• Save
Sms bank
Upcoming SlideShare
Loading in...5
×
 

Sms bank

on

  • 352 views

 

Statistics

Views

Total Views
352
Views on SlideShare
352
Embed Views
0

Actions

Likes
1
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Sms bank Sms bank Presentation Transcript

  • Мошенничество в SMS-банкингеДенис Горчаков, Ольга КочетоваИсследовательский центрPositive TechnologiesPositive Hack Days 2013
  • Что такое SMS-банкинг― возможность проверять баланс и получать информацию о произведенныхтранзакциях― возможность совершать базовые операции:• пополнение счета мобильного телефона• оплата различных услуг• перевод средств• экстренная блокировка карты при утере3
  • Популярная проблема:привязка карты к чужому номеру4
  • От: ВасилийКому: SMS-банкSEND 100 89161234567От: Мой банкПлатеж на номер 89161234567 на100 рублей принятОт: Мой банкДля подтверждения платежавведите код 974365От: ВасилийКому: SMS-банкSEND 9999 89161234567От: Мой банкДля подтверждения платежанеобходимо указать последние 4цифры Вашей картыОт: ВасилийКому: SMS-банкSEND 9999 89161234567 0890От: Мой банкПлатеж на номер 89161234567 на 9999рублей принятОтсутствие подтверждения операций или слабаязащита подтверждения5
  • Сбор данных злоумышленником― случайность: привязка к чужому номеру• Минимальный вред – чтение чужой финансовой информации• Максимальный вред – управление чужим счетом:http://pravo.ru/news/view/83503/• Последствия – уголовная и административная ответственность― целенаправленный сбор данных:• корзины для чеков у терминалов и банкоматов в людных местах• продавцы магазинов – копия кассовой ленты• сотрудники операторов связи:http://www.securitylab.ru/news/377745.php6
  • ― Зная только номер:• платеж на номер телефона (свой или подтвержденный)банки уже озабочены: http://www.finsb.ru/map/novosti/view/?tx_ttnews[tt_news]=1428• социальная инженерияВариация стандартной схемы с «ошибочным платежом на чужой номер», когдаимитируется сообщение об оплате от оператора/платежной системы.• хулиганство, блокировка картыДополнительно:― атаки на OTP (длительный срок действия)― ненадежные методы проверки (по частичному номеру карты)Эксплуатация7
  • $$$От: номер ВасилияКому: SMS-банкSEND 500 89261234567Злоумышленник Семен:От: Оператор мобильной связиБаланс лицевого счета Вашего телефонапополнен на 500 рублей.От: СеменКому: ВасилийБратан, ошибся номером, кинь мнебабки назад, будь другом!!1От: СеменБратан, ошибся номером, кинь мне бабкиназад, будь другом!!1SMS-шлюзОт: SMS-банкВасилий Петрович, с Вашей карты списано500 рублей на пополнение счета телефонаREALREALОт: SMS-банкОшибочное списание средств с Вашей картыотменено. Средства будут возвращены накарту в установленный срокFAKEОт: номер SMS-банкаКому: ВасилийОшибочное списание средств с Вашейкарты отменено. Средства будутвозвращены на карту в установленныйсрокSMS-шлюзСоциальная инженерия8
  • $$$От: номер ВасилияКому: SMS-банкSEND 3000 89261234567Злоумышленник Семен:От: Оператор мобильной связиБаланс лицевого счета Вашего телефонапополнен на 3000 рублей.SMS-шлюзОт: SMS-банкВасилий Петрович, с Вашей карты списано3000 рублей на пополнение счетателефонаREALREALОт: Служба безопасности банкаЗафиксирована ошибочная операция поВашей карте. Для немедленной отменыоперации отправьте на номер службыбезопасности 9900 команду отмены:CANCEL 79161235476FAKEОт: «Служба безопасности банка»Кому: ВасилийЗафиксирована ошибочная операцияпо Вашей карте. Для немедленнойотмены операции отправьте на номерслужбы безопасности 9900 командуотмены:CANCEL 79161235476SMS-шлюзЭлектронный кошелекSMS-агрегаторСоциальная инженерия в.29
  • От: номер ВасилияКому: SMS-банкSEND CUTEKITTENS 99999Злоумышленник Семен:От: SMS-банкВасилий Петрович, спасибо!Ваше пожертвование в фондподдержки котят в размере99999 рублей принято!Спасибо!… разумеется, и не только это, ведь злоумышленники уже в курсе,информация есть на общедоступных ресурсах:1. http://www.banki.ru/forum/index.php?PAGE_NAME=read&FID=34&TID=1547882. http://www.banki.ru/forum/index.php?PAGE_NAME=read&FID=34&TID=154785SMS-шлюзХулиганство10
  • Проверки― без проверки (только по номеру отправителя):― просто и удобно, но небезопасно;― проверка по 4 цифрам карты: ненадежно;― проверка по одноразовому коду: лучше, но есть нюансы в безопасности;― правильные банки: помимо ОТР - проверка IMSI*, привязка IMSI к номерусчета;* IMSI (International Mobile Subscriber Identity) — международный идентификатор мобильногоабонента (индивидуальный номер абонента), ассоциированный с каждым пользователеммобильной связи стандарта GSM, UMTS или CDMA. При регистрации в сети аппарат абонентапередаѐт IMSI, по которому происходит его идентификация.Номер «зашит» на SIM-карте пользователя.11
  • От: номер ВасилияКому: SMS-банкSEND CUTEKITTENS 99999 0890Злоумышленник Семен:SMS-шлюзПроверка IMSIотправителя(привязан к счету) ОТКАЗI.II.От: SMS-банкПодтвердите операцию, отправивкод 754387 ответом на этосообщениеОТКАЗWTF?Как правильно?12
  • Другие векторы?• GSM-сигнализации с паролями по умолчанию• «умные дома» - таргетированные атакиКак защититься пользователю?• не отключать OTP и оповещения на операции покарте• внимательность и бдительность• использовать банк-клиент для смартфона13
  • Конец рассказаСпасибо за вниманиеДенис Горчаков, Ольга Кочетоваdgorchakov@ptsecurity.ru, okochetova@ptsecurity.ruИсследовательский центрPositive Technologies