Почему мы блокируем TeamViewer
Объясняем, чем опасны программы удаленного доступа
Недавно в «Приемной» был опубликован важный пост. Пользователь пожаловался, что в нашем приложении «Телекард» блокируется вход, если на телефоне установлен TeamViewer.
У этого приложения есть две версии: одна называется Remote Control и позволяет управлять компьютерами с телефона, другая — Quick Support, и с ее помощью можно управлять телефоном, просматривая его экран. По умолчанию мы блокируем обе.
Зачем это было сделано?
Мы имеем дело с беспрецедентным ростом телефонного мошенничества за последние полгода. Каждый третий клиент финансовой организации в России сталкивался с мошенниками за этот период. В условиях пандемии люди сильно обеспокоены вопросом сохранности средств, и в момент, когда им звонит «представитель банка», они теряют бдительность.
Мошенники вводят клиента в заблуждение, играя на его эмоциях. Проблема не в том, что они могут получить доступ к вашему телефону или компьютеру. Проблема в том, что мошенники манипулируют человеком и могут украсть деньги его же руками.
Мы не сомневаемся в компетентности многих IT-специалистов, которые являются клиентами нашего банка и используют TeamViewer по рабочей необходимости. Мы решили в таких случаях идти им навстречу, разрешая входить в «Телекард» на свой страх и риск. Однако, для большинства пользователей оставлять такую лазейку было бы непредусмотрительно.
В «Газпромбанке» работают одни из лучших специалистов по информационной безопасности на рынке. Мы очень серьезно относимся к этому вопросу: постоянно информируем клиентов и даже помогаем возвращать средства в случае, если они были украдены. Блокировать возможность пользоваться TeamViewer на фоне буйного раcцвета мошенничества может быть и «негуманно», но когда у тебя почти 1,8 млн пользователей приложения с неясным уровнем подкованности в технических вопросах, нужно ставить хотя бы временные заглушки. Что мы и сделали.
Сценарий атаки
Рассмотрим реальный случай атаки с использованием TeamViewer Remote Control.
- Мошенник подает за клиента заявку на кредит на сайте Газпромбанка и указывает номер телефона клиента
- Звонит клиенту, представляется сотрудником банка и сообщает,
что на него пытаются оформить подозрительный кредит, а также, что его интернет-банк взломан с помощью вирусного ПО, поэтому пароль нужно срочно сбросить. - Говорит клиенту, что проведёт действия по отмене
оформленного кредита и сбросит пароль. Просит установить TeamViewer Quick Support для проведения этих манипуляций через «Телекард» - Если выясняется, что у жертвы установлен Remote Control c заранее вписанным id домашнего компьютера, предлагает «удобный» вариант решения проблемы с удалением вредоносного ПО. Нужен только id и пароль от соединения, который обычно у клиента где-нибудь записан.
- Заходит на компьютер жертвы и устанавливает кейлоггер, после чего говорит что вредоносная программа успешно удалена. Просит клиента зайти через Remote Control на свой компьютер и проверить в личном кабинете сотового оператора, не установлена ли переадресация SMS на другой номер телефона. Затем через клиента инициирует сброс пароля интернет-банка.
- В этот момент у мошенника появляются все необходимые данные: логин и пароль от личного кабинета мобильного оператора, где он устанавливает переадресацию SMS на подконтрольный ему номер, а также номер карты, CVV, логин и пароль от интернет-банка.
- Получает кредит наличными на карту клиента и выводит деньги на подконтрольный ему счет.
Увы, нет. Жертвами телефонных мошенников становятся и чиновники, и полицейские, и финансисты. Никакой зависимости от возраста и рода занятий нет: у нас были случаи, когда преступники обманывали молодых людей сильно младше 30, а это категория клиентов, от которой можно ожидать большей бдительности и технической подкованности.
Что делать дальше
Беречь свои деньги и никогда не сообщать звонящим из «службы безопасности» какие-либо данные. Лучше положите трубку и перезвоните в банк.
Мы постоянно совершенствуем свое мобильное приложение с точки зрения безопасности. Впоследствии, как только мы разработаем систему защиты на такие случаи, как вышеприведенный, мы не будем закрывать доступ к нашему приложению из-за TeamViewer и других средств удаленного администрирования. Это неудобство для клиента, и мы это признаем. Однако, вопрос сохранности средств стоит для нас на первом месте.
Я не читал комментариев и, возможно, уже кто-то до ребят это донёс. Но, если нет, то я первым буду.
Уважаемые "лучшие специалисты ИБ". Пишет вам не лучший, и не ИБ, но немного в теме человек.
1. Удалённо управлять Андроидами и айОСами нельзя. Управление через ТВ поддерживается только на конкретных прошивках, где производитель прошивки запартнёрился с ТВ.
2. Даже если речь не об управлении, а просто о просмотре, от этого в Андроиде есть штатная защита. Это специальный FLAG_SECURE, который можно выставить у Activity: https://developer.android.com/reference/android/view/WindowManager.LayoutParams.html#FLAG_SECURE Этот флаг запрещает захват экрана, если на нём отображается эта активити. Злоумышленник будет видеть только чёрный экран и ничего больше
Если у кого-то Андроид с приложением этого банка, сделайте простой тест. Снимите скриншот с экранов приложения. Если система может снять скриншот, то флаг не выставлен, что будет являться грубейшим нарушением правил безопасности для любого подобного ПО.
Ну и да. Уважаемый банк, если вы правда этого не знали, готов предложить свои услуги тестировщика за 300к/месяц.
Здорово! А вы знаете банковские приложения, которые этим пользуются? У меня Android 9 на Huawei P30 Pro, я проверил приложения Сбербанка, МКБ, Открытия, Райффайзенбанка - все они отлично скриншотятся штатным методом (volume down + power).
Нет, не знаю. Не слежу за банками, честно говоря. Сейчас работаю в несколько иной сфере.
Если они ещё отображают нажатия на кнопки пароля/пина (подсвечивают их, например), то это вообще дно и при мне такое в релиз бы не попало никогда.
Комментарий недоступен
Этот флаг можно убирать программно и ставить снова. То есть можно либо передавать отладочную сборку, либо иметь команду, которую бы отсылал сотрудник удалённо, либо просто иметь галку в дебрях.
Комментарий недоступен