Как банковские троянцы обходят двухфакторную аутентификацию

Новости Советы

Двухфакторную аутентификацию с помощью SMS уже достаточно давно используют подавляющее большинство банков. Конечно, эта защита лучше, чем ничего, но она не является непреодолимой: исследователи предупреждали, что ее несложно обойти, еще лет десять назад, когда эта мера защиты только набирала популярность.

Как банковские троянцы обходят двухфакторную аутентификацию

Увы, разработчики банковских троянцев довольно быстро освоили методы обхода одноразовых паролей, присылаемых в SMS. Вот как это работает в современных мобильных банковских троянцах:

1. Пользователь запускает подлинное банковское приложение на своем смартфоне.

2. Троянец определяет, приложение какого банка используется, и перекрывает его интерфейс своим, показывая пользователю поддельный экран. Внешне поддельное приложение максимально похоже на настоящее.

3. На поддельном экране пользователь вводит свои логин и пароль.

4. Троянец отправляет эти логин и пароль злоумышленникам — теперь последние могут использовать их для входа в банковское приложение.

5. Злоумышленники инициализируют перевод некоторой суммы денег на свой счет.

6. На смартфон пользователя приходит SMS с одноразовым паролем.

7. Троянец перехватывает пароль из SMS и отправляет его злоумышленникам.

8. При этом на смартфоне SMS скрывается — пользователь не видит сообщение и ни о чем не подозревает, пока не проверит список транзакций.

9. Используя перехваченный одноразовый пароль, преступники подтверждают свою транзакцию и получают деньги на счет.

Едва ли будет преувеличением сказать, что все современные мобильные банковские троянцы умеют обходить двухфакторную аутентификацию, используя приведенный выше сценарий. У их создателей просто нет выбора — поскольку почти все банки используют эту меру защиты, без умения ее обходить деньги не украдешь.

Подобных вредоносных приложений существует гораздо больше, чем принято считать. Только за последние месяц-полтора наши эксперты опубликовали целых три исследования, посвященных трем разным семействам банковских троянцев. Одно опаснее другого:

1. Asacub — троянец-шпион, со временем обучившийся и воровству денег из мобильных банков.

2. Acecard — крайне насыщенный функциями троянец, способный перекрывать своими фишинговыми экранами приложения около 30 разных банков. Данный тренд подхватили и прочие зловреды: если изначально банковские троянцы создавались под какой-то конкретный банк или платежную систему, то теперь многие из них умеют имитировать сразу несколько приложений.

3. Banloader — кросс-платформенный троянец бразильского происхождения, способный запускаться как на компьютерах, так и на мобильных устройствах.

В целом надеяться на то, что двухфакторная аутентификация с помощью одноразовых паролей в SMS защитит от банковских троянцев, чрезвычайно наивно. Как было сказано выше, уже долгие годы она от них не защищает, и меняться ситуации как-то не с чего. Поэтому требуются дополнительные меры безопасности.

Базовая мера безопасности, не гарантирующая 100-процентной защиты, — ставить приложения только из официальных источников. Это примерно как не пить воду из-под крана, а сначала ее профильтровать: некоторое количество вредных веществ все равно остается, но хотя бы не столько, сколько было изначально. Проблема в том, что как раз от самых опасных «примесей» это, скорее всего, не защитит.

Поэтому более надежное средство, которое обеспечит вам уверенность в том, что устройство не заражено, — это хорошая антивирусная защита. Стоит использовать как минимум базовую версию Kaspersky Internet Security — она бесплатна — и периодически запускать сканирование устройства. Полная версия удобнее, поскольку она позволяет обнаруживать заразу на лету, но за нее придется заплатить.