podcast quotes-left quotes-right search menu arrow-up arrow-up2 google-plus3 facebook2 instagram telegram twitter vk youtube android rss2

Мобильные финансы: невеселые новости

Трояны для мобильников активно перенацеливаются на банковские счета владельцев смартфонов, а это уже не сотня-другая рублей, украденных через контент. Заодно про гордую, но дорожающую с 1 ноября птицу Qiwi, удобный и полезный платежный сервис наверняка потеряет часть своей привлекательности.

На банковском счёте денег больше

А украсть эти деньги не так уж сложно с помощью загруженного в смартфон трояна. Действительно, средняя сумма на балансе телефона обычно исчисляется сотнями рублей, а средний банковский депозит или кредитная линия — десятками тысяч. То есть, воровать с банковского счёта на два порядка выгоднее, и направление «научных изысканий» мошенников давно очевидно. А условия для этого заботливо создаются операторами, банками и пофигистичной «лояльностью» к ворам со стороны правоохранительных органов.

Суть того, что мы на сегодняшний день уже имеем, хорошо изложена в информационном письме. 28 октября МегаФон и «Лаборатория Касперского» опубликовали предупреждение об участившихся случаях заражения мобильных устройств на базе ОС Android вредоносным программным обеспечением, которое переводит мошенникам деньги с банковских карт абонентов. Это те самые мобильные «трояны», о которых я уже устал писать и которые до недавнего времени занимались, в основном, воровством денег с телефонных балансов путем отправки SMS на контентные номера. Несколько ключевых цитат:

«...Впервые вредоносное ПО с подобным функционалом было обнаружено "Лабораторией Касперского" летом этого года. Новая угроза позволяла быстро и незаметно выудить у ничего не подозревающей жертвы значительную сумму денег. В отличие от своих собратьев этот новый SMS-троянец предоставлял своим хозяевам возможность хищения денег не с мобильного, а с банковского счета жертвы. Мошенники рассылали владельцам мобильных устройств сообщения с гиперссылками. Пройдя по ссылке, пользователь скачивал себе вредоносную программу, которая способна без участия абонента запрашивать баланс, пополнять счет с банковской карты, если она привязана к номеру, и далее выводить денежные средства с лицевого счета абонента на электронные кошельки злоумышленников. <...>

По словам эксперта "Лаборатории Касперского", в этом году наблюдается рост вредоносного ПО, нацеленного на кражу банковских данных. Если раньше мы обнаруживали в среднем 3-4 зловреда для ОС Android такого рода в месяц, то только в сентябре 2013 было задетектировано 250 различных модификаций банковских зловредов. На конец 2012 года было обнаружено 64 банковских зловреда, а на данный момент их уже почти 750, что говорит о более чем десятикратном росте. <...> По данным "Лаборатории Касперского", Россия является самой атакуемой страной - на нее приходится более 66% атак на мобильные устройства».

Заявленный «...более, чем десятикратный рост» количества модификаций вряд ли свидетельствует о резком росте числа разработчиков. Скорее, можно предположить появление и распространение «заготовок-полуфабрикатов» для изготовления этой дряни в промышленных масштабах чуть ли не любым желающим. Вспомните, как было с мидлетами-оболочками, в которые «упаковывают» честно-бесплатные программы: после определенного периода «эксклюзивности» появились готовые «конструкторы» с удобным графическим интерфейсом. Заводи себе нужные комбинации контентных номеров, зарегистрированные у контентщика префиксы и другие параметры, всё. «Индивидуальный продукт интеллектуальной деятельности» готов для употребления. Именно благодаря простоте и доступности для мошенников SMS-трояны получили такое широкое распространение.

Подозреваю, что нынешние «банковские» мобильные трояны успешно повторят триумфальный путь развития троянов контентных. Писал об этом давно и в начале сентября уже почти обещал активный рост «банковского» направления:

«...Предсказания двухлетней давности сбываются, и Android-смартфоны уверенно лидируют в печальном списке жертв вирусописателей. Не будем устраивать «священные войны» на тему сравнительной уязвимости операционных систем, просто примем к сведению факт: смартфон уязвим и быстро становится привлекательной мишенью. <...>

Судя по результатам «препарирования» современных троянов, акценты вирусописателей начинают смещаться в финансово-банковскую сторону. Читал устрашающие прогнозы об участии сотен тысяч смартфонов в будущих DDoS-атаках, но сомневаюсь в правдоподобности таких сценариев. А вот банковские и контентные трояны для смартфонов будут продолжать совершенствоваться и распространяться, в том числе через мобильные ботнеты».

Подлость еще и в том, что деньги с банковского счёта выводят (транзитом через пополнение баланса мобильного) не через контент, а напрямую в электронные кошельки ворюг. То есть, всё происходит очень быстро и непоправимо. Пожалуй, долгожданное «светлое будущее» для мошенников уже наступило. А если еще не совсем, то вот-вот наступит в своей полной красе. И нам с вами к этому нужно быть готовыми. Традиционные заклинания на тему «не открывайте подозрительные ссылки!» и т. п. полезны, но это ненадежное лекарство. Запретить смартфону устанавливать какие бы то ни было приложения из сторонних источников важно и нужно, это факт. Но готовы ли вы доверить судьбу своего банковского счета квалификации программистов Google? Это ведь не 200 руб. на балансе телефона, финансовые риски совсем другие.

Как бороться?

«Волшебной услуги» оператора или банка не существует, хотя традиционные меры предосторожности (см. выше) уменьшают вероятность такой беды во много раз. Может показаться, что достаточно избегать активно рекламируемой услуги «Автопополнение счета». Бесспорно, все эти выгодные банкам и операторам «Автопополнения» значительно облегчают мошенникам жизнь, а поиск виноватых сводится к тому, что операторы и банки кивают друг на друга и приходят к консенсусу в виде формулировки «пользователь сам виноват». О коварстве «автопополнений» уже писал не раз, последний эпизод близкого знакомства с этим безобразием описан здесь.

К сожалению, отсутствие подключенного «автопополнения» отнюдь не гарантирует безопасность банковского счёта от смартфонных мошенников. Выше — свежеутянутый с форума пример феноменальной живучести связки «банковская карта — телефонный номер». Пусть таких эпизодов становится всё меньше, но сам факт отношения к ним со стороны банков и операторов характерен. Мне кажется, что при наличии привязанной к телефонному номеру банковской карты троян может успешно справиться (или уже справляется) с перекачиванием денег с банковского счёта в кошелек злоумышленника даже без всяких «автопополнений». Благо, механизмы отправки, перехватывания и чтения входящих SMS, как и отправка USSD-команд, уже давно реализованы в троянах для смартфонов. Хотя, конкретный механизм мне неизвестен, и допускаю, что троян сперва без ведома пользователя подключает «автоплатеж». В любом случае, виноват будет сам пользователь, который «неосмотрительно открыл ссылку» или еще какое непотребное деяние совершил.

Здесь уместно напомнить и о фактической безнаказанности воров. Характерное замечание Лаборатории Касперского: «... Россия является самой атакуемой страной — на нее приходится более 66% атак на мобильные устройства». Не из любви мошенников к нашему триколору, а именно благодаря комфортной безнаказанности. Так было и есть с воровством через контент, так теперь есть и будет (скорее всего) с прямым воровством денег с банковских счетов. У нас пострадавший почти всегда «сам дурак» и должен был самостоятельно позаботиться о собственной безопасности. Увы, при отсутствии наказания преступление становится прибыльным бизнесом и чем-то вроде спорта для людей без моральных тормозов. А невнимательный гражданин — законной добычей удачливого охотника.

В качестве резюме. Боюсь, что для подавляющего большинства владельцев смартфонов и «не спортсменов» в этой области привязка реальной банковской карты к номеру телефона теперь уже противопоказана. Я имею в виду не стандартное SMS-информирование, а привязку карты к номеру для мобильного банкинга и даже просто удобства пополнения баланса. И уж точно не посоветую подключать любой вид «автопополнений» и «автоплатежей».

Пятирублёвый налог QIWI

Такая вот любопытная новость появилась на сайте платежной системы, ознакомиться с оригиналом можно здесь. Полный текст читабелен на скриншоте, суть — наступившее с сегодняшнего дня налогообложение в размере 5 руб. за каждый платеж на баланс телефона МТС, Билайн и Ростелеком Урал. А за домашний интернет и телефон МТС вообще берут 2.5% от суммы платежа. Пока не будем рассуждать о причинах такой неожиданной избирательности в подходе, но примем к сведению. QIWI-кошелек всегда радовал бесплатным пополнением баланса сотовых телефонов и тем, что сам кошелек пополнялся через терминалы тоже без процентов.

Лично для меня новость не смертельна, кошельком QIWI пользуюсь в основном для оплаты домашнего интернета и сравнительно редко для других платежей. Как-то так повелось с тех давних времен, когда хороший местный провайдер принимал оплату только через неуловимые скретч-карты, QIWI или у себя в офисе, до которого нужно было ехать с пересадками. Но сама по себе система удобна, приложение для смартфоне работает почти без нареканий и регулярно обновляется. За прошедшие годы QIWI превратился в этакого универсального платежного (и не только платежного) монстра с кучей дополнительных возможностей. Периодически выручает меня, и многие наверняка «запали».

Можно ли как-то «объехать на кривой козе» вводимый с 1 ноября «налог на платеж»? Хотя бы из спортивного интереса. Пять руб. - не бог весть какая сумма, переживем, но на мелочевых пополнениях будет заметно. Не знаю статистику по средней сумме пополнения баланса через QIWI, но в случае «ходовых» 50-100 руб. это неплохие 10-5%. Из любопытства покопался в интерфейсе приложения и посмотрел наценки на разные операции из разных источников, проценты варьируются в довольно широких пределах. И «налог» на один платеж может проходить разными суммами аж по трем позициям одновременно. Естественно, дороже всего оплачивать услуги со счета мобильного телефона, это понятно.

Из обнаруженного «навскидку» - 0.75% комиссии при пополнении баланса с привязанной к QIWI сторонней кредитки. Это же можно сделать вообще без % на сайте оператора, но QIWI хорош удобством и дружелюбием, процедура платежа занимает секунд 30. Подсказали вариант платежа не из кошелька, а со сгенерированной на базе этого кошелька виртуальной кредитки QWC, забавный двухступенчатый изврат. К сожалению, в интерфейсе списка доступных средств платежа эта виртуальная карта отсутствует, а жертвовать комфортом и терять время на процедуру online-оплаты с сайта ради 5 руб. экономии неинтересно.

В общем, надо будет дождаться фактического запуска анонсированной ценовой поправки (если запуск состоится) и посмотреть, как это всё будет работать. Повторюсь: 5 руб. за операцию — не бог весть какие деньги, но своего рода предупредительный звоночек.

Ссылки по теме

Спам, контент и воровство

Сбербанк ОнЛ@йн: Спорное лидерство

Сергей Потресов (sergey.potresov@mobile-review.com)
Twitter
Опубликовано - 05 ноября 2013 г.

Мы в социальных сетях:

Есть, что добавить?! Пишите... eldar@mobile-review.com

 
Новости:
Hit

15.12.2017 Названы победители викторины от Veon

15.12.2017 Vernee представила свой безрамочный смартфон с четырьмя камерами

15.12.2017 МТТ выделит 1 млрд рублей для приобретения стартапов

15.12.2017 DOOGEE показала своё видение полностью безрамочных смартфонов в виде слайдера

15.12.2017 Появились 3D-рендеринги нового Samsung Galaxy S9+

15.12.2017 BLU Life One X3 – смартфон среднего уровня с ёмким аккумулятором

Hit

14.12.2017 Видео на канале: Android лучше iOS Причина №10 Файловая система

14.12.2017 «Билайн» снижает для своих абонентов цены на связь в сетях других операторов

14.12.2017 ОС АЛЬТ — первая промышленная линейка операционных систем, поддерживающая все российские процессоры

Hit

14.12.2017 Видео на канале: Android лучше iOS Причина №9 Почтовый клиент

Hit

14.12.2017 Видео на канале: Обзор наушников Sony WH-1000XM2

Hit

14.12.2017 Видео на канале: Обзор Xiaomi Redmi 5A

14.12.2017 МВД не будет покупать компьютеры с российским процессором

14.12.2017 LG представила новую линейку прочных и стильных ноутбуков LG gram

14.12.2017 Тинькофф Банк запускает своего собственного мобильного оператора

13.12.2017 Уровень проникновения iPhone X выше, чем у iPhone 8

13.12.2017 Nintendo продала более 10 миллионов консолей Switch

13.12.2017 Meizu представит 6 смартфонов в первой половине 2018 года

13.12.2017 У Роскомнадзора есть намерения заблокировать Twitter

13.12.2017 TENAA опубликовала спецификации и фотографии Honor 9 Lite

13.12.2017 Facebook теперь считает записи со ссылками на Telegraph спамом

13.12.2017 LG открывает в России официальный онлайн-магазин

13.12.2017 Тренды российского поиска в Google за 2017 год

13.12.2017 Transcend представила портативный жёсткий диск StoreJet 200 для компьютеров Mac

13.12.2017 Ростелеком потратит ещё 260 миллионов рублей на поисковик «Спутник» и развитие одноимённого браузера

Подписка
 
© Mobile-review.com, 2002-2017. All rights reserved.