Мобильные финансы: невеселые новости

Трояны для мобильников активно перенацеливаются на банковские счета владельцев смартфонов, а это уже не сотня-другая рублей, украденных через контент. Заодно про гордую, но дорожающую с 1 ноября птицу Qiwi, удобный и полезный платежный сервис наверняка потеряет часть своей привлекательности.

На банковском счёте денег больше

А украсть эти деньги не так уж сложно с помощью загруженного в смартфон трояна. Действительно, средняя сумма на балансе телефона обычно исчисляется сотнями рублей, а средний банковский депозит или кредитная линия — десятками тысяч. То есть, воровать с банковского счёта на два порядка выгоднее, и направление «научных изысканий» мошенников давно очевидно. А условия для этого заботливо создаются операторами, банками и пофигистичной «лояльностью» к ворам со стороны правоохранительных органов.

Суть того, что мы на сегодняшний день уже имеем, хорошо изложена в информационном письме. 28 октября МегаФон и «Лаборатория Касперского» опубликовали предупреждение об участившихся случаях заражения мобильных устройств на базе ОС Android вредоносным программным обеспечением, которое переводит мошенникам деньги с банковских карт абонентов. Это те самые мобильные «трояны», о которых я уже устал писать и которые до недавнего времени занимались, в основном, воровством денег с телефонных балансов путем отправки SMS на контентные номера. Несколько ключевых цитат:

«...Впервые вредоносное ПО с подобным функционалом было обнаружено "Лабораторией Касперского" летом этого года. Новая угроза позволяла быстро и незаметно выудить у ничего не подозревающей жертвы значительную сумму денег. В отличие от своих собратьев этот новый SMS-троянец предоставлял своим хозяевам возможность хищения денег не с мобильного, а с банковского счета жертвы. Мошенники рассылали владельцам мобильных устройств сообщения с гиперссылками. Пройдя по ссылке, пользователь скачивал себе вредоносную программу, которая способна без участия абонента запрашивать баланс, пополнять счет с банковской карты, если она привязана к номеру, и далее выводить денежные средства с лицевого счета абонента на электронные кошельки злоумышленников. <...>

По словам эксперта "Лаборатории Касперского", в этом году наблюдается рост вредоносного ПО, нацеленного на кражу банковских данных. Если раньше мы обнаруживали в среднем 3-4 зловреда для ОС Android такого рода в месяц, то только в сентябре 2013 было задетектировано 250 различных модификаций банковских зловредов. На конец 2012 года было обнаружено 64 банковских зловреда, а на данный момент их уже почти 750, что говорит о более чем десятикратном росте. <...> По данным "Лаборатории Касперского", Россия является самой атакуемой страной - на нее приходится более 66% атак на мобильные устройства».

Заявленный «...более, чем десятикратный рост» количества модификаций вряд ли свидетельствует о резком росте числа разработчиков. Скорее, можно предположить появление и распространение «заготовок-полуфабрикатов» для изготовления этой дряни в промышленных масштабах чуть ли не любым желающим. Вспомните, как было с мидлетами-оболочками, в которые «упаковывают» честно-бесплатные программы: после определенного периода «эксклюзивности» появились готовые «конструкторы» с удобным графическим интерфейсом. Заводи себе нужные комбинации контентных номеров, зарегистрированные у контентщика префиксы и другие параметры, всё. «Индивидуальный продукт интеллектуальной деятельности» готов для употребления. Именно благодаря простоте и доступности для мошенников SMS-трояны получили такое широкое распространение.

Подозреваю, что нынешние «банковские» мобильные трояны успешно повторят триумфальный путь развития троянов контентных. Писал об этом давно и в начале сентября уже почти обещал активный рост «банковского» направления:

«...Предсказания двухлетней давности сбываются, и Android-смартфоны уверенно лидируют в печальном списке жертв вирусописателей. Не будем устраивать «священные войны» на тему сравнительной уязвимости операционных систем, просто примем к сведению факт: смартфон уязвим и быстро становится привлекательной мишенью. <...>

Судя по результатам «препарирования» современных троянов, акценты вирусописателей начинают смещаться в финансово-банковскую сторону. Читал устрашающие прогнозы об участии сотен тысяч смартфонов в будущих DDoS-атаках, но сомневаюсь в правдоподобности таких сценариев. А вот банковские и контентные трояны для смартфонов будут продолжать совершенствоваться и распространяться, в том числе через мобильные ботнеты».

Подлость еще и в том, что деньги с банковского счёта выводят (транзитом через пополнение баланса мобильного) не через контент, а напрямую в электронные кошельки ворюг. То есть, всё происходит очень быстро и непоправимо. Пожалуй, долгожданное «светлое будущее» для мошенников уже наступило. А если еще не совсем, то вот-вот наступит в своей полной красе. И нам с вами к этому нужно быть готовыми. Традиционные заклинания на тему «не открывайте подозрительные ссылки!» и т. п. полезны, но это ненадежное лекарство. Запретить смартфону устанавливать какие бы то ни было приложения из сторонних источников важно и нужно, это факт. Но готовы ли вы доверить судьбу своего банковского счета квалификации программистов Google? Это ведь не 200 руб. на балансе телефона, финансовые риски совсем другие.

Как бороться?

«Волшебной услуги» оператора или банка не существует, хотя традиционные меры предосторожности (см. выше) уменьшают вероятность такой беды во много раз. Может показаться, что достаточно избегать активно рекламируемой услуги «Автопополнение счета». Бесспорно, все эти выгодные банкам и операторам «Автопополнения» значительно облегчают мошенникам жизнь, а поиск виноватых сводится к тому, что операторы и банки кивают друг на друга и приходят к консенсусу в виде формулировки «пользователь сам виноват». О коварстве «автопополнений» уже писал не раз, последний эпизод близкого знакомства с этим безобразием описан здесь.

К сожалению, отсутствие подключенного «автопополнения» отнюдь не гарантирует безопасность банковского счёта от смартфонных мошенников. Выше — свежеутянутый с форума пример феноменальной живучести связки «банковская карта — телефонный номер». Пусть таких эпизодов становится всё меньше, но сам факт отношения к ним со стороны банков и операторов характерен. Мне кажется, что при наличии привязанной к телефонному номеру банковской карты троян может успешно справиться (или уже справляется) с перекачиванием денег с банковского счёта в кошелек злоумышленника даже без всяких «автопополнений». Благо, механизмы отправки, перехватывания и чтения входящих SMS, как и отправка USSD-команд, уже давно реализованы в троянах для смартфонов. Хотя, конкретный механизм мне неизвестен, и допускаю, что троян сперва без ведома пользователя подключает «автоплатеж». В любом случае, виноват будет сам пользователь, который «неосмотрительно открыл ссылку» или еще какое непотребное деяние совершил.

Здесь уместно напомнить и о фактической безнаказанности воров. Характерное замечание Лаборатории Касперского: «... Россия является самой атакуемой страной — на нее приходится более 66% атак на мобильные устройства». Не из любви мошенников к нашему триколору, а именно благодаря комфортной безнаказанности. Так было и есть с воровством через контент, так теперь есть и будет (скорее всего) с прямым воровством денег с банковских счетов. У нас пострадавший почти всегда «сам дурак» и должен был самостоятельно позаботиться о собственной безопасности. Увы, при отсутствии наказания преступление становится прибыльным бизнесом и чем-то вроде спорта для людей без моральных тормозов. А невнимательный гражданин — законной добычей удачливого охотника.

В качестве резюме. Боюсь, что для подавляющего большинства владельцев смартфонов и «не спортсменов» в этой области привязка реальной банковской карты к номеру телефона теперь уже противопоказана. Я имею в виду не стандартное SMS-информирование, а привязку карты к номеру для мобильного банкинга и даже просто удобства пополнения баланса. И уж точно не посоветую подключать любой вид «автопополнений» и «автоплатежей».

Пятирублёвый налог QIWI

Такая вот любопытная новость появилась на сайте платежной системы, ознакомиться с оригиналом можно здесь. Полный текст читабелен на скриншоте, суть — наступившее с сегодняшнего дня налогообложение в размере 5 руб. за каждый платеж на баланс телефона МТС, Билайн и Ростелеком Урал. А за домашний интернет и телефон МТС вообще берут 2.5% от суммы платежа. Пока не будем рассуждать о причинах такой неожиданной избирательности в подходе, но примем к сведению. QIWI-кошелек всегда радовал бесплатным пополнением баланса сотовых телефонов и тем, что сам кошелек пополнялся через терминалы тоже без процентов.

Лично для меня новость не смертельна, кошельком QIWI пользуюсь в основном для оплаты домашнего интернета и сравнительно редко для других платежей. Как-то так повелось с тех давних времен, когда хороший местный провайдер принимал оплату только через неуловимые скретч-карты, QIWI или у себя в офисе, до которого нужно было ехать с пересадками. Но сама по себе система удобна, приложение для смартфоне работает почти без нареканий и регулярно обновляется. За прошедшие годы QIWI превратился в этакого универсального платежного (и не только платежного) монстра с кучей дополнительных возможностей. Периодически выручает меня, и многие наверняка «запали».

Можно ли как-то «объехать на кривой козе» вводимый с 1 ноября «налог на платеж»? Хотя бы из спортивного интереса. Пять руб. - не бог весть какая сумма, переживем, но на мелочевых пополнениях будет заметно. Не знаю статистику по средней сумме пополнения баланса через QIWI, но в случае «ходовых» 50-100 руб. это неплохие 10-5%. Из любопытства покопался в интерфейсе приложения и посмотрел наценки на разные операции из разных источников, проценты варьируются в довольно широких пределах. И «налог» на один платеж может проходить разными суммами аж по трем позициям одновременно. Естественно, дороже всего оплачивать услуги со счета мобильного телефона, это понятно.

Из обнаруженного «навскидку» - 0.75% комиссии при пополнении баланса с привязанной к QIWI сторонней кредитки. Это же можно сделать вообще без % на сайте оператора, но QIWI хорош удобством и дружелюбием, процедура платежа занимает секунд 30. Подсказали вариант платежа не из кошелька, а со сгенерированной на базе этого кошелька виртуальной кредитки QWC, забавный двухступенчатый изврат. К сожалению, в интерфейсе списка доступных средств платежа эта виртуальная карта отсутствует, а жертвовать комфортом и терять время на процедуру online-оплаты с сайта ради 5 руб. экономии неинтересно.

В общем, надо будет дождаться фактического запуска анонсированной ценовой поправки (если запуск состоится) и посмотреть, как это всё будет работать. Повторюсь: 5 руб. за операцию — не бог весть какие деньги, но своего рода предупредительный звоночек.

Ссылки по теме

Спам, контент и воровство

Сбербанк ОнЛ@йн: Спорное лидерство

Сергей Потресов (sergey.potresov@mobile-review.com)
Twitter
Опубликовано - 05 ноября 2013 г.

Поделиться

Мы в социальных сетях:

Есть, что добавить?! Пишите... eldar@mobile-review.com

 
Новости:

16.11.2018 Корейский LG Q9 он же LG G7 Fit для мирового рынка?

16.11.2018 Apple займется разработкой модемов самостоятельно

Hit

16.11.2018 Видео на канале: ВПЕЧАТЛЕНИЯ | Xiaomi Mi 8 Pro с прозрачной крышкой!

16.11.2018 ZTE представит первый коммерческий 5G-смартфон в первой половине 2019 года

16.11.2018 Следующая выставка E3 2019 пройдёт без участия Sony

16.11.2018 PayPal: 26% онлайн-покупателей из России готовы к шопингу с мобильных устройств

16.11.2018 В России стартуют продажи Samsung Galaxy A9 (2018)

16.11.2018 HMD Global собирается представить в начале декабря новую модель смартфона Nokia

15.11.2018 Snapdragon 8150 превзошел на AnTuTu Apple A12 Bionic и Kirin 980

15.11.2018 Tele2 бесплатно предлагает владельцам новых iPhone год безлимитного интернета

15.11.2018 Samsung представила Galaxy S9 в новой градиентной раскраске «Polaris Blue»

15.11.2018 Названа дата анонса Oppo A7

15.11.2018 Samsung Galaxy Note FE вероятно получит Android Pie с интерфейсом One UI

15.11.2018 «Коммерсантъ»: Перед хакерами бессильны все модели банкоматов

15.11.2018 Sharp выпустила смартфон AQUOS R2 compact с двумя вырезами в экране

15.11.2018 Радиохолдинги решили создать единый плеер для вещания в Интернете

14.11.2018 Samsung внедрит адаптивное хранилище, но только вместе с Android Pie

14.11.2018 Будущий флагман Meizu получит чипсет Snapdragon 8150

14.11.2018 Рынок смартфонов Китая рухнул

14.11.2018 Huawei озвучила планы на 2019 год

14.11.2018 HMD Global представила новый бюджетный телефон Nokia 106

14.11.2018 Xiaomi Mi 8 Pro с прозрачной задней панелью из стекла выходит в России

14.11.2018 Ведомости: «Яндекс» покажет свой смартфон в понедельник

14.11.2018 ONYX BOOX Euclid – 9,7" букридер на базе новой аппаратной платформы

14.11.2018 Samsung анонсировала свой новый мобильный процессор для флагманских смартфонов – Exynos 9820

Подписка
 
© Mobile-review.com, 2002-2018. All rights reserved.