Мошенничество в SMS-банкингеДенис Горчаков, Ольга КочетоваИсследовательский центрPositive TechnologiesPositive Hack Days 2...
Что такое SMS-банкинг― возможность проверять баланс и получать информацию о произведенныхтранзакциях― возможность совершат...
Популярная проблема:привязка карты к чужому номеру4
От: ВасилийКому: SMS-банкSEND 100 89161234567От: Мой банкПлатеж на номер 89161234567 на100 рублей принятОт: Мой банкДля по...
Сбор данных злоумышленником― случайность: привязка к чужому номеру• Минимальный вред – чтение чужой финансовой информации•...
― Зная только номер:• платеж на номер телефона (свой или подтвержденный)банки уже озабочены: http://www.finsb.ru/map/novos...
$$$От: номер ВасилияКому: SMS-банкSEND 500 89261234567Злоумышленник Семен:От: Оператор мобильной связиБаланс лицевого счет...
$$$От: номер ВасилияКому: SMS-банкSEND 3000 89261234567Злоумышленник Семен:От: Оператор мобильной связиБаланс лицевого сче...
От: номер ВасилияКому: SMS-банкSEND CUTEKITTENS 99999Злоумышленник Семен:От: SMS-банкВасилий Петрович, спасибо!Ваше пожерт...
Проверки― без проверки (только по номеру отправителя):― просто и удобно, но небезопасно;― проверка по 4 цифрам карты: нена...
От: номер ВасилияКому: SMS-банкSEND CUTEKITTENS 99999 0890Злоумышленник Семен:SMS-шлюзПроверка IMSIотправителя(привязан к ...
Другие векторы?• GSM-сигнализации с паролями по умолчанию• «умные дома» - таргетированные атакиКак защититься пользователю...
Конец рассказаСпасибо за вниманиеДенис Горчаков, Ольга Кочетоваdgorchakov@ptsecurity.ru, okochetova@ptsecurity.ruИсследова...
Sms bank
Sms bank
Upcoming SlideShare
Loading in …5
×

Sms bank

348 views
241 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
348
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Sms bank

  1. 1. Мошенничество в SMS-банкингеДенис Горчаков, Ольга КочетоваИсследовательский центрPositive TechnologiesPositive Hack Days 2013
  2. 2. Что такое SMS-банкинг― возможность проверять баланс и получать информацию о произведенныхтранзакциях― возможность совершать базовые операции:• пополнение счета мобильного телефона• оплата различных услуг• перевод средств• экстренная блокировка карты при утере3
  3. 3. Популярная проблема:привязка карты к чужому номеру4
  4. 4. От: ВасилийКому: SMS-банкSEND 100 89161234567От: Мой банкПлатеж на номер 89161234567 на100 рублей принятОт: Мой банкДля подтверждения платежавведите код 974365От: ВасилийКому: SMS-банкSEND 9999 89161234567От: Мой банкДля подтверждения платежанеобходимо указать последние 4цифры Вашей картыОт: ВасилийКому: SMS-банкSEND 9999 89161234567 0890От: Мой банкПлатеж на номер 89161234567 на 9999рублей принятОтсутствие подтверждения операций или слабаязащита подтверждения5
  5. 5. Сбор данных злоумышленником― случайность: привязка к чужому номеру• Минимальный вред – чтение чужой финансовой информации• Максимальный вред – управление чужим счетом:http://pravo.ru/news/view/83503/• Последствия – уголовная и административная ответственность― целенаправленный сбор данных:• корзины для чеков у терминалов и банкоматов в людных местах• продавцы магазинов – копия кассовой ленты• сотрудники операторов связи:http://www.securitylab.ru/news/377745.php6
  6. 6. ― Зная только номер:• платеж на номер телефона (свой или подтвержденный)банки уже озабочены: http://www.finsb.ru/map/novosti/view/?tx_ttnews[tt_news]=1428• социальная инженерияВариация стандартной схемы с «ошибочным платежом на чужой номер», когдаимитируется сообщение об оплате от оператора/платежной системы.• хулиганство, блокировка картыДополнительно:― атаки на OTP (длительный срок действия)― ненадежные методы проверки (по частичному номеру карты)Эксплуатация7
  7. 7. $$$От: номер ВасилияКому: SMS-банкSEND 500 89261234567Злоумышленник Семен:От: Оператор мобильной связиБаланс лицевого счета Вашего телефонапополнен на 500 рублей.От: СеменКому: ВасилийБратан, ошибся номером, кинь мнебабки назад, будь другом!!1От: СеменБратан, ошибся номером, кинь мне бабкиназад, будь другом!!1SMS-шлюзОт: SMS-банкВасилий Петрович, с Вашей карты списано500 рублей на пополнение счета телефонаREALREALОт: SMS-банкОшибочное списание средств с Вашей картыотменено. Средства будут возвращены накарту в установленный срокFAKEОт: номер SMS-банкаКому: ВасилийОшибочное списание средств с Вашейкарты отменено. Средства будутвозвращены на карту в установленныйсрокSMS-шлюзСоциальная инженерия8
  8. 8. $$$От: номер ВасилияКому: SMS-банкSEND 3000 89261234567Злоумышленник Семен:От: Оператор мобильной связиБаланс лицевого счета Вашего телефонапополнен на 3000 рублей.SMS-шлюзОт: SMS-банкВасилий Петрович, с Вашей карты списано3000 рублей на пополнение счетателефонаREALREALОт: Служба безопасности банкаЗафиксирована ошибочная операция поВашей карте. Для немедленной отменыоперации отправьте на номер службыбезопасности 9900 команду отмены:CANCEL 79161235476FAKEОт: «Служба безопасности банка»Кому: ВасилийЗафиксирована ошибочная операцияпо Вашей карте. Для немедленнойотмены операции отправьте на номерслужбы безопасности 9900 командуотмены:CANCEL 79161235476SMS-шлюзЭлектронный кошелекSMS-агрегаторСоциальная инженерия в.29
  9. 9. От: номер ВасилияКому: SMS-банкSEND CUTEKITTENS 99999Злоумышленник Семен:От: SMS-банкВасилий Петрович, спасибо!Ваше пожертвование в фондподдержки котят в размере99999 рублей принято!Спасибо!… разумеется, и не только это, ведь злоумышленники уже в курсе,информация есть на общедоступных ресурсах:1. http://www.banki.ru/forum/index.php?PAGE_NAME=read&FID=34&TID=1547882. http://www.banki.ru/forum/index.php?PAGE_NAME=read&FID=34&TID=154785SMS-шлюзХулиганство10
  10. 10. Проверки― без проверки (только по номеру отправителя):― просто и удобно, но небезопасно;― проверка по 4 цифрам карты: ненадежно;― проверка по одноразовому коду: лучше, но есть нюансы в безопасности;― правильные банки: помимо ОТР - проверка IMSI*, привязка IMSI к номерусчета;* IMSI (International Mobile Subscriber Identity) — международный идентификатор мобильногоабонента (индивидуальный номер абонента), ассоциированный с каждым пользователеммобильной связи стандарта GSM, UMTS или CDMA. При регистрации в сети аппарат абонентапередаѐт IMSI, по которому происходит его идентификация.Номер «зашит» на SIM-карте пользователя.11
  11. 11. От: номер ВасилияКому: SMS-банкSEND CUTEKITTENS 99999 0890Злоумышленник Семен:SMS-шлюзПроверка IMSIотправителя(привязан к счету) ОТКАЗI.II.От: SMS-банкПодтвердите операцию, отправивкод 754387 ответом на этосообщениеОТКАЗWTF?Как правильно?12
  12. 12. Другие векторы?• GSM-сигнализации с паролями по умолчанию• «умные дома» - таргетированные атакиКак защититься пользователю?• не отключать OTP и оповещения на операции покарте• внимательность и бдительность• использовать банк-клиент для смартфона13
  13. 13. Конец рассказаСпасибо за вниманиеДенис Горчаков, Ольга Кочетоваdgorchakov@ptsecurity.ru, okochetova@ptsecurity.ruИсследовательский центрPositive Technologies

×