InCred Форум  

Вернуться   InCred Форум > Финансовые продукты и услуги > Электронный банкинг

Ответ
 
Опции темы Опции просмотра
Старый 27.12.2017   #1
Groove
Местный
 
Аватар для Groove
 
Регистрация: 28.07.2014
Адрес: Москва
Сообщений: 119
По умолчанию СМС в системах ДБО - безопасность под угрозой!

Доброго времени суток всем.

Уж не один раз в обсуждениях использования СМС в различных системах дистанционного банковского обслуживания и их разновидностях были озвучены минусы подобного решения. В этой теме прошу высказаться всех по данному вопросу.

Начну с одного очень серьёзного минуса, о котором я задумался давно, а другой человек на практике успешно подтвердил его реальность. Суть минуса такова - система ДБО одного из крупнейших банков не идентифицирует отправителя СМС.

Сам протокол передачи СМС позволяет отправить СМС, подставив в качестве отправителя любое значение. В Интернете множество сайтов, позволяющих отправить подобные СМС с подменой номера отправителя. А теперь подумайте, что произойдёт, если с подобного сервиса отправить СМС на номер системы ДБО и подставить в качестве отправителя номер реального клиента банка, подключенного к этой системе ДБО? Правильно, система обработает эту СМС как настоящую и выполнит указанные в ней действия. И если в системе не заложено подтверждение всех операций одноразовыми кодами, то это огромная брешь в безопасности всей системы ДБО.

Тему оставляю тут, но и к пластиковым картам она имеет непосредственное отношение, ведь для них тоже зачастую предлагают некие разновидности систем ДБО, в том числе и с возможностью управления счетами/картами через СМС. Представьте, что злоумышленник может заблокировать все ваши карты, отправив поддельную СМС. Каково?
Groove вне форума   Ответить с цитированием
Старый 27.12.2017   #2
Groove
Местный
 
Аватар для Groove
 
Регистрация: 28.07.2014
Адрес: Москва
Сообщений: 119
По умолчанию

Цитата
Хочу предупредить всех держателей карт Сбербанка, что придумал и только что опробовал методику, как снять деньги с любой карты Сбербанка любого человека без ведома владельца.

Делается это через услугу "мобильный банк Сбербанка".
Достаточно отправить СМС на телефон +79262000900 (полный аналог короткого номера 900) с суммой, а в качестве номера отправителя СМС подставить мобильный номер владельца карты. Только что снял 100 рублей с карты друга, с его согласия, конечно, в качестве эксперимента.

А отправить СМС с подменой номера отправителя - элементарно. Поиском нашел в Яндексе около тысячи разных сайтов по отправке СМС с подменой номера отправителя на любой требуемый. Одним из таких сайтов и воспользовался. Деньги успешно сняты с карты моего друга, при этом он не говорил мне ни тип карты, ни номер карты, ровным счетом ничего! Я только знал номер мобильного телефона моего друга. Правда деньги были зачислены на баланс мобильного моего же друга, но сам факт того, что снять деньги с карты Сбербанка без ведома владельца карты оказалось так легко и просто - удивляет. СБЕРБАНК - ОТСТОЙ! Я как владелец карты сбербанка завтра собрался закрывать мою карту. Такая нулевая безопасность меня никак не устраивает. Предлагаю всем отказаться от услуг Сбербанка. Это опасно.
Даже то, что деньги не украдены, а зачислены с карты владельца на мобильник владельца без его ведома - недопустим. Зачислив 100 рублей, никто не мешает любому снять и 100 000 рублей, и зачислить их на баланс мобильного! Владелец карты точно не будет этому рад.
Сбербанк допустил недопустимую брешь в системе безопасности.

Но это только первый шаг. Если подумать, то также просто как дважды два оказывается можно перечислить деньги и на счет злоумышленника! Даже номера карты знать не нужно. Даже завладевать мобильником жертвы - не нужно.
Groove вне форума   Ответить с цитированием
Старый 27.12.2017   #3
Groove
Местный
 
Аватар для Groove
 
Регистрация: 28.07.2014
Адрес: Москва
Сообщений: 119
По умолчанию

Цитата
А зачислением только на мобильник владельца карты это не ограничивается.
Я, например, платил разок с карты в Ростелеком, на мобильник жены, за интернет-модем, за цифровое телевидение. Все места, куда я платил хотя бы один раз, требуют подтверждения только для первого платежа. Повторные платежи, которые хоть раз проводились в Сбербанк Онлайн, идут полностью без подтверждения. Рад ли будет Русак, если с его карты любой желающий оплатит интернет на 100 лет вперед, цифровое или спутниковое телевидение на 50 лет вперед?
Это всё осуществляется по моей методике легко, просто, без знания номеров карты, без завладения мобильным владельца, без кодов подтверждения. Это величайший прокол Сбербанка.
Groove вне форума   Ответить с цитированием
Старый 27.12.2017   #4
Crem
Местный
 
Аватар для Crem
 
Регистрация: 06.12.2015
Сообщений: 131
По умолчанию

Услугу "быстрый платеж" можно отключить через СБОЛ, тогда никакие платежи по смс не пойдут.
Crem вне форума   Ответить с цитированием
Старый 27.12.2017   #5
Groove
Местный
 
Аватар для Groove
 
Регистрация: 28.07.2014
Адрес: Москва
Сообщений: 119
По умолчанию

Это не решение проблемы "поддельных" СМС, а только лишь временный обходной вариант.
Groove вне форума   Ответить с цитированием
Старый 27.12.2017   #6
Groove
Местный
 
Аватар для Groove
 
Регистрация: 28.07.2014
Адрес: Москва
Сообщений: 119
По умолчанию

Системы ДБО, идентифицирующие клиента (полностью или частично) по номеру телефона с которого он позвонил на номер системы "голосового" обслуживания тоже в опасности, поскольку номер звонящего тоже может быть подделан. Пример из комментариев по ссылке:
Цитата
У Приватбанка есть голосовое меню по номеру 3700, которое позволяет пополнять любой телефон, введя просто последние 4 цифры своей карты. Т.е. я могу позвонит на голосовое меню Приватбанка, подменив номер на любой реальный, который является клиентом банка и просто по IVR меню пополнить любой телефон с карты того клиента? Последние 4 цифры карты можно сбрутфорсить, у них нет ограничений на количество попыток.
Groove вне форума   Ответить с цитированием
Старый 27.12.2017   #7
Nika26
Пользователь
 
Аватар для Nika26
 
Регистрация: 20.02.2016
Сообщений: 56
По умолчанию

А чего вы хотели? СМС - это примочка к дырявому и уязвимому сигнальному протоколу ОКС-7, он же SS7. Данные идут открытыми, перехватить может любой желающий, правда потрудиться придётся. Никакой верификации нет и не было. Все эти сайты работают с использованием особенностей сигнального протокола, который аж с 70-х годов прошлого века и до сих пор используется. За банк ничего сказать не могу в плане того почему он использует эту систему, в то время как любому новорождённому младенцу известно о небезопасности СМС-канала.

Не пользуйтесь СМС-банкингом и всё, если хотите действительно уберечь денежки. Другого варианта тут подсказать не могу.
Nika26 вне форума   Ответить с цитированием
Старый 27.12.2017   #8
Nika26
Пользователь
 
Аватар для Nika26
 
Регистрация: 20.02.2016
Сообщений: 56
По умолчанию

Минкомсвязи России признало СМС-пароли небезопасными, об этом писали многие СМИ 5 октября 2016 года, но подробнее всех написали Известия.
Так что, можете смело отказываться от сервисов, завязанных на СМС-канал. Ну, и требуйте от банков альтернативных способов аутентификации.
Nika26 вне форума   Ответить с цитированием
Старый 27.12.2017   #9
remisinis
Местный
 
Аватар для remisinis
 
Регистрация: 28.11.2013
Сообщений: 388
По умолчанию

Цитата:
Сообщение от Nika26 Посмотреть сообщение
Минкомсвязи России признало СМС-пароли небезопасными, об этом писали многие СМИ 5 октября 2016 года, но подробнее всех написали Известия.
Так что, можете смело отказываться от сервисов, завязанных на СМС-канал. Ну, и требуйте от банков альтернативных способов аутентификации.
Позвольте поинтересоваться, на каком основании следует это делать? Судя по вашей точке зрения потому, что об этом написали в СМИ? Не, ну потребовать то вы сможете, вот только результат прогнозируем на 100%.
remisinis вне форума   Ответить с цитированием
Старый 27.12.2017   #10
Nika26
Пользователь
 
Аватар для Nika26
 
Регистрация: 20.02.2016
Сообщений: 56
По умолчанию

Цитата:
Сообщение от remisinis Посмотреть сообщение
Позвольте поинтересоваться, на каком основании следует это делать? Судя по вашей точке зрения потому, что об этом написали в СМИ? Не, ну потребовать то вы сможете, вот только результат прогнозируем на 100%.
Ну, дело Ваше. Хотите рискуйте, хотите нет. Минкомсвязь признала небезопасным данный способ, не только СМИ. Всё из-за того, что СМС - это примочка к дырявому сигнальному протоколу ОКС-7, который не модернизировался аж с 70 годов. Стандарт GSM уже давно как взломан, вскрыт. Козловский и Албуров уже пострадали от "высокой безопасности" СМС-канала.
Лично я не стану доверять финансы GSM сети, которая не может гарантировать максимально возможную безопасность.
Nika26 вне форума   Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 12:03. Часовой пояс GMT +4.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2018, vBulletin Solutions, Inc. Перевод: zCarot