Безопасность банковских операций и платежей через Интернет

RET_FRAN:

shuravi89,

Ваша ссылка как раз говорит об обратном

Хорошо бы разобраться, о каких именно вирусах шла речь в статье:

Как работает вирус
Раньше вирусы для Android умели только демонстрировать на зараженном устройстве поддельные окна для ввода данных карты и перехватывать СМС-сообщения с кодом подтверждения транзакции, говорится в докладе.

В статье мешанина из якобы фактов, причём не подкреплённых ссылками на реальные кейсы. Попробую разделить на части:

1. Когда-то давно (до появления IM) SMS активно использовались для переписки,
2. Возможно именно тогда и появилось платное шпионское ПО под мобильные ОС для перехвата форвардирования SMS скажем для слежения и контроля за благоверными, детьми, неблагонадёжными и др.,
3. Маловероятно что именно тогда это самое ПО стали использовать для ловли 3D-Secure,
5. Сейчас в эпоху рассвета IM-клиентов SMS массово никто не использует (ну разве что в роуминге, да и то там где нет бесплатного WiFi)
6. Назвать подобное ПО вирусом лично у меня язык не поворачивается

RET_FRAN:

и где тут "социальная инженерия"?

Собственно вся приведенная статья именно об этом (ключевое слово - "вишинг" )

ЗЫ Вот вам ещё одна вполне НЕдвусмысленная статья - 22.11.2019 - В Беларуси участились случаи телефонного мошенничества – вишинга

RET_FRAN:

Добавил сюда еще один пункт:

3. Использовать различные устройства для а) получения SMS с кодом и б) ввода содержащегося в полученной SMS кода. Например, для получения SMS с кодом используется мобильный телефон, а для ввода содержащегося в полученной SMS кода - стационарный ПК/ноутбук.

Лично я именно так и делаю - принципиально не использую мобильный банк на смартфоне (только ИБ на ноутбуке) ... вот только менять смартфон на кнопочник лично я не собираюсь

RET_FRAN:

перехватить SMS

Для банков отправителями SMS являются не опсосы, а SMS-аггрегаторы ... ну а про перехват SMS через недостаточный уровень безопасности сетей SS7 опсосов ещё NIST писал:

NIST: SMS нельзя использовать в качестве средства аутентификации

ew3:

RET_FRAN, shuravi89, организация такой системы перехвата в частном порядке будет стоить доходов половины попиццотников и декретниц этой страны - овчинка выделки не стоит, поэтому спите спокойно.

ew3, вы невнимательно читали мои предыдущие посты, а писал я собственно про то что SMS как средство регулярной коммуникации между людьми практически умер как класс, уступив место IM-клиентам (мессенджерам). Поэтому странно было бы таргетировать под эту технологию столько усилий (и средств) со стороны хакерских групп ... ну а тот факт что вы не знаете возможности Линукса и соответсвующего специфического ПО под него - это ваши личные проблемы. Так что, кто кого кому напоминает и кто в каких ...XX-х застрял не вам судить ...

ЗЫ Отвечал RET_FRAN в контексте что искать чёрную кошку в SMS-инфраструктуре опсосов - это по сути НЕ там копать, а тут и вы встряли ...

ЗЫ2 Из дельного по приведенной статье - это создание ханипотов - у инфобезопасников это нынче в тренде ...

ew3:

Чего же вы такой умный, да такой нищий

Это намёк на нехорошести всякие ??? Я, как и О. Бендер, чту Уголовный Кодекс ))

ew3:

Специфическое ПО прям на каждом углу первому встречному доступно с набором пошаговых инструкций как очень быстро и сказочно разбогатеть.

На примере взлома вайфая (и не только), увы, всё именно так и есть ...

ew3:

Не сравнивайте горячее с мокрым

Вы хотите сказать, что SS7-шлюз - нечто заоблачное и невозможнодоставаемое?

ЗЫ Предлагаю дискуссию про SS7-уязвимости на этом закончить

ew3:

shuravi89:

Вы хотите сказать, что SS7-шлюз - нечто заоблачное и невозможнодоставаемое?

Не хочу. Но вы выставляете эту проблему так, что любой пионер с компом на линуксе и мифическим ПО прям возьмет и все поломает.

Ну во-первых сначала вы сами перегнули, сказав что это "будет стоить доходов половины попиццотников и декретниц этой страны" ... а я собственно в ответ привёл цитаты из статьи (так сказать никакой отсебятины) и добавил аппаратную часть про шлюз ...

ЗЫ Повторно - Предлагаю дискуссию про SS7-уязвимости на этом закончить

RET_FRAN, психологией можно оправдать любую человеческую оплошность, вы ещё про цыганок-мошенниц здесь напишите или про женщин, обманутых брачными аферистами ...

Можно ли передавать кассиру карту? Почему магазины не любят 3D Secure? Ликбез

Почему магазины не любят 3D Secure
— В случае с интернет-платежами есть 3D Secure. Это ведь повышает безопасность?
Вячеслав: Да, но все риски не исключает. Технология сама по себе неудобная. Она сильно уменьшает количество успешных операций, и продавцы ее не любят. Допустим, из-за настроек браузера у вас не открылась страница 3D Secure или вовремя не пришло SMS с кодом — покупатель не может совершить операцию, и продавец остается без денег. Поэтому многие торговые точки договариваются с провайдерами и банками-эквайерами, чтобы отключать 3D Secure. Но предварительно анализируются риски: если вероятность мошенничества высока, 3D Secure оставят.
Если речь о белорусском магазине и оплате белорусскими картами, то 3D Secure не обязателен: юрлицо здесь, владелец карты здесь, управление «К» тоже здесь — всех очень быстро найдут. А если транзакция с иностранной карты, то 3D Secure можно оставить.
…
Что еще умеют мошенники
— Двухфакторное подтверждение с кодом из SMS можно считать стопроцентной защитой. Если пароль динамический, то есть каждый раз новый, то как его может получить злоумышленник?
Артур: Допустим, на вашем компьютере вирус: вводите код у себя, и его же получает злоумышленник. Или делаете перевод, думая, что на карту получателя, а на самом деле — на карту злоумышленника. Подтверждаете транзакцию своим одноразовым кодом и теряете деньги. Стопроцентной защиты никогда не будет.

Эксперты оценили уязвимость мобильных приложений банков для мошенников

Всего специалисты Positive Technologies обнаружили в приложениях 43 уникальные уязвимости, в основном технического характера. Каждое приложение содержит в своем коде как минимум три уязвимости, с помощью которых мошенники могут получить доступ к внутренней инфраструктуре банка.
Только один мобильный банк из исследованных не содержал уязвимостей, позволяющих злоумышленнику получить доступ к данным пользователя: например к выписке по карте, ПИН-кодам для быстрого доступа в приложение, учетным данным (логин/пароль) и т.п. При этом 43% приложений хранят эти данные в открытом виде, что упрощает доступ злоумышленников.
76% уязвимостей злоумышленники могут использовать без физического доступа к устройству: для этого достаточно установить на телефон жертвы вредоносное приложение, например в ходе рассылки фишинговых писем. В результате мошенники смогут перехватить СМС от банка, а также получить номер банковской карты.
Приложения, разработанные для iOS, содержали меньше уязвимостей, чем приложения для Android: так, недостатки в первых были не выше среднего уровня риска, в то время как 29% вторых содержали уязвимости высокого уровня риска (cоздателям Android-приложений предоставляется больше возможностей при разработке, объясняют такую разницу эксперты). Все они связаны с технологией deep linking, благодаря которой пользователь может перемещаться между приложениями: именно она выступает точкой входа в приложение для хакеров.
Большинство веб-приложений банков (шесть из семи) содержит уязвимости, связанные с недостаточными мерами по аутентификации пользователя. Это может привести к несанкционированному доступу злоумышленника к личному кабинету путем подбора пароля. Если ему удастся обойти защиту с помощью одноразового пароля, который высылается в СМС, хакер сможет выполнять разные действия в мобильном банке от имени клиента.
В пяти из семи серверных частей злоумышленникам доступны учетные записи пользователей мобильных банков: имена и фамилии, значение баланса денежных средств, квитанции по переводам, лимиты банковских карт, а также возможность установить взаимосвязь между платежной картой и номером мобильного телефона.
...
Group-IB регулярно находит уязвимости в банковских приложениях, однако на практике эти «дыры» используются довольно редко, поскольку злоумышленникам проще и дешевле использовать социальную инженерию, говорит руководитель направления «Аудит и консалтинг» Group-IB Андрей Брызгин. Однако он обращает внимание на то, что банки начали активно просвещать пользователей на тему мошеннических схем с использованием фишинга, звонков с тюремных call-центров и прочего. Поэтому со временем социнженерия может перестать приносить преступникам финансовую выгоду и они обратятся к уязвимости приложений.