podcast quotes-left quotes-right search menu arrow-up arrow-up2 google-plus3 facebook2 instagram telegram twitter vk youtube android rss2

Мобильные финансы: невеселые новости

Трояны для мобильников активно перенацеливаются на банковские счета владельцев смартфонов, а это уже не сотня-другая рублей, украденных через контент. Заодно про гордую, но дорожающую с 1 ноября птицу Qiwi, удобный и полезный платежный сервис наверняка потеряет часть своей привлекательности.

На банковском счёте денег больше

А украсть эти деньги не так уж сложно с помощью загруженного в смартфон трояна. Действительно, средняя сумма на балансе телефона обычно исчисляется сотнями рублей, а средний банковский депозит или кредитная линия — десятками тысяч. То есть, воровать с банковского счёта на два порядка выгоднее, и направление «научных изысканий» мошенников давно очевидно. А условия для этого заботливо создаются операторами, банками и пофигистичной «лояльностью» к ворам со стороны правоохранительных органов.

Суть того, что мы на сегодняшний день уже имеем, хорошо изложена в информационном письме. 28 октября МегаФон и «Лаборатория Касперского» опубликовали предупреждение об участившихся случаях заражения мобильных устройств на базе ОС Android вредоносным программным обеспечением, которое переводит мошенникам деньги с банковских карт абонентов. Это те самые мобильные «трояны», о которых я уже устал писать и которые до недавнего времени занимались, в основном, воровством денег с телефонных балансов путем отправки SMS на контентные номера. Несколько ключевых цитат:

«...Впервые вредоносное ПО с подобным функционалом было обнаружено "Лабораторией Касперского" летом этого года. Новая угроза позволяла быстро и незаметно выудить у ничего не подозревающей жертвы значительную сумму денег. В отличие от своих собратьев этот новый SMS-троянец предоставлял своим хозяевам возможность хищения денег не с мобильного, а с банковского счета жертвы. Мошенники рассылали владельцам мобильных устройств сообщения с гиперссылками. Пройдя по ссылке, пользователь скачивал себе вредоносную программу, которая способна без участия абонента запрашивать баланс, пополнять счет с банковской карты, если она привязана к номеру, и далее выводить денежные средства с лицевого счета абонента на электронные кошельки злоумышленников. <...>

По словам эксперта "Лаборатории Касперского", в этом году наблюдается рост вредоносного ПО, нацеленного на кражу банковских данных. Если раньше мы обнаруживали в среднем 3-4 зловреда для ОС Android такого рода в месяц, то только в сентябре 2013 было задетектировано 250 различных модификаций банковских зловредов. На конец 2012 года было обнаружено 64 банковских зловреда, а на данный момент их уже почти 750, что говорит о более чем десятикратном росте. <...> По данным "Лаборатории Касперского", Россия является самой атакуемой страной - на нее приходится более 66% атак на мобильные устройства».

Заявленный «...более, чем десятикратный рост» количества модификаций вряд ли свидетельствует о резком росте числа разработчиков. Скорее, можно предположить появление и распространение «заготовок-полуфабрикатов» для изготовления этой дряни в промышленных масштабах чуть ли не любым желающим. Вспомните, как было с мидлетами-оболочками, в которые «упаковывают» честно-бесплатные программы: после определенного периода «эксклюзивности» появились готовые «конструкторы» с удобным графическим интерфейсом. Заводи себе нужные комбинации контентных номеров, зарегистрированные у контентщика префиксы и другие параметры, всё. «Индивидуальный продукт интеллектуальной деятельности» готов для употребления. Именно благодаря простоте и доступности для мошенников SMS-трояны получили такое широкое распространение.

Подозреваю, что нынешние «банковские» мобильные трояны успешно повторят триумфальный путь развития троянов контентных. Писал об этом давно и в начале сентября уже почти обещал активный рост «банковского» направления:

«...Предсказания двухлетней давности сбываются, и Android-смартфоны уверенно лидируют в печальном списке жертв вирусописателей. Не будем устраивать «священные войны» на тему сравнительной уязвимости операционных систем, просто примем к сведению факт: смартфон уязвим и быстро становится привлекательной мишенью. <...>

Судя по результатам «препарирования» современных троянов, акценты вирусописателей начинают смещаться в финансово-банковскую сторону. Читал устрашающие прогнозы об участии сотен тысяч смартфонов в будущих DDoS-атаках, но сомневаюсь в правдоподобности таких сценариев. А вот банковские и контентные трояны для смартфонов будут продолжать совершенствоваться и распространяться, в том числе через мобильные ботнеты».

Подлость еще и в том, что деньги с банковского счёта выводят (транзитом через пополнение баланса мобильного) не через контент, а напрямую в электронные кошельки ворюг. То есть, всё происходит очень быстро и непоправимо. Пожалуй, долгожданное «светлое будущее» для мошенников уже наступило. А если еще не совсем, то вот-вот наступит в своей полной красе. И нам с вами к этому нужно быть готовыми. Традиционные заклинания на тему «не открывайте подозрительные ссылки!» и т. п. полезны, но это ненадежное лекарство. Запретить смартфону устанавливать какие бы то ни было приложения из сторонних источников важно и нужно, это факт. Но готовы ли вы доверить судьбу своего банковского счета квалификации программистов Google? Это ведь не 200 руб. на балансе телефона, финансовые риски совсем другие.

Как бороться?

«Волшебной услуги» оператора или банка не существует, хотя традиционные меры предосторожности (см. выше) уменьшают вероятность такой беды во много раз. Может показаться, что достаточно избегать активно рекламируемой услуги «Автопополнение счета». Бесспорно, все эти выгодные банкам и операторам «Автопополнения» значительно облегчают мошенникам жизнь, а поиск виноватых сводится к тому, что операторы и банки кивают друг на друга и приходят к консенсусу в виде формулировки «пользователь сам виноват». О коварстве «автопополнений» уже писал не раз, последний эпизод близкого знакомства с этим безобразием описан здесь.

К сожалению, отсутствие подключенного «автопополнения» отнюдь не гарантирует безопасность банковского счёта от смартфонных мошенников. Выше — свежеутянутый с форума пример феноменальной живучести связки «банковская карта — телефонный номер». Пусть таких эпизодов становится всё меньше, но сам факт отношения к ним со стороны банков и операторов характерен. Мне кажется, что при наличии привязанной к телефонному номеру банковской карты троян может успешно справиться (или уже справляется) с перекачиванием денег с банковского счёта в кошелек злоумышленника даже без всяких «автопополнений». Благо, механизмы отправки, перехватывания и чтения входящих SMS, как и отправка USSD-команд, уже давно реализованы в троянах для смартфонов. Хотя, конкретный механизм мне неизвестен, и допускаю, что троян сперва без ведома пользователя подключает «автоплатеж». В любом случае, виноват будет сам пользователь, который «неосмотрительно открыл ссылку» или еще какое непотребное деяние совершил.

Здесь уместно напомнить и о фактической безнаказанности воров. Характерное замечание Лаборатории Касперского: «... Россия является самой атакуемой страной — на нее приходится более 66% атак на мобильные устройства». Не из любви мошенников к нашему триколору, а именно благодаря комфортной безнаказанности. Так было и есть с воровством через контент, так теперь есть и будет (скорее всего) с прямым воровством денег с банковских счетов. У нас пострадавший почти всегда «сам дурак» и должен был самостоятельно позаботиться о собственной безопасности. Увы, при отсутствии наказания преступление становится прибыльным бизнесом и чем-то вроде спорта для людей без моральных тормозов. А невнимательный гражданин — законной добычей удачливого охотника.

В качестве резюме. Боюсь, что для подавляющего большинства владельцев смартфонов и «не спортсменов» в этой области привязка реальной банковской карты к номеру телефона теперь уже противопоказана. Я имею в виду не стандартное SMS-информирование, а привязку карты к номеру для мобильного банкинга и даже просто удобства пополнения баланса. И уж точно не посоветую подключать любой вид «автопополнений» и «автоплатежей».

Пятирублёвый налог QIWI

Такая вот любопытная новость появилась на сайте платежной системы, ознакомиться с оригиналом можно здесь. Полный текст читабелен на скриншоте, суть — наступившее с сегодняшнего дня налогообложение в размере 5 руб. за каждый платеж на баланс телефона МТС, Билайн и Ростелеком Урал. А за домашний интернет и телефон МТС вообще берут 2.5% от суммы платежа. Пока не будем рассуждать о причинах такой неожиданной избирательности в подходе, но примем к сведению. QIWI-кошелек всегда радовал бесплатным пополнением баланса сотовых телефонов и тем, что сам кошелек пополнялся через терминалы тоже без процентов.

Лично для меня новость не смертельна, кошельком QIWI пользуюсь в основном для оплаты домашнего интернета и сравнительно редко для других платежей. Как-то так повелось с тех давних времен, когда хороший местный провайдер принимал оплату только через неуловимые скретч-карты, QIWI или у себя в офисе, до которого нужно было ехать с пересадками. Но сама по себе система удобна, приложение для смартфоне работает почти без нареканий и регулярно обновляется. За прошедшие годы QIWI превратился в этакого универсального платежного (и не только платежного) монстра с кучей дополнительных возможностей. Периодически выручает меня, и многие наверняка «запали».

Можно ли как-то «объехать на кривой козе» вводимый с 1 ноября «налог на платеж»? Хотя бы из спортивного интереса. Пять руб. - не бог весть какая сумма, переживем, но на мелочевых пополнениях будет заметно. Не знаю статистику по средней сумме пополнения баланса через QIWI, но в случае «ходовых» 50-100 руб. это неплохие 10-5%. Из любопытства покопался в интерфейсе приложения и посмотрел наценки на разные операции из разных источников, проценты варьируются в довольно широких пределах. И «налог» на один платеж может проходить разными суммами аж по трем позициям одновременно. Естественно, дороже всего оплачивать услуги со счета мобильного телефона, это понятно.

Из обнаруженного «навскидку» - 0.75% комиссии при пополнении баланса с привязанной к QIWI сторонней кредитки. Это же можно сделать вообще без % на сайте оператора, но QIWI хорош удобством и дружелюбием, процедура платежа занимает секунд 30. Подсказали вариант платежа не из кошелька, а со сгенерированной на базе этого кошелька виртуальной кредитки QWC, забавный двухступенчатый изврат. К сожалению, в интерфейсе списка доступных средств платежа эта виртуальная карта отсутствует, а жертвовать комфортом и терять время на процедуру online-оплаты с сайта ради 5 руб. экономии неинтересно.

В общем, надо будет дождаться фактического запуска анонсированной ценовой поправки (если запуск состоится) и посмотреть, как это всё будет работать. Повторюсь: 5 руб. за операцию — не бог весть какие деньги, но своего рода предупредительный звоночек.

Ссылки по теме

Спам, контент и воровство

Сбербанк ОнЛ@йн: Спорное лидерство

Сергей Потресов (sergey.potresov@mobile-review.com)
Twitter
Опубликовано - 05 ноября 2013 г.

Мы в социальных сетях:

Есть, что добавить?! Пишите... eldar@mobile-review.com

 
Новости:
Hit

23.05.2017 Видео на канале: Знакомство с HTC U 11

Hit

23.05.2017 Видео на канале: Обзор Archos Diamond 2 Plus

23.05.2017 МТС представила финансовые и операционные результаты Группы за первый квартал 2017 года

23.05.2017 Российские ученые разработают первый электрокар на солнечных батареях

23.05.2017 «Мегафон» предложил абонентам три варианта компенсации за сбой

23.05.2017 В России появится система контроля за беспилотниками

Hit

23.05.2017 Видео на канале: Сравнение Samsung Galaxy S8 и S8 Plus

Hit

23.05.2017 Видео на канале: Обзор Xiaomi Mi6

23.05.2017 Состоялся анонс MEIZU M5c – самого доступного смартфона MEIZU

23.05.2017 LG X venture – противоударный смартфон с аккумулятором повышенной емкости

23.05.2017 В России стартовали продажи Moto G5, а для украинцев доступен Moto G5 Plus

22.05.2017 Android Pay пришел в Россию!

22.05.2017 Сенаторы предлагают ужесточить ответственность за незаконное распространение SIM карт

22.05.2017 «Яндекс» запустил тестирование голосового помощника «Алиса»

22.05.2017 Итальянцы разработали для смартфонов чехол-кофемашину

Hit

22.05.2017 Видео на канале: Обзор Honor 8 Pro

22.05.2017 AliExpress с 1 июня снизит комиссию для российских партнеров по привлечению трафика до 6%

22.05.2017 Yota выплатит до 20 миллионов рублей компенсаций из-за сбоя на сетях Мегафона

22.05.2017 В сети «всплыли» официальные изображения Meizu M5c

Hit

21.05.2017 Представлено эскизное изображение безрамочного BLUBOO S1

Hit

19.05.2017 Видео на канале: Сравнение Apple iPhone 7 Plus и Samsung Galaxy S8 Plus

Hit

19.05.2017 Видео на канале: Обзор HTC U Ultra

19.05.2017 1С предложит пользователям мобильных устройств SIM карты с электронной подписью

19.05.2017 LG V30 будет поддерживать технологию виртуальной реальности Google Daydream

19.05.2017 Telegram запустил онлайн-платежи

Подписка
 
© Mobile-review.com, 2002-2017. All rights reserved.