Защита мобильного банка

[broker 30]

вот она.. лучшая защищённость

http://www.vedomosti.ru/newspaper/article....09/04/16/191524

молодцы.

[Сергей Ильин 1538]

Можно пойти дальше, червячок может сканить смарт на предмет наличия мидлета мобильного банкинга, перехватывать логи/пароль и отправлять их злоумышленнику вместе с другой инфой (номер телефона, контакты и т. п.). Черные телефонные справочники в сетке предлагают приобрести за вполне разумные деньги, так что по номеру телефона простучать владельца не так сложно. Остается прикинуться шлангом и уговорить оператора перевыпустить сим-карту.

Виктор, ты пряма как в воду глядишь

http://www.rb.ru/topstory/incidents/2009/04/14/093003.html

Два клиента Альфа-Банка, пользующиеся счетами через интернет и мобильный телефон, стали жертвами нового вида мошенничества. 28 марта они обнаружили, что их мобильные телефоны не работают - якобы не зарегистрирована sim-карта. Потом оказалось, что не подходит пароль к интернет-банку, и после нескольких попыток счет клиента был заблокирован. 30 марта клиент поехал в банк, разблокировал счет, но пароль снова не подошел.

В офисе МТС, абонентом которого являлась жертва мошенников, ему посоветовали заменить sim-карту, после чего клиент Альфа-Банка смог ознакомиться со счетом. Оказалось, пока телефон не работал, было совершено три операции: продажа 3500 евро за рубли и перевод 100 тыс. и 99 тыс. рублей на счет неизвестного пострадавшему лица с назначением "материальная помощь", пишут "Ведомости", в редакцию которых обратились оба клиента Альфа-Банка.

Потом выяснилось, что в офис МТС 28 марта обратился человек с письмом от компании, где работает клиент Альфа-Банка (у него служебный телефон), и попросил перевыпустить sim-карту. Компания утверждает, что такого письма не выдавала.

Аналогичную историю рассказал другой пользователь "Альфа-клик" - с его счета 28 и 29 марта также было списано 100 тыс. и 99 тыс. рублей. А в офисе "МегаФона" сказали, что перевыпустили sim-карту на основании якобы выписанной абонентом доверенности.

[Viktor 669]

что-то слабо верится в подобные схемы.. они просто не нужны.. так как захват управления системой где вращается банк клиент это сама цель злоумышленника. Предложенная модель является конечной.

Не-не, давайте разделять понятия:

- есть интернет-банк Альфа-Клик, предоставляющий целый комплекс банковских услуг через интернет (любые переводы, платежи и т.п.)

- есть мобильный банк Альфа-Мобайл, возможности которого существенно уже (перевод денег между своими счетами, оплата телефона, платежи по фиксированным шаблонам, заданным в интернет-банке). Перевести деньги на левый счет с его помощью, насколько я понимаю, нельзя.

Так что по большому счету контроль над мобильным банком злоумышленнику ничего не дает, нужно влезать в Альфа-Клик, тут то и играет фича рассылки паролей по смс

[broker 30]

Перевести деньги на левый счет с его помощью, насколько я понимаю, нельзя.

можно

[Viktor 669]

можно

Именно а Альфы? В описании написано "...перевести деньги на счет или со счета «Мой сейф» или между другими своими счетами, а также осуществить перевод между счетами в разной валюте".

Но даже если и можно, то использовать это очень сложно. Дело в том, что при каждом переводе необходимо вводить одноразовый пароль, который отправляется по смс. Понятно, что ее можно перехватывать и эмулировать ввод пароля, но все это довольно проблематично и по-видимому не останется незаметным для жертвы, телефон будет проявлять активность.

[Pomka. 65]

скаждым днём всё больше и больше оболдеваю куда мир катится...

а веть начиналось все с простых счёт...

[Viktor 669]

можно

broker: я так и не нашел никакой информации, подтверждающей возможность перевода денег с помощью Альфа-Мобайл на произвольный счет. Можете дать ссылочку или сделать скриншот?

[broker 30]

скриншот?

[Viktor 669]

broker: там же написано "... по шаблонам, созданным в интернет-банке"

[Сергей Ильин 1538]

по шаблонам, созданным в интернет-банке"

На произвольный счет не получится слить деньги. Реальнее выглядит уже реальная атака, которая была описана мной выше (цитата из статьи). Делается новая симка от телефона, потом меняется пароль на интернет-банк и уже через него сливаются деньги.

Тут мы как раз и приходим к первоначально теме топика. Трояну по сути нужно всего лишь фиксировать наличие банк-клиента на мобильнике и передать информацию об устройстве кому следует.

[Viktor 669]

На произвольный счет не получится слить деньги. Реальнее выглядит уже реальная атака, которая была описана мной выше (цитата из статьи). Делается новая симка от телефона, потом меняется пароль на интернет-банк и уже через него сливаются деньги.

Тут мы как раз и приходим к первоначально теме топика. Трояну по сути нужно всего лишь фиксировать наличие банк-клиента на мобильнике и передать информацию об устройстве кому следует.

Именно так, только злоумышленнику еще нужно ловить на телефоне ввод логина и пароля, но это не проблема...

[broker 30]

На произвольный счет не получится слить деньги.

конечно не получится, но причины могут быть другие.

Шаблон всего лишь некое удобство, это автоматизация, защита от операционных ошибок.. и т п.

Вы неверно толкуете его смысл, хотя возможно некую защитную функцию он выполняет.

Посмотрите на шаблон с другой стороны, это всего навсего интерфейс.

Есть ли защита от замены интерфейсов ввода информации?

[nones 5]

Вы неверно толкуете его смысл, хотя возможно некую защитную функцию он выполняет.

Посмотрите на шаблон с другой стороны, это всего навсего интерфейс.

Есть ли защита от замены интерфейсов ввода информации?

Все-таки шаблон в данном случае не просто интерфейс - насколько я понимаю, он обрабатывается на стороне банка.

А насчет всей схемы атаки - взломали двухфакторную систему авторизации (логин/пароль в клиенте и одноразовый пароль на мобильник), что случается нечасто. Дыра для двуфакторной системы просто анекдотическая - оба фактора оказались подвержены одной и той же атаке ..

[nones 5]

Пользовался этой программой полтора года.

1. Эта программа может быть установлена не только на коммуникаторах, а на любые сотовые с явой2.

2. каждая операция требует подтверждения.

Больше мне понравилось как это организованно в ПромСвязьБанке - тебе выдается карточка на которой под штрихом есть 30 кодов,

при проведении операции необходимо ввести код с этой карточки

Еще один вариант двуфакторной авторизации .. но если подумать этот вариант также не спасает от трояна на мобильнике ..

[Kokunov Aleksey 20]

Не нужны тут никакие трояны. Все намного прозаичнее:

Получена новая симка с номером потерпевшего, вставляется в телефон, звонится в службу поддержи с просьбой отправить

временный пароль (логин девушка говорит вам по телефону - это 6 значная цифра) на получение доступа к Альфа-Клику, получается СМС,

и все, вы, открыв Альфа-клик, в системе. Дальше сложнее - перевести деньги просто так не получется, только с помошью шаблона, шаблон можно сделать только в офисе банка, с помощью оператора я так и не смого сделать такой шаблон.

А по поводу того как они получили данные потерпевшего тоже все очень просто - я думаю что все помнят, что при покупке симки составляется заявление, которое потом сканируют..., там и копия паспорта и все все все.

Я не удивлюсь что потерпевшие покупали свои симки в евросети.

[Viktor 669]

Получена новая симка с номером потерпевшего, вставляется в телефон, звонится в службу поддержи с просьбой отправить

временный пароль (логин девушка говорит вам по телефону - это 6 значная цифра) на получение доступа к Альфа-Клику, получается СМС,

и все, вы, открыв Альфа-клик, в системе. Дальше сложнее - перевести деньги просто так не получется, только с помошью шаблона, шаблон можно сделать только в офисе банка, с помощью оператора я так и не смого сделать такой шаблон.

Судя по описанию, шаблон можно создать в альфа-клике. Что касается девушки из службы поддержки Альфа-банка, по первому требованию раздающей и логины и пароли - не думаю, что все настолько запущено.

[Kokunov Aleksey 20]

по первому требованию раздающей и логины и пароли - не думаю, что все настолько запущено.

это только если учеловека еще не подключена услуга альфа-клик...

[nones 5]

Не нужны тут никакие трояны. Все намного прозаичнее:

Получена новая симка с номером потерпевшего, вставляется в телефон, звонится в службу поддержи с просьбой отправить

временный пароль (логин девушка говорит вам по телефону - это 6 значная цифра) на получение доступа к Альфа-Клику, получается СМС,

и все, вы, открыв Альфа-клик, в системе. Дальше сложнее - перевести деньги просто так не получется, только с помошью шаблона, шаблон можно сделать только в офисе банка, с помощью оператора я так и не смого сделать такой шаблон.

Вы это сами проверяли? Сильно сомневаюсь, что девушка сообщит вам логин (хотя это возможно), а уж тем более вышлет пароль для входа в Альфа-Клик. Все это она реально имеет право сделать - выслать одноразовый пароль для подтверждения (помимо логина/пароля) входа/операции.

Вот ссылка с сайта альфа-банка на описание защиты: http://alfabank.ru/retail/internet/security/bank/.

Имхо .. без трояна, который поймал логин/пароль дело не обошлось, причем троян мог быть и не на мобильнике.

[Kokunov Aleksey 20]

Все это она реально имеет право сделать - выслать одноразовый пароль для подтверждения (помимо логина/пароля) входа/операции.

о чем и разговор этого и надо... я еще раз повторю - это только в том случае если жертва до этого ниразу не пользовалась альфа кликом.

что бы получить временный логин и пароль нужно иметь номер телефона, указанный в договоре с банком - на него приходят смсы.

Для обеспечения безопасности проводимых операций в Интернет-банке «Альфа-Клик» используются следующие средства защиты:

Одноразовые пароли для входа в интернет-банк

Для входа в Интернет-банк «Альфа-Клик», после успешного ввода Логина и Пароля, потребуется ввести одноразовый пароль, который будет выслан вам на мобильный телефон, указанный при подключении интернет-банка.

Текст SMS-сообщения, которое содержит одноразовый пароль для входа в Интернет-банк «Альфа-Клик» выглядит так:

Vash parol dlya vhoda v Alfa-Click - 1a2b3c4d. Alfa-Bank

Одноразовые пароли для проведения операций

Одноразовый пароль используется для осуществления входа, проведения платежных и иных операций в интернет-банке. Для получения одноразового пароля необходим мобильный телефон, номер которого был указан вами при подключении услуги «Альфа-Клик».

После ввода всех необходимых платежных данных и проверки их правильности, система предложит ввести одноразовый пароль для совершения операции. Для получения одноразового пароля нужно нажать на кнопку «Получить пароль», пароль будет доставлен со скоростью SMS-сообщения на ваш мобильный телефон.

Текст SMS-сообщения, которое содержит одноразовый пароль, также содержит краткую информацию о реквизитах платежа. Например, для оплаты мобильной связи сообщение будет выглядеть так:

Dlya oplaty mobilnoi svyazi na summu 1000 RUR za nomer (номер телефона) vash odnorazoviy parol 1a2b3c4d. Alfa-Bank.

[nones 5]

о чем и разговор этого и надо... я еще раз повторю - это только в том случае если жертва до этого ниразу не пользовалась альфа кликом.

Во всем банках, в которых я пользовался интернет-банком, логин и пароль выдаются исключительно при личном посещении банка.

Но имхо вы что-то путаете. О каком временном логине идет речь? На каком основании девушка должна сообщать его при звонке? Имхо логин/пароль к интернет-банку выдаются тогда, когда подписывается договор на использование интернет-банка.

[Сергей Ильин 1538]

nones, насколько я помню, в Альфе новый пароль можно получить по SMS, что и использовали злоумышленники (алгоритм описывается выше).

Смотрите, у вас есть копия SIM-карты, вы знаете паспортные данные жертвы и номер карты. Звоните в поддержку, называете свои данные (авторизация по паспортным данным), говорите, что память подвела и вы забыли пароль от интернет-банка (тот самый Альфа-Клик). Далее оператор отправляет вам новый временный по sms на вашу поддельную SIM-карту. Все! Делайте с денежками жертвы все, что хотите. Там можно создавать шаблоны и переводить деньги без них вовсе.

Сейчас появилась доп. авторизация по sms, надо подтвердить транзакцию кодом. Но у вас же есть поддельная SIM-карта и это не будет проблемой.