С любопытной (и пренеприятной) ситуацией столкнулся один мой знакомый. У него украли деньги с карты, при этом он даже не пользовался мобильным приложением банка. Произошло всё следующим образом. У него есть карта в одном банке (название банка роли не играет, боюсь, с чем-то подобным могут столкнуться клиенты самых разных банков). Мобильного приложения банка у него не установлено по принципиальным мотивам — боялся хакеров, вирусов и всего такого. При этом он активно пользовался онлайн-банком на сайте банка — отправлял переводы родственникам. Однажды он обнаружил, что деньги с карты испарились после перевода с карты на карту. Получатель платежа — лицо неизвестное. Общение с банком ни к чему не привело: «Вы совершили перевод, используя мобильное приложение, код для подтверждения операции был направлен вам на телефон». При этом SMS-сообщений о списании (необходимых для подтверждения перевода) он не получал, да и вообще не пользовался мобильным приложением, как я уже писал выше. В итоге в банке ему предложили обращаться в полицию. В полицию он не пошёл — сумма не такая, чтобы заморачиваться. Но ситуация стоит того, чтобы в ней разобраться.

Как мошенники провернули операцию по списанию средств через мобильное приложение

Ситуация развивалась следующим образом. 1. Мой знакомый открыл сайт банка и ввёл там имя и пароль для входа. 2. Ему предложили ввести код для входа в онлайн-банк, отправленный по SMS. 3. Он ввёл код и получил сообщение об ошибке — код введён неверно. 4. Тогда он попробовал войти ещё раз, но в этот раз код очень долго не присылался и он закрыл сайт. 5. Через некоторое время он попробовал снова зайти в личный кабинет на сайте банка и в этот раз уже обнаружил, что денег нет. Выглядит всё очень обыденно и странно, если не знать, что первый раз, заходя на сайт банка, он набрал название банка в поисковике и перешёл по ссылке. Первая ссылка в результатах поиска оказалось рекламной, и привела в итоге на фишинговый сайт. Рекламные сервисы должны модерировать то, что рекламируют, но периодически злоумышленникам удаётся прорекламировать что-то, что не должно проходить модерацию. Кроме того, ссылки в результатах поиска могут подменяться и расширениями для браузера — в цифровых магазинах Google Chrome и Firefox модерация тоже оставляет желать лучшего. Таким образом, SMS-код, который ввёл на сайте мой знакомый, был кодом для установки мобильного приложения на телефон злоумышленника. После этого, приложение автоматически переключилось на работу с Push-уведомлениями.

Сразу после подключения онлайн-приложения, происходит автоматическое подключение push-уведомлений. Эти уведомления отправляются через интернет прямо на устройство, вместо SMS-уведомлений. Т.е. после этого с помощью мобильного приложения можно было бы делать всё что угодно, — владелец счёта об этом бы не узнал. Короче всё оказалось следствием невнимательности моего знакомого, «помноженное» на плохую модерацию в поисковике и то, что переключение на пуш-уведомления происходило без дополнительного согласия клиента.

Как не оказаться в такой ситуации

Самая главная ошибка, которая была совершена в этой ситуации, заключается в том, что для перехода на сайт банка был использован поисковик. Это не страшно, просто в таких случаях нужно избегать рекламных ссылок и проверять адрес сайта на который они приводят. Но ещё лучше вводить адрес сайта банка вручную. Самое забавное в этой ситуации заключается в том, что если бы мой знакомый изначально установил мобильное приложение, то не оказался бы в такой ситуации. То есть использование мобильного приложения защищает вас от угрозы фишинга — вы не переходите по ссылкам, а запускаете приложение, которые достаточно установить один раз. Конечно, не стоит забывать и об ответственности банка — переключение на Push-уведомления, на мой взгляд, должно подтверждаться через SMS, и об ответственности рекламной службы. Только без денег в этом случае рискует остаться клиент, поэтому ему нужно полагаться, в первую очередь, только на себя.