Форум

СМС в системах ДБО - безопасность под угрозой!

Минусы использования СМС в системах ДБО
  • 1
#1
08.01.2013 11:49
Здравствуйте.

Уж не один раз в обсуждениях использования СМС в различных системах дистанционного банковского обслуживания и их разновидностях были озвучены минусы подобного решения. В этой теме прошу высказаться всех по данному вопросу.

Начну с одного очень серьёзного минуса, о котором я задумался давно, а другой человек на практике успешно подтвердил его реальность. Суть минуса такова - система ДБО одного из крупнейших банков не идентифицирует отправителя СМС.

Сам протокол передачи СМС позволяет отправить СМС, подставив в качестве отправителя любое значение. В Интернете множество сайтов, позволяющих отправить подобные СМС с подменой номера отправителя. А теперь подумайте, что произойдёт, если с подобного сервиса отправить СМС на номер системы ДБО и подставить в качестве отправителя номер реального клиента банка, подключенного к этой системе ДБО? Правильно, система обработает эту СМС как настоящую и выполнит указанные в ней действия. И если в системе не заложено подтверждение всех операций одноразовыми кодами, то это огромная брешь в безопасности всей системы ДБО.

Тему оставляю тут, но и к пластиковым картам она имеет непосредственное отношение, ведь для них тоже зачастую предлагают некие разновидности систем ДБО, в том числе и с возможностью управления счетами/картами через СМС. Представьте, что злоумышленник может заблокировать все ваши карты, отправив поддельную СМС. Каково?
Ушёл на ФинФорумс и ХраниДеньги
 
Сказали «Спасибо»: 1
 
#2
08.01.2013 17:46
Цитата
Хочу предупредить всех держателей карт Сбербанка, что придумал и только что опробовал методику, как снять деньги с любой карты Сбербанка любого человека без ведома владельца.

Делается это через услугу "мобильный банк Сбербанка".
Достаточно отправить СМС на телефон +79262000900 (полный аналог короткого номера 900) с суммой, а в качестве номера отправителя СМС подставить мобильный номер владельца карты. Только что снял 100 рублей с карты друга, с его согласия, конечно, в качестве эксперимента.

А отправить СМС с подменой номера отправителя - элементарно. Поиском нашел в Яндексе около тысячи разных сайтов по отправке СМС с подменой номера отправителя на любой требуемый. Одним из таких сайтов и воспользовался. Деньги успешно сняты с карты моего друга, при этом он не говорил мне ни тип карты, ни номер карты, ровным счетом ничего! Я только знал номер мобильного телефона моего друга. Правда деньги были зачислены на баланс мобильного моего же друга, но сам факт того, что снять деньги с карты Сбербанка без ведома владельца карты оказалось так легко и просто - удивляет. СБЕРБАНК - ОТСТОЙ! Я как владелец карты сбербанка завтра собрался закрывать мою карту. Такая нулевая безопасность меня никак не устраивает. Предлагаю всем отказаться от услуг Сбербанка. Это опасно.
Даже то, что деньги не украдены, а зачислены с карты владельца на мобильник владельца без его ведома - недопустим. Зачислив 100 рублей, никто не мешает любому снять и 100 000 рублей, и зачислить их на баланс мобильного! Владелец карты точно не будет этому рад.
Сбербанк допустил недопустимую брешь в системе безопасности.

Но это только первый шаг. Если подумать, то также просто как дважды два оказывается можно перечислить деньги и на счет злоумышленника! Даже номера карты знать не нужно. Даже завладевать мобильником жертвы - не нужно.
Ушёл на ФинФорумс и ХраниДеньги
 
 
#3
08.01.2013 17:51
Цитата
А зачислением только на мобильник владельца карты это не ограничивается.
Я, например, платил разок с карты в Ростелеком, на мобильник жены, за интернет-модем, за цифровое телевидение. Все места, куда я платил хотя бы один раз, требуют подтверждения только для первого платежа. Повторные платежи, которые хоть раз проводились в Сбербанк Онлайн, идут полностью без подтверждения. Рад ли будет Русак, если с его карты любой желающий оплатит интернет на 100 лет вперед, цифровое или спутниковое телевидение на 50 лет вперед?
Это всё осуществляется по моей методике легко, просто, без знания номеров карты, без завладения мобильным владельца, без кодов подтверждения. Это величайший прокол Сбербанка.
Ушёл на ФинФорумс и ХраниДеньги
 
 
#4
08.01.2013 19:06
Услугу "быстрый платеж" можно отключить через СБОЛ, тогда никакие платежи по смс не пойдут.
 
 
#5
08.01.2013 19:37
TSV79, это не решение проблемы "поддельных" СМС, а только лишь временный обходной вариант.
Ушёл на ФинФорумс и ХраниДеньги
 
 
#6
07.10.2015 09:05
Системы ДБО, идентифицирующие клиента (полностью или частично) по номеру телефона с которого он позвонил на номер системы "голосового" обслуживания тоже в опасности, поскольку номер звонящего тоже может быть подделан. Пример из комментариев по ссылке:
Цитата
У Приватбанка есть голосовое меню по номеру 3700, которое позволяет пополнять любой телефон, введя просто последние 4 цифры своей карты. Т.е. я могу позвонит на голосовое меню Приватбанка, подменив номер на любой реальный, который является клиентом банка и просто по IVR меню пополнить любой телефон с карты того клиента? Последние 4 цифры карты можно сбрутфорсить, у них нет ограничений на количество попыток.
Изменено: tempur- 07.10.2015 09:07
Ушёл на ФинФорумс и ХраниДеньги
 
 
#7
20.09.2016 02:14
А чего вы хотели? СМС - это примочка к дырявому и уязвимому сигнальному протоколу ОКС-7, он же SS7. Данные идут открытыми, перехватить может любой желающий, правда потрудиться придётся. Никакой верификации нет и не было. Все эти сайты работают с использованием особенностей сигнального протокола, который аж с 70-х годов прошлого века и до сих пор используется. За банк ничего сказать не могу в плане того почему он использует эту систему, в то время как любому новорождённому младенцу известно о небезопасности СМС-канала.

Не пользуйтесь СМС-банкингом и всё, если хотите действительно уберечь денежки. Другого варианта тут подсказать не могу.
 
 
#8
06.10.2016 17:14
Минкомсвязи России признало СМС-пароли небезопасными, об этом писали многие СМИ 5 октября 2016 года, но подробнее всех написали Известия.
Так что, можете смело отказываться от сервисов, завязанных на СМС-канал. Ну, и требуйте от банков альтернативных способов аутентификации.
Изменено: Nerevar- 06.10.2016 17:15
 
 
#9
06.10.2016 17:59
Цитата
Nerevar пишет:
Так что, можете смело отказываться от сервисов, завязанных на СМС-канал. Ну, и требуйте от банков альтернативных способов аутентификации.

Позвольте поинтересоваться, на каком основании следует это делать? Судя по вашей точке зрения потому, что об этом написали в СМИ? Не, ну потребовать то вы сможете, вот только результат прогнозируем на 100%.
Мобильные антивирусы для смартфонов

Глава АСВ предупредил о рисках онлайн-банков

Хорошо быть кисою, хорошо собакою, где хочу попи, где хочу пока
 
 
#10
14.10.2016 15:56
[Сообщение удалено]
 
 
#11
14.10.2016 16:02
Цитата
lostintime пишет:
Позвольте поинтересоваться, на каком основании следует это делать? Судя по вашей точке зрения потому, что об этом написали в СМИ? Не, ну потребовать то вы сможете, вот только результат прогнозируем на 100%.


Сменить банк, т.к. СМС "читаются" через ОПСОСа.

Утечка клиентов вынудит банк прикрутить к ИБ хотя бы одноразовые пароли или Token.
Изменено: exze- 14.10.2016 16:04
 
Сказали «Спасибо»: 1
 
#12
14.10.2016 16:17
Вопрос был не об этом. Никто уже наверное не станет отрицать небезопасность СМС канала. Вы написали, что необходимо требовать от банка альтернативных методов аутентификации. Вот расскажите мне, как это например сделать для Сбербанка и на основании каких документов этого требовать. Мне следует предъявить им статью из Известий?
Следующее. Вы сколько знаете банков с альтернативными СМС методами аутентификации? Вот разделите их количество лучше раза в 3 для банков в провинции и учитывайте при этом доходность депозитов по сравнению с другими банками, где процесс аутентификации реализован с помощью СМС.
Мобильные антивирусы для смартфонов

Глава АСВ предупредил о рисках онлайн-банков

Хорошо быть кисою, хорошо собакою, где хочу попи, где хочу пока
 
 
#13
14.10.2016 16:23
Цитата
exze пишет:
Утечка клиентов вынудит банк прикрутить к ИБ хотя бы одноразовые пароли или Token.

Ничего их не заставит изменяться. Им и так неплохо, что бы изменяться в сторону сервиса и безопасности для клиента, да и никакой утечки клиентов не будет, так как про уязвимость СМС канала в ДБО слышали наверное не более 0,01% клиентов банков.
Их принцип: ешь, что дают.
Мобильные антивирусы для смартфонов

Глава АСВ предупредил о рисках онлайн-банков

Хорошо быть кисою, хорошо собакою, где хочу попи, где хочу пока
 
 
#14
05.11.2016 23:50
Не та страна у нас, где работают рыночные механизмы вроде оттока клиентов к конкуренту из-за неудовлетворённости в условиях. Нужно, чтобы надзорные ведомства стукнули по кумполу каждому из банков, только так начнётся внедрение безопасных технологий. Кто-то сделает это добровольно, кто-то с боем, ссылаясь на долгосрочные контракты с ОпСоСами на эту тему.

Как "наехать" на банк:
1) Запрос в Минкомсвязь
2) Распечатать статью из "Известий"
3) Вооружившись ответкой на Запрос в Минкомсвязь и распечаткой "Известий" написать Претензию в банк.
4) получить ответ на Претензию из банка.
5) Обратиться органы Роспотребнадзора, т.к. идёт грубейшее нарушение положений Статьи 16 ФЗ о Защите прав потребителя банком (услуга "Интернет-банк" подразумевает приобретение услуг ОпСоСа)
6) Обратиться в ЦБ РФ, приложив ответку от банка, ответку от Минкомсвязи и распечатку со ссылкой на Известия, для усиления эффекта можно сосдаться на инцидент с Албуровым и Козловским.
7) Если Роспотребнадзор начнёт валять дурака и слать отписки - в органы прокуратуры, чтобы те в рамках прокурорского реагирования обязали потребнадзор выполнить свою работу.
smile8) ЦБ пришлёт отписку, но банку по кумполу настучит.

Банк будет трясти своей 428 Статьёй ГК РФ, что мол договор этот это присоединение и клиент сам изволил и подписался. Однако для банка тут есть сюрприз, они почему-то забывают про статью 422 всё того же ГК РФ, гласящую о том, что Договор должен соответствовать законам и НПА. В частности всё тому же Закону о ЗПП, который запрещает при приобретении одной услуги обязательно приобретать иную услугу.

Из банков, где ИБ без СМС есть можно выделить: Газпромбанк. Интеза, ВТБ 24, ЮниКредит, Авангард, Россельхозбанк, Связьбанк. Это я так, навскидку.

Если каждый из нас проделает, не поленится, то что описала я, глядишь и заживём как нормальные человеки. Лучше идти таким путём, чем ждать когда начнётся массовая атака на ОКС-7 с перехватом СМС, взломами и повальными кражами денег со счетов. тут государство не сразу раскачается и не сразу примет ся решать проблемы.
Изменено: Nerevar- 05.11.2016 23:53
 
Сказали «Спасибо»: 1
 
#15
04.07.2017 19:50
Ведомости
Цитата

Специалисты нашли в сетях операторов серьезные уязвимости
Они позволяют перехватывать sms и организовывать Dos-атаки в сетях LTE
Сети операторов стандарта LTE (4G) подвержены перехвату sms-сообщений, раскрытию местоположения абонента, Dos-атакам на абонентов и на оборудование операторов, говорится в исследовании Positive Technologies, специализирующейся на анализе уязвимостей информационных систем. Сети 4G унаследовали полный спектр угроз, актуальный для предыдущих поколений сетей связи, говорится в исследовании.<...>
 
 
#16
06.12.2017 01:22
Промсвязьбанк выключает прежнюю версию интернет-банка вместе с возможностью использования сертификатов НЭП.
 
 
#17
24.04.2019 13:26
Цитата
tempur пишет:
Системы ДБО, идентифицирующие клиента (полностью или частично) по номеру телефона с которого он позвонил на номер системы "голосового" обслуживания тоже в опасности, поскольку номер звонящего тоже может быть подделан. Пример из комментариев по ссылке:
Цитата

У Приватбанка есть голосовое меню по номеру 3700, которое позволяет пополнять любой телефон, введя просто последние 4 цифры своей карты. Т.е. я могу позвонит на голосовое меню Приватбанка, подменив номер на любой реальный, который является клиентом банка и просто по IVR меню пополнить любой телефон с карты того клиента? Последние 4 цифры карты можно сбрутфорсить, у них нет ограничений на количество попыток.

Четыре года прошло и банки и ЦБ "проснулись" https://www.banki.ru/news/lenta/?id=10894946
Ушёл на ФинФорумс и ХраниДеньги
 
 
#18
19.02.2020 12:58
Цитата
tempur пишет:
Системы ДБО, идентифицирующие клиента (полностью или частично) по номеру телефона с которого он позвонил на номер системы "голосового" обслуживания тоже в опасности, поскольку номер звонящего тоже может быть подделан.

В данном случае это 100% проблема банка, не распознающего звонки.
1. Клиенту доступна детализация всех звонков и смс за полгода у сотового оператора. Так перекладывается проблема на банк.
2. Клиент может сделать так, что все смс будут идти по защищенному каналу связи вместо упомянутого SS7. Плюс эти смс все еще журналируются. Т.е. клиент может получить 100% гарантию относительно получения отправки всех смс.
 
 
#19
12.09.2020 14:10
Цитата
tempur пишет:
Четыре года прошло и банки и ЦБ "проснулись" https://www.banki.ru/news/lenta/?id=10894946

Не, с первого раза не все проснулись https://www.banki.ru/news/lenta/?id=10933311
smile:D
Ушёл на ФинФорумс и ХраниДеньги
 
 
  • 1
Форумы » Финансовые продукты и услуги » Дистанционное банковское обслуживание

Все продукты Банки.ру

Калькуляторы

Калькулятор туристической страховкиКалькулятор ипотечного страхованияКалькулятор вкладовКалькулятор кредитовКалькулятор ипотекиКалькулятор автокредитовКалькулятор КаскоКалькулятор ДМСКалькулятор медицинской страховкиКалькулятор ОСАГОКалькулятор займа

Вклады и инвестиции

Вклады в СбербанкеВ рубляхС высоким процентомВклады с онлайн заявкойКупить ПИФыВклады в МосквеКупить облигацииАкции российских компанийАкции ГазпромАкции Голубые фишкиНакопительные счетаНакопительные счета с ежедневным начислением процентов

Кредиты и займы

Кредит онлайнКредит для пенсионеровСрочный займ на картуЗайм без отказаБеспроцентный займРефинансирование кредитовКредит под залогКредиты в МосквеЗайм на картуЗайм онлайнАвтокредитыКредитная история онлайн бесплатноВзять кредитЛучшие кредитыКредит на ноутбукКредит без посещения банкаКредит с подтверждением дохода

Ещё

1 доллар в рублях1 евро в рубляхКурсы ЦББанки РоссииКнига памятиБанки на картеОтзывы о банкахОтзывы о страховых компанияхЛичный кабинет агентаНародный рейтинг МФОТема дняНовостиФинансовый словарь
Показать ещеСкрыть

Страхование

Ипотечное страхованиее-ОСАГООСАГО в МосквеПродлить ОСАГОПродлить ОСАГО в МосквеСтраховка автомобиля ОСАГОРасчёт стоимости каскоКаско в МосквеОСАГО без ограниченнийОСАГО для начинающихРасширенный полис ОСАГООСАГО в Санкт-ПетербургеКаско от угонаКаско на годКаско на второй годДМС страхованиеСпортивная страховкаСтрахование квартирыАнтиклещТуристическая страховкаАлкогольный калькулятор для водителейДКП авто

Карты

Онлайн заявка на кредитную картуКредитная карта Тинькофф ПлатинумОнлайн заявка на дебетовую картуКарты с кэшбэком 2024Карты с бесплатным обслуживаниемКредитки без справки о доходахКредитные карты PlatinumМолодежные кредитные картыКредитные карты на 50 000 рублейКредитная карта за 5 минутКредитные карты на 500 000 рублейДебетовые карты Мир UnionPayДебетовые карты UnionPayКредитные карты UnionPayКредитные карты МИР UnionPayКредитные карты без подтверждения доходаКредитные карты срочноДоступные кредитные картыКредитные карты по паспорту с моментальным решениемКредитные карты 100% одобрениеКредитные карты в Москве

Ипотека

Ипотека в Альфа-БанкеИпотека в ВТБИпотека в СбербанкеРефинансирование ипотекиЛьготная ипотекаИпотека на вторичное жильеИпотека в МосквеИпотека для IT-специалистовИпотечное менюИпотека от застройщиковДальневосточная ипотекаРефинансирование семейной ипотекиИпотека под залог недвижимостиИпотека для врачей

РКО

Расчётно-кассовое обслуживание в МосквеРКО СбербанкРКО в Т-БанкеРКО в ВТБРКО в Райффайзен банкеЭквайрингРегистрация бизнеса в МосквеРасчетный счет для ИПРасчетный счет для ОООЛучшие банки для ИПЛучшие банки для ОООБесплатный расчетный счет для ИПБесплатный расчетный счет для ОООРКО в ТочкеРКО в Альфа-БанкеРКО в ПромсвязьбанкеРКО в ОТП БанкеРКО В ГазпромбанкеРКО в МТС БанкеРКО В СовкомбанкеРКО в МодульбБанкеБанковские гарантии

Дебетовые карты

Дебетовые карты ТинькоффДебетовая карта «Мир»Дебетовые карты «Mir Supreme»Карты UnionPayВиртуальные дебетовые картыКарты с бесплатным обслуживаниемДетские картыСоциальные карты москвичаТоп дебетовых картМоментальные картыКарты с высоким процентом на остатокЗарплатные картыДебетовые карты СбербанкаДебетовые карты Альфа БанкаДебетовые карты ВТБДебетовые карты Газпромбанка

Потребительские кредиты

Мастер подбора кредитаПотребительские кредитыКредит наличнымиКредит на картуКредиты для самозанятыхКредиты для безработныхРефинансирование кредитаКредит под залог автоКредит под залог недвижимостиОнлайн заявка на кредитЧерез Госуслуги

Микрозаймы

Займ на карту без процентов за первый займОнлайн займы на банковскую карту срочноСрочные экспресс займы онлайнОформить и получить простой микрозайм наличнымиСрочный онлайн микрозайм на киви кошелек без отказаСрочно получить деньги на карту круглосуточноОнлайн займ без отказа пенсионерамЗайм студентам с 18 лет без работыВзять быстрый займ денег в долгЗаймы на длительный срок с ежемесячной оплатой

Кредитные карты

Взять кредитную картуКредитные карты банка Русский СтандартКредитные карты ТинькоффКалькулятор кредитной картыКредитные карты без отказаВиртуальные кредитные картыКредитные карты без посещения банкаМоментальные кредиткиКарта рассрочки «Халва» от СовкомбанкаКредитные карты Альфа БанкаКредитные карты СбербанкаКредитные карты ВТБКредитные карты ГазпромбанкаКредитные карты Почта БанкаКредитные карты МТСКредитные карты банка Открытие

Расчетно-кассовое обслуживание

Открытие счета в СберБанк онлайнСчет для ИП в СберБанке условияОткрыть счет для ИП онлайнРКО для ООО открытьРасчетный счет в ТочкеБизнес банк ТинькоффОткрыть расчетный счет

Ипотечные кредиты

Взять ипотеку на строительство дома с нуляСоциально ипотечное кредитованиеПрограммы льготной ипотеки для молодой семьиИпотека на приобретение дома в сельской местностиИпотека на строящиеся квартирыПолучить ипотеку без подтвержденного доходаПрограмма господдержки ипотечного кредитованияИпотека для многодетных семей с минимальным процентомИпотека на загородный дом в СНТСоциальная ипотека для работников школы

Депозиты

Облигации федерального займа доходностьКупить дивидендные акцииСберБанк вклады депозитыСберБанк управление активами ПИФы доходностьДепозит онлайнАкции ГазпромETF на московской биржеРоснефть акции ценаАкции Лукойл ценаПенсионные вклады

ОСАГО и Каско

Рассчитать стоимость каскоОСАГО от ИнгосстрахПролонгация ОСАГОРассчитать стоимость ОСАГОКаско в МосквеКаско в рассрочкуКаско на старый автомобильКаско от бесполисныхКаско на KIAКаско на LadaКаско на CheryЭлектронный полис е-ОСАГООСАГО от АльфаСтрахованиеОСАГО от Тинькофф СтрахованиеОСАГО от РосгосстрахОСАГО от Сбер Страхование