаемый банк, если вы правда этого не знали, готов предложить свои услуги тестировщика за 300к/месяц.
Мы вам перезвоним
Здорово! А вы знаете банковские приложения, которые этим пользуются? У меня Android 9 на Huawei P30 Pro, я проверил приложения Сбербанка, МКБ, Открытия, Райффайзенбанка - все они отлично скриншотятся штатным методом (volume down + power).
Ios и правда нельзя, а для Android несколько инструментов. Включая коммерческие сервисы по онлайн тестированию на устройствах
Комментарий недоступен
Глупо было вводить такое ограничение.
Глупее этого ограничения — вот так вот, как вы сейчас, за него оправдываться.
Но самая большая ваша глупость ещё впереди, увы.
Комментарий удален модератором
Комментарий недоступен
Более подробно об условиях предоставления комплексного обслуживания можно прочитать в этом документе:
https://www.gazprombank.ru/upload/files/iblock/7a6/pravila_dko_02.03.2020.pdf
В пункте 6.2.9 приложения №4 указано, что банк вправе временно приостановить или ограничить доступ клиента в приложение в случае если возможна попытка несанкционированного доступа от имени клиента
С тем же успехом человек может и смс сказать и сам что-нибудь понатыкать. Это уже какая-то паранойя. Если приложение есть в плеймаркете/аппсторе и оно явно не вирус - странно на него ругаться.
А клинические случаи такими методами вы не поправите.
Вы думаете вы умнее одних из самых лучших спецов по безопасности
Кто вам сказал, что Гугл проверяет все приложения в своём маркетплейсе?
Просто гениально. Таких реальных фантастических сценариев можно придумать сотни. Но пострадал несчастный team viewer.
Ну говнобанк значит. Раз такими методами работаете.
Комментарий недоступен
Если клиент доверчив, то разводится и без тим вьюера. Вы несете полную фигню, вместо того, чтобы честно признать, что лоханулись и исправитесь
А ещё мошенники крадут деньги с помощью телефонного звонка. Советую запретить использовать приложение "Телефон". И "СМС". И вообще иметь два смартфона: на одном иметь все нужные приложения, на другом только Телекард.
Ну как тут не процитировать Лаврова...
Комментарий недоступен
столько негатива в комментах, ну сбер на рутованных устройствах насколько я помню свой мобильный банк не дает устанавливать, и как бы ничего. и по-моему клавиатура у них там встроенная вклеена в приложение, а еще и антивирус внутри него же. ГПБ плюс за то, что объяснились, как минимум.
Ну ты сравнил, на рутованных устройствах и G-pay не работает и вообще много чего, а клавиатура и антивирус - особенности приложения сбера, которые не затрагивают другие приложения и являются адекватными, в отличие от данного случая
Что мешает злоумышленникам по завершении установки нужных вредоносов сказать жертве, что теперь TeamViewer нужно удалить?
Если человек по звонку от неизвестно кого делает то, что ему говорят (ковыряет в носу, прыгает с крыши, устанавливает ПО), то вы не спасёте его своими ограничениями.
Но надо пытаться, да.
Комментарий недоступен
Лол, через пару лет Минкомсвязь на vc.ru: «Почему мы блокируем интернет. Объясняем, чем опасны зарубежные веб-сайты»
На самом деле не понятны обвинения в сторону банка. Да, запрет координальный, но все таки сделан ради пользователей, чтобы потом не было обращений в банк по типу, "Мою бабушку обманули, верните деньги!".
А в приложении можно сделать отдельную настройку, которая будет по умолчанию включенной. И когда пользователю понадобиться тимаивер, то он 5 минут покопавшись в настройках сможет спокойно отключить функцию, это и обезопасит людей и не создаст лишних проблем "продвинутым пользователям"
Комментарий недоступен
Бабушка пользуется тимвьювером? Впрочем о чем я: мне 60 лет и я им тоже пользуюсь.
Кстати, не знаю как на других телефонах, в в Miui есть штука под названием "второе пространство" просто запускать в нем банк или тимвьювер.
всё очень просто: у одного из клиентов ГПБ именно таким образом увели деньги, СБ отчиталась что исправила "дыру" в приложении таким запретом
Хоспади да сделайте обход какой-то для людей работающих по тимвивер!
Галочку чтоли поставить на согласие что у меня тимвивер и я сам несу ответственность
Может быть в газпромбанк работают лучшие специалисты по безопасности, но видимо они отчаянные дармоеды которые ничего не делают! Плюс на них работают криворукие программеры которые не могут хорошую идею нормально и красиво реализовать. А делают так что получается, что нормальные люди не плюются и не могут вообще пользоваться, а непродвинутых и так облапошат и газпромбанк умоет ручки и скажет им что сами виноваты. Стыд и позор! Глупость!
Сталкивался лично, пока у нас начальники тюрем, такие же как комментаторы тут, думающие, что если меня не касается, то пускай зеки звонят куда хотят, то такой бардак и будет продолжаться. Одни других стоят. Такое общество, и пока люди по-пещерному эгоисты, эта страна не станет развитой.
99.5% людей эта программа не нужна, немного напрячь 0.5% на первых парах - умно. Потом просто дать им возможность, через 3 экрана предупреждений и авторизации возможность включать программу с тимвьювером. Тем самым сохранить кучу здоровья/жизней/семей
Как попасть в список избранных, кому можно пользоваться TeamViewer?
Кстати, из прошлого вспомнилось: похожая ситуация, СБ в банке тоже какую-то херь придумала похожую, ее ткнули носом. Она тоже побежала оправдываться. В итоге вместо одного проходного поста ни о чем, долетело до совета директоров, который настолько охуел, что пару человек выгнал) а так бы никто ниче не заметил) это я к тому, что иногда лучше жевать.
Как то раз ставил одно приложение, которое монетизировала экспорт получившихся изображений.
Сделаю скриншот подумал я...
Хер там плавал, наверняка есть такая же функция защиты от захвата и управления, в системном API андроида.
Получается уважаемые программисты Газпромбанк а настолько круты, что даже не знают и не умеют пользоваться методами для защиты, предоставляемые самой системой.
Спасибо, будем знать, что Ваше приложении в этом месте уязвимо.
Все это замечательно, но именно поэтому я выбираю магиск. Я не подвергаю сомнению искренность намерений банка или что он там, но это МОЙ телефон. МОЙ телефон - МОИ правила.
У Срвкомбанка такая же фигня
Газпромбанк не работает с надписью, что установлен jailbreak , ничего породного никогда не устанавливала, в чем дело ?😭
Очень быстрое реагирование Банка. Молодцы
Да просто напишите смс своим клиентам, что ваши сотрудники никогда не просят ставить левое ПО.
Но это же сложно, проще тупо все запретить. Лучшие эксперты по безопасности.
Комментарий недоступен
Повеселили, спс. В Газпром банке самое говенное ПО для онлайн-банкинга. Может для физиков это и не так, но для юриков точно. Если бы проклятия работали, то разработчики этой древней субстанция уже давно бы в аду эту самую субстанцию кушали бы. Я бы на их месте вообще молчал, раз они разработку не хотят вести так, как того требует время.
Вчера звонили из "службы безопасности" Сбера. Сказали что сделана странная операция на 2000руб какому-то Григорьевичу. 😆
Спросили делал я перевод. Тупанул и ответил нет, хотя сразу понял что развод. Надо было ответить да))) интересно было бы услышать реакцию. Ну а после попросили кодовое слово )))) сказал: "не скажу". И безопасник: "спасибо" и положил трубку.
P.s. безопасно ставить кодовое слово на подобии: не скажу, не буду, не помню, иди ты, забыл, ээээээээ 😆
Надо было сказать : "дебилы".
Так а что не так с приложением для управления, без Quick Support схема ломается.
Существую системы защиты, на том же iOS такие как DRM и тд, которые вполне могут решить проблему записи экрана иными приложениями. Потому что, если не TeamViewer, то квалифицированный злоумышленник использует или в крайнем случае напишет на коленке и загрузит другое приложение для удаленного доступа с минимумом функций. Не блокировать же их всех..
Да и на Android тоже есть. Это есть практически на всех системах
Газпромбанк, получайте сразу согласие на запись всех звонков пользователя и отсылку к вам, типа чтобы сразу прям мошенников ловить..
"Говорит клиенту, что проведёт действия по отмене
оформленного кредита и сбросит пароль. Просит установить TeamViewer Quick Support для проведения этих манипуляций через «Телекард»"
Вот уже после этого - мне такого человека не жалко от слова совсем. Разок проучат, глядишь, поумнеет. Честное слово, вы их основам вытирания жопы еще поучите!
Стоп, а как блокировка защитит от мошенников, если в предложенном сценарии нет запуска приложения, так как целью являются СМС и другие данные с устройства?
Получается, у кого TeamViewer уже стоит, то они знают зачем он нужен и блокировка только мешает, а мошенник уговаривает поставить и разводит без запуска приложения, если уж очень надо, то просит зайти в кабинет через браузер. Блокировка бессмысленна, по вашей же логике не работает, и особенно Remote Control. Самое неудачное оправдание.
Комментарий удален модератором
Бред 🤦🤦🤦 Ни какой опасности в этом ПО нет .
Я сколько читал новостей - в 99% из них жертвы просто сообщают все данные карты по телефону, а если человек в состоянии провернуть действия, описанные в статье, то он уже никакой не обыватель. Очередные палки в колёса от ГПБ там, где они не нужны
А, ну тогда можно смело сносить ваше чудо приложение "Телекард2.0". Уже писал отзыв: выпускайте свой смартфон под вашей маркой, и уже там командуйте что как ставить и пользоваться
Если не так, тогда будут длинные очереди в банке ;)
Комментарий недоступен
Ну может продакт прочитает, повесит в беклог, на следующем митинге обсудят и уберут или придумают более красивое решение...для чего команда то вообще там...и за что им премии по метрикам платят...
Комментарий удален модератором
Тоесть из-за дураков создавать проблемы нормальным людям.... Тогда блокируйте всех у кого на телефоне есть смс уже....
Переаресация СМС? Такая услуга есть у всех операторов?
Есть то (была как то необходимость) она есть только вот у всех проверенных операторов она, если есть вообще, либо вообще не работает для коротких номеров либо не работает для коротких номеров банков (кого оператор банком считает).
Можно оператора у кого она полноценно для банковских номеров работает?
Мне проблему пришлось решать по другому (по принципу - ладно, смс будет приходить на лежащий в столе на зарядке аппарат, а PushBullet будет перехватывать (он и СМС умеет и нотификации) и пересылать куда следует).
За всю жизнь, оставляя кучу "галочек согласен" на обработку ПД, откуда потом звонили кучи манагеров с предложением оформить кредит, ни разу не позвонили мошенники. Может это я такой особенный?)
Комментарий удален модератором
Запретить, не пущать, наказать.
Эти чудаки на мой вопрос когда же эта глупая ситуация будет ими исправлена отправили мне эту статью типа "на читай, мы все правильно делаем")))
Бла бла бла. Вы думаете это кто-то читает? А почему вы не блокируете телефоны с 6тым андроидом, например то этих эксплоитов, попой ешь, так что вы в эту попу и идите
Гоподи, какая фееричная чушь
Мошенники часто связываются с клиентами через Viber Whatsapp и Telegram. Через эти же программы происходит передача одноразовых паролей. Блокируйте пользователей с этими опасными программами. Так для безопасности лучше.
Как говорится банк нахайпил себе обратный рост...
Высосанная непонятно откуда херь! У вас хоть один живой кейс подобный есть? (сейчас мы наверное должны узнать, что это один из самых распространенных способов мошенничества). Это же пришло в голову кому-то... Банк еще будет диктовать какими мне приложениями пользоваться, пипец!
Следующий запрет Тормозпромбанка - «поход с карточкой банка в магазин».
Кругом карманники! Нужно запретить выносить карточки из дома.
Комментарий недоступен
А почему ответ размещен здесь? Почему не на официальном сайте ГПБ? И решение о блокировке запуска при установленном Team Viewer - это просто тупо. Как ваше писали можно было прописать запрет захвата экрана в коде приложения. Разрабы вам огромный минус. Ваше решение не спасет обычных пользователей.
Щас бы кейлоггер не палился даже перед форточным дефендером. Передовики!
Кто этому посту ставит плюсы? Работников банка насильно сгоняют и заставляют?
Так и "звонилку" заблокировать. А вдруг клиент по телефону сообщит данные карты?
да заблокать к чертовой бабушке teamviewer - за жадность :)))
Ерундой занимаетесь, я принципиально не ставлю банк-клиенты на смартфон, так как через них могут воровать деньги мошенники.
Конченые дебилы! После очередного обновления (вроде в июне 2020) старая версия тупо перестала работать, с таким дебилизмом сталкиваюсь впервые, программерам словосочетание «обратная совместимость» тупо незнакома. Банком Авангард (для примера) пользуюсь более 20 лет, столько и приложение не обновляю и ФСЁ РАБОТАЕТ!!! Раз лет в 5 обновляю, смотрю что за новые функции и если не нужны не обновляюсь. Здесь же пи$детс, ну решил обновиться фсё одно на ИОСе перестало работать (сентябрь 2020) НО НЕТ, СКА, СТОИТ ТИМВИВЕР и ОПЯТЬ ТАЖЕ ХНЯ!!! ПРИЛОЖЕНИЕ НЕ ЗАПУСКАЕТСЯ!🤦♀️ 🤬🤬🤬
ВСЕ РИСКИ УСТАНОВЛЕННОГО МНОЙ ПО ДЛЯ РАБОТЫ ИЛИ НЕТ НЕСУ Я САМ ЛИЧНО! Не надо думать за меня, что может у меня стоять, а что нет!🤨
Сорян, НАКИПЕЛО 😤
Мудаящики у вас в банке а не специалисты
Прошло 2 года, приложения удаленного доступа так и блокируются, а банк так за 2 года и не додумался сделать в приложении галочку - разрешающую пользование программами удаленного доступа с согласием пользователя нести все риски связанные с этим. А да и ещё вопрос, почему не блокируют телегу, вацап, вк, маилру, фишинговые ссылки что отменили?
С одной стороны респект за публичный ответ. Сам лично вовсе не ставлю каких-либо банковских приложений на телефон, банковские аккаунты привязаны к резервному телефону. Не вижу никакой срочности в управлении своих счетов