„Android“ pradeda slėpti banko kodus nuo įtartinų programėlių: nauja apsauga gali išgelbėti nuo sąskaitos ištuštinimo
Daugeliui žmonių SMS žinutė su vienkartiniu kodu atrodo visiškai įprastas dalykas. Jungiatės prie banko, tvirtinate mokėjimą, registruojatės prie paslaugos ar perkate internetu — telefonas supypsi, ekrane atsiranda keli skaičiai, juos suvedate ir judate toliau. Atrodo, kas čia gali būti pavojingo? Juk kodas ateina į jūsų telefoną.
Tačiau būtent čia ir slypi viena didžiausių šiuolaikinio sukčiavimo problemų. Jei telefone yra kenkėjiška arba abejotina programėlė, kuriai kadaise suteikėte leidimą skaityti SMS žinutes, ji gali bandyti perimti tokį kodą greičiau, nei jūs pats suprasite, kas vyksta. O tada viskas gali įvykti per kelias minutes: paskyros perėmimas, prisijungimas prie paslaugos, bandymas patvirtinti mokėjimą ar gauti prieigą prie jautrios informacijos.
Dėl to „Android“ sistemoje atsiranda naujas saugumo mechanizmas — trijų valandų SMS kodų stabdis. Jo esmė paprasta: jei programėlė nėra tikroji kodo gavėja ir neturėtų jo matyti, sistema kurį laiką neleidžia jai perskaityti SMS žinutės su vienkartiniu kodu. Paprastam vartotojui tai gali būti beveik nepastebima, bet sukčiams toks pokytis gali smarkiai apsunkinti gyvenimą.
Kaip veikia naujasis SMS stabdis
Naujoji apsauga veikia taip: kai į telefoną ateina SMS žinutė su vienkartiniu kodu, „Android“ įvertina, kuri programėlė turi teisę tą kodą matyti. Jei tai numatytoji SMS programėlė, sistema jos neblokuoja. Jei kodas skirtas konkrečiai programėlei ar paslaugai, jis gali būti perduodamas saugiu būdu. Tačiau jei kokia nors atsitiktinė programėlė, turinti platų SMS skaitymo leidimą, bando prieiti prie tokios žinutės, jai prieiga gali būti atidėta trims valandoms.
Tai labai svarbu todėl, kad vienkartiniai kodai paprastai galioja tik kelias minutes. Po trijų valandų jie jau būna beverčiai. Kitaip tariant, net jei įtartina programėlė vėliau ir pamatytų tą žinutę, sukčiui ji jau nebepadėtų.
Tai ne šiaip techninė smulkmena. Tai bandymas uždaryti vieną iš kelių, kuriuo sukčiai anksčiau galėdavo vogti prisijungimo ar bankinius kodus.
Kodėl tokios apsaugos prireikė
Sukčiavimo schemos dažnai prasideda ne nuo įsilaužimo, o nuo apgaulės. Žmogus gauna nuorodą, parsisiunčia programėlę, kuri atrodo nekaltai, arba suteikia leidimus programai, kuri žada patogią funkciją. Pavyzdžiui, tvarkyti žinutes, filtruoti pranešimus, optimizuoti telefoną, sekti siuntas, suteikti nuolaidas ar padėti prisijungti prie kokios nors paslaugos.
Tada programėlė paprašo SMS leidimo. Vartotojas dažnai nesusimąsto ir paspaudžia „leisti“. Juk visi esame pripratę prie leidimų langų: kamera, mikrofonas, vieta, kontaktai, pranešimai. Spaudžiame greitai, nes norime naudotis programėle. Tačiau SMS leidimas yra vienas jautriausių. Jis gali atverti kelią ne tik paprastoms žinutėms, bet ir prisijungimo kodams.
Naujas „Android“ sprendimas būtent ir taikosi į šią problemą. Sistema nebepasitiki vien tuo, kad programėlė kadaise gavo SMS leidimą. Ji papildomai riboja prieigą prie jautrių vienkartinių kodų. Tai ypač svarbu bankinėms, mokėjimų, elektroninės prekybos ir paskyrų apsaugos situacijoms.
Ar vartotojui reikės ką nors įjungti?
Gera žinia ta, kad paprastam vartotojui dažniausiai nereikės nieko daryti. Apsauga turėtų veikti automatiškai tuose įrenginiuose ir „Android“ versijose, kurioms ji bus pritaikyta. Tai reiškia, kad nereikės ieškoti sudėtingų nustatymų ar diegti papildomos programos.
Įprastas telefono naudojimas neturėtų pasikeisti. SMS programėlė vis tiek rodys žinutes. Kodus vis tiek galėsite perskaityti patys. Išmaniojo laikrodžio ar prijungtų įrenginių funkcijos, kurios reikalingos normaliam naudojimui, neturėtų būti be reikalo blokuojamos. Pagrindinis taikinys yra ne vartotojas, o tos programėlės, kurios turi per daug plačius leidimus ir gali bandyti prieiti prie kodų be realaus pagrindo.
Vis dėlto tai nereiškia, kad galima atsipalaiduoti visiškai. Technologija padeda, bet ji nepakeičia atsargumo. Jei pats žmogus sukčiui padiktuoja kodą telefonu arba suveda jį netikrame puslapyje, jokia SMS slėpimo funkcija nebeišgelbės. Apsauga veikia prieš programėles, bet ne prieš žmogaus skubėjimą ir apgaulę.
Kodėl tai aktualu ir Lietuvos gyventojams
Lietuvoje daugelis žmonių naudojasi bankų programėlėmis, „Smart-ID“, mobiliuoju parašu, internetine bankininkyste, elektroninėmis parduotuvėmis, siuntų savitarnos sistemomis ir kitomis paslaugomis, kur prisijungimo ar patvirtinimo kodai vis dar gali būti siunčiami SMS žinutėmis. Nors dalis paslaugų pereina prie saugesnių autentifikavimo būdų, SMS kodai niekur nedingo.
Būtent todėl tokia „Android“ apsauga svarbi ir Lietuvos vartotojams. Sukčiai taikosi ne tik į dideles šalis ar garsius bankus. Jie taikosi į paprastus žmones: senjorus, skubančius tėvus, studentus, smulkius verslininkus, visus, kurie telefone turi banką, el. paštą, socialinius tinklus ir mokėjimo korteles.
Dažniausiai apgaulė atrodo labai kasdieniškai: „Jūsų siunta sulaikyta“, „Atnaujinkite banko duomenis“, „Gavote baudą“, „Patvirtinkite pristatymą“, „Jūsų paskyra bus užblokuota“. Žmogus paspaudžia, įdiegia, leidžia, suveda — ir tik po to supranta, kad kažkas ne taip. Kuo daugiau apsaugų veikia automatiškai, tuo daugiau šansų, kad klaida nesibaigs finansiniu smūgiu.
Ką turi žinoti programėlių kūrėjai
Šis pokytis svarbus ne tik vartotojams, bet ir programėlių kūrėjams. Senas įprotis prašyti plataus SMS skaitymo leidimo tampa vis mažiau priimtinas. Jei programėlei reikia vienkartinio kodo, saugesnis kelias yra naudoti specialias sąsajas, kurios leidžia gauti tik reikalingą kodą, o ne visą vartotojo SMS dėžutę.
Tai logiška kryptis. Programėlė, kuriai reikia patvirtinti prisijungimą, neturėtų matyti visų žmogaus SMS žinučių. Jai nereikia banko pranešimų, šeimos žinučių, siuntų kodų ar kitų asmeninių duomenų. Jai reikia tik vieno patvirtinimo kodo, ir tik tuo metu, kai vartotojas pats atlieka veiksmą.
Todėl ateityje programėlės, kurios vis dar remiasi plačiu SMS skaitymu, gali susidurti su problemomis. Vartotojams tai gera žinia, nes sistema po truputį mažina nereikalingų leidimų kiekį. Kuo mažiau programėlės mato, tuo mažiau jos gali pavogti arba nutekinti.
Ką pačiam vartotojui verta pasitikrinti jau dabar
Net jei nauja apsauga veikia automatiškai, verta padaryti vieną labai paprastą dalyką — peržiūrėti, kurios programėlės telefone turi SMS leidimus. Jei matote programėlę, kuriai nėra jokios logiškos priežasties skaityti jūsų SMS žinutes, tokį leidimą geriau atimti. Ypač jei tai sena, mažai naudojama, neaiškios kilmės ar iš reklamos atsisiųsta programėlė.
Taip pat verta reguliariai ištrinti programėles, kurių nebenaudojate. Kuo mažiau nereikalingų programų telefone, tuo mažiau rizikos. Atsargiai vertinkite programas, kurios žada stebuklingai pagreitinti telefoną, išvalyti atmintį, sekti siuntas ar suteikti nuolaidas, bet prašo per daug leidimų. Jei žibintuvėlio ar nuolaidų programėlė prašo SMS prieigos — tai labai rimtas signalas sustoti.
Dar viena taisyklė: niekada neperduokite vienkartinių kodų kitam žmogui telefonu, žinute ar pokalbių programėlėje. Banko, policijos, kurjerių ar kitos įstaigos darbuotojas neturėtų prašyti jūsų padiktuoti prisijungimo kodo. Jei prašo — tai beveik visada sukčiavimas.
Svarbiausia: telefonas tampa saugesnis, bet budrumas vis dar būtinas
Naujasis „Android“ SMS stabdis yra geras ženklas. Jis rodo, kad technologijų kūrėjai supranta, kokie pavojingi gali būti vienkartinių kodų perėmimai. Trijų valandų atidėjimas gali atrodyti paprastas sprendimas, bet būtent paprasti sprendimai kartais sustabdo labai realias sukčiavimo schemas.
Tačiau nereikia manyti, kad nuo šiol telefonas pats apsaugos nuo visko. Sukčiai nuolat keičia metodus. Jei negalės pavogti kodo per programėlę, bandys išvilioti jį pokalbio metu. Jei nepavyks per SMS, bandys per netikrą svetainę. Jei ne per banką, tai per siuntų žinutę, socialinį tinklą ar netikrus skelbimus.
Todėl geriausia apsauga yra dviguba: technologija, kuri stabdo pavojingas programėles, ir žmogus, kuris neskuba spausti visko iš eilės.
Prieš suteikdami programėlei SMS leidimą, paklauskite savęs: ar jai tikrai to reikia? Prieš suvesdami kodą, patikrinkite, ar esate tikroje svetainėje. Prieš dalindamiesi duomenimis, sustokite bent kelioms sekundėms. Kartais būtent tos kelios sekundės išsaugo ne tik paskyrą, bet ir pinigus.
Ar naujas svetainės dizainas jums patinka?
Komentarai
Parašyti komentarą
Daugiau šia tema
Visos temos naujienosIeškote daugiau?



Būkite pirmi ir pradėkite diskusiją.