Как не отдать хакерам банковские данные в публичном Wi-FI: эксперты рекомендовали переходить на приложения
Публичный Wi-Fi: какие он таит опасности?
Сама по себе публичная сеть Wi-Fi не представляет опасности: она раздаёт интернет точно так же, как и защищённая частная.
Угроза таится в том, что она не защищена от подключения к ней любого злоумышленника, который может скомпрометировать её и использовать в своих целях.
Способов для этого множества. Одни подменяют легальную Wi-Fi-сеть фейковой, создавая одноимённую точку, через которую пойдёт весь ваш трафик. Другие внедряют специальную программу-перехватчик, которая незаметно перехватывает сигналы между вашим устройством и роутером Wi-Fi. Или заразить вирусом роутер, а через него — всех, кто подключается к этой сети.
Результат один — весь ваш интернет-трафик оказывается перед преступником как на ладони.
Если вы будете вводить и передавать куда-то незащищённые (незашифрованные) данные, их могут украсть.
Есть способы «снять» то, что вы вводите с клавиатуры — например, логины и пароли. Или проникнуть в ваш гаджет по удалённому доступу, уже оттуда сделав всё, что нужно, используя незакрытые страницы, где вы авторизовались.
Можно ли защитить данные, используя публичный Wi-Fi
В плане защиты от подобных хакерских атак несколько более безопасными оказываются приложения. Правда, не все. Но банковские приложения, а также приложения крупных интернет-магазинов, где вы привязываете свои карты, создаются с дополнительной защитой в виде протоколов шифрования.
Эксперты по кибербезопасности пояснили «Секрету», что приложения, в которые вы входите, обычно не требуют от вас даже логина-пароля, достаточно пин-кода, который не будет работать без вашей симки и номера банковской карты. Или, как его альтернатива, авторизация по Face-ID или отпечатку пальца, которая поддерживается многими современными смартфонами.
Это минимизирует риск того, что логин-пароль от вашей банковской учётки станет известен киберпреступникам.
Кроме того, у таких приложений может стоять жёсткий запрет на соединение без особого протокола шифрования — SSL/TLS. Плюс хэш биометрических данных тоже передаётся в зашифрованном виде, это не текст.
Его можно украсть, если скомпрометирован канал, но вот с использованием у злоумышленников возникнут проблемы — без компрометации самого протокола или системы приёма-передачи данных ваша авторизация будет выглядеть как нечитаемая мешанина.
Большинство современных банковский приложений заботятся о безопасности своих клиентов и внедряют механизмы защиты.
Например, используют технологию SSL pinning, которая работает таким образом, что в приложении уже закреплены конкретные сертификаты сервера. И когда приложение пытается установить защищённое соединение, оно проверяет сертификат сервера. Если сертификат не совпадает с закреплённым, соединение отклоняется. Таким образом SSL pinning помогает предотвратить атаки типа «человек посередине» (MITM).
Некоторые банковские приложения дополнительно используют шифрование для защиты данных, которые также повышают безопасность вашего соединения в публичных Wi-Fi-сетях от перехвата.
Также банковские приложения используют OTP для подтверждения различных банковских операций. Когда вы инициируете перевод, банк генерирует одноразовый пароль и отправляет его вам через отдельный и защищённый канал связи, такой как SMS или приложение для аутентификации.
Даже если злоумышленник перехватит ваш основной пароль или сессию, он не сможет завершить транзакцию без OTP.
Однако расслабляться не стоит.
Несмотря на то что большинством распространённых способов компрометации сетей ваши данные так легко не украсть, уже сейчас есть способы получить полный контроль над вашим устройством незаметно от вас. И проверять, кто перед вами — хакер-новичок или хакер-профи, — дорогое удовольствие.
Мобильные приложения подвержены тем же угрозам, что и приложения на стационарных компьютерах из-за уязвимостей не только в приложении, но и в самой операционной системе, на которой оно стоит.
Можно рассмотреть на примере атаки, которую недавно обнаружила Лаборатория Касперского («Операция Триангуляция»). Эта атака эксплуатировала ряд уязвимостей и в конечном итоге приводила к полному контролю над мобильным устройством. А всё при помощи сообщения iMessage с вредоносным вложением, которое обрабатывалось без ведома пользователя.
Поэтому даже самое защищенное приложение может стать беспомощным против угроз, которые становятся актуальными из-за уязвимостей операционной системы.
Итог: использование банковских мобильных приложений в публичных Wi-Fi-сетях может быть безопасным, по крайней мере, безопаснее операций в браузере. Но в любом случае нужно соблюдать некоторые меры предосторожности:
- Во-первых, используйте только официальные банковские приложения, загруженные из надежных источников, таких как Google Play / Apple App Store / RuStore, с официальных сайтов.
- Во-вторых, подключайтесь только к официальным и надёжным сетям Wi-Fi. Необходимо избегать сетей с подозрительными именами или тех, которые не требуют пароля.
- И в-третьих, используйте современные устройства с установленными последними обновлениями ОС, а в идеале с дополнительной защитой в виде антивирусов. Это также снижает риски успешной атаки MiTM.