Под прицелом злоумышленников 65 миллионов пользователей мобильного сервиса Сбербанка. Перевести деньги с их кредиток может любой, взявший смартфон. Ведь на сим-карты мы не ставим пароль. Но в банке просят закрывать двери и приглядывать за кошельками.
На технологии информационной защиты мир ежегодно тратит миллиарды долларов. Известно — чем более глобальна система, тем больше в ней уязвимых мест. В руки хакеров попадает и переписка первых лиц сверхдержав и миллионы со счетов крупных иностранных банков.
Пока специалисты по защитным системам анализируют масштабные риски, обычные пользователи электронных устройств зачастую находят бреши на самом бытовом уровне. Такие нюансы за незначительностью ускользают от взгляда спецов, зато вполне понятны мелким жуликам, да и просто любителям недобрых шуток. На этот раз о недоработке в системе защиты рассказали пользователи популярного электронного сервиса Сбербанка "Мобильный банк".
Отметим, в финансовой системе страны Сбербанк - ключевой игрок. Он имеет почти 17,5 тысяч отделений во всех субъектах страны, услугами которых пользуется 70% населения России. В Ленинградской области работают более 230 отделений Сбербанка. По данным сайта банка, услугами сервиса "Мобильный банк" пользуются 65 миллионов его клиентов.
Сервис "Мобильный банк" позволяет взаимодействовать с банковским счетом при помощи СМС-сообщений с мобильного телефона. Сервис активируется в офисах, либо при помощи банкоматов Сбербанка. Клиент получает возможность отправлять и получать сообщения на короткий номер 900. Вне зависимости от того, какой "Мобильный банк" он использует (существует полная и эконом-версия), клиенту автоматически становится доступен сервис коротких команд USSD. Как отмечено на сайте банка, он позволяет "запрашивать информацию обо всех банковских картах, а также совершать платежи, переводы и другие операции с помощью мобильного телефона в любое время и в любом месте". Этот сервис доступен для абонентов "Билайна", "Мегафона" и "Теле2" - он бесплатный и, как отмечают пользователи, для его активации не требуется какое-то особое подтверждение.
При помощи USSD-команд клиент может, в том числе, мгновенно оплатить привязанный к банковской карте мобильный телефон, а также перечислять деньги на любые мобильные телефоны или банковские карты других людей.
Вот здесь и ищите потенциальную опасность. Если на сим-карте пользователя не установлен пин-код (например, сейчас владельцы смартфонов зачастую ограничиваются кодом-паролем к своим аппаратам), то потенциальному злоумышленнику достаточно извлечь сим-карту и вставить ее в любой другой аппарат.
Набирая стандартные USSD команды злоумышленник может пополнить с карты Сбербанка своей жертвы ее мобильный счет (дальше деньги переводятся на другой номер уже при помощи команд оператора связи), сразу перечислить средства на другой мобильный счет или совершить перевод на банковскую карту. Фантазия ограничена только суточными лимитами — счет "родного" мобильного можно пополнять не более чем на 3000 рублей, чужого — на 1500 рублей. Перевод на чужую банковскую карту — не более 8000 тысяч в сутки. Можно предположить, что за сутки каждый современный человек хватится отсутствующей симки и оперативно ее заблокирует. А значит общая сумма потенциальных финансовых потерь не должна превысить 12,5 тысяч рублей.
Примечательно, чтобы запретить переводить деньги с карты при помощи USSD команд, клиенту придется вообще отказаться от сервиса "Мобильный банк". Дезактивировать их отдельно не получится.
Впрочем, в самом Сбербанке недостатков в работе данного сервиса не видят, а ответственность за безопасность счетов в данном случае возлагают на нас. Что если справедливо, то отчасти.
"Мобильный телефон сегодня – это уже намного больше, чем средство для связи. Это, как правило, многофункциональное устройство, которое содержит контакты близких, доступ к аккаунтам в социальных сетях, наконец, персональные данные. Поэтому вводить пароль блокировки телефона и сим-карты – разумно и правильно. Причём, безопаснее всего применять совместный пароль и на телефон, и на сим-карту. Если клиент не защищает телефон и сим-карту с помощью пароля, то его действия можно сравнить тем, что он не закрывает на ключ квартиру или оставляет на виду кошелёк с наличными",- считает директор управления Северо-Западного банка ПАО "Сбербанк" Павел Татаренко.
В пресс-службе Сбербанка добавили, что если по каким-то причинам пользователь категорически не хочет ставить пин-код на сим-карту своего мобильника, то либо он должен быть уверен, что к его гаджету ни при каких обстоятельствах не получат доступ третьи лица, либо отключить "Мобильный банк". Как нам показалось, первое вряд ли кто-то возьмется гарантировать.
"При утере мобильного телефона с подключенной услугой "Мобильный банк" необходимо срочно обратиться к оператору сотовой связи для блокировки сим-карты и в контактный центр банка для блокировки услуги", - благоразумно предупреждают об очевидном в Сбербанке.
Артем Шалякин,
47news