About Teletype
Join
E
@erudit
November 23, 2018

Мобильные банки не безопасны

О самых распространенных уязвимостях российских онлайн-банков рассказали специалисты компании Bi.Zone — дочерней компании Сбербанка, созданной для борьбы с киберугрозами. Список дополнили сотрудники других компаний в области информационной безопасности и прокомментировали наши коллеги по ДИТу.

Основные уязвимости:

  • Рассылка одноразовых паролей через SMS для входа в личный кабинет в мобильном или онлайн-банке. Это «порочный путь», говорит ведущий специалист по тестированию на проникновение Bi.Zone Аркадий Литвиненко. Так, по поддельной доверенности или скану паспорта жертвы можно получить дубликат SIM-карты, а устройства для перехвата SMS стоят относительно недорого — от $700.
  • Еще одна уязвимость с SMS связана с подтверждением транзакций. Чаще всего банки используют одноразовые пароли из SMS из четырех цифр, а в случае трижды неверно введенного пароля операция блокируется. Но можно действовать наоборот: перебирать транзакции под пароль (например, 5555), создав множество операций по списанию средств со счета клиента. «При подборе 16 тысяч трансакций вероятность угадать пароль — 99%», — отмечает Литвиненко. Клиенту будет сложно не заметить 16 тысяч SMS от банка с одноразовым паролем, но полностью исключать этот метод нельзя: жертва может находиться в отпуске или просто спать.
  • Получить доступ к личному кабинету в онлайн-банке также можно через фишинговые письма и другое вредоносное ПО, добавляет руководитель лаборатории практического анализа защищенности Центра информационной безопасности «Инфосистемы Джет» Лука Сафонов.
  • Ради удобства клиентов некоторые банки не ограничивают сессию пользователя при входе в мобильный банк или делают очень долгой — в таком случае мошенники могут получить доступ к мобильному банку, например, если клиент банка пользуется общественным Wi-Fi, указывают эксперты.
  • Еще один опасный момент — когда приложение мобильного банка (также для удобства клиента) запоминает пин-код для входа в приложение и вставляет его автоматически. «Взлом или кража телефона плюс автоматический ввод пароля дает злоумышленнику доступ к банковскому аккаунту», — говорит Литвиненко. Впрочем, код можно установить тем же методом подбора, уточняет он.
  • Тем не менее, доля банковских систем с критическими уязвимостями последовательно снижается — в 2015 году их было 90%, в 2017 году — уже 56%. Средняя цена «входа» хакера в мобильный банк — около $22.

Мнения коллег из ДИТа:

Я поддерживаю мнение авторов, что мобильные устройства – это зло. Могу провести следующую аналогию: можно хранить большую пачку денег дома в тумбочке, дома в сейфе или носить с собой в кошельке – в каждом конкретном случае существует вероятность исчезновения/кражи денег.

Ровно такая же вероятность пропажи денег есть и при использовании сервисов оплаты. Дома, при работе с защищенным компьютером, с установленными антивирусами и, главное, с адекватностью владельца сервисы удаленной оплаты/банкинг работают на благо. Если на компьютере работают все подряд, защиты нет, а пользователи любят открывать незнакомые письма, то — вряд ли. Думаю, аналогия понятна.

Если пользователь выходит из дома с мобильным устройством, то, опять же, риск возрастает. Но за счет адекватности владельца он может быть снижен – не стоит размахивать телефоном в метро, проводить оплату на сомнительных сайтах и, разумеется, нужно понимать, что такое фишинг и тому подобное.

Вообще, слово «мобильный» обозначает, что нужно сделать что-то оперативно. То есть быстро пополнить счет по питанию, оплатить заправку или еще что-то, что нельзя сделать заблаговременно. Но это означает, что карта, которая становится доступна на снятие в мобильном устройстве, должна быть лимитирована самим владельцем, чтобы ущерб в случае взлома был минимальным. Иначе это то же самое, что с пачкой денег, торчащей из заднего кармана джинсов, проехаться в метро – соблазн и возможности для нечестных людей.

Проверочный вопрос, который должен задавать себе любой человек: если у меня с текущего счета/карты пропадет сумма денег, которая лежит там в настоящий момент, насколько я буду расстроен? В зависимости от ответа корректируется лимит. Поэтому главное – немного перефразирую классика – не в технологиях, а в головах.

Владимир Новиков, руководитель продукта «Платёжный сервис».

Хочу поделиться историей, которая, может, и не принадлежит к области высоких технологий, сложного хакинга и тому подобно, зато она совершенно жизненная и может произойти с каждым. И да, такое возможно только благодаря мобильному банку.

Однажды мы с товарищем стояли поздно вечером возле метро, разговаривали. К нам подошли парень и девушка, совершенно безобидные на вид, и попросили телефон отправить смс, т.к. «договаривались встретиться здесь с подругой, уже поздно, ее все еще нет, а телефон сел».

«Что мы, не люди? Надо помочь ребятам найтись!», – подумали мы, и мой друг дал им телефон. Мы, конечно же, стали зорко смотреть, не произойдет ли чего. Ничего и не произошло. Однако позже, при попытке расплатиться в магазине, друг обнаружил, что на карте денег нет. При последующем анализе мы пришли к выводу, что произошло следующее:

  • Парень взял заботливо разблокированный телефон, поставил его на беззвучный режим.
  • Залез во входящие смс-ки, нашел пришедшие с номера 900 (стандартно для Сбербанка) и посмотрел последнюю, в которой был остаток на карте.
  • Так же с помощью смс отправил весь остаток (несколько тысяч рублей) на нужный номер телефона.
  • Дождался ответной смс с кодом для подтверждения, отправил код, удалил все следы своей деятельности, снял беззвучный режим и вернул телефон. Поблагодарил нас и спокойно ушёл, зараза =). Вся операция заняла буквально пару минут.

Мораль этой истории, наверное, не в том, что надо отказывать людям в помощи. Но номера и сообщения, видимо, лучше набирать своими руками под диктовку. Такова новая реальность.

Георгий Старосельский, внутренние коммуникации.

@erudit
November 23, 2018, 10:35
0 reactions
0 views