Описание мошеннических сценариев, связанных с отсутствием валидации отправителя сообщения в SMS-банкинге. Примеры эксплуатации с использованием социальной инженерии и возможные пути устранения проблем.
Презентация Эдуарда Савуляка на международной выставке-конференции RGWeek 201...Betting Business Russia
Директор московского офиса TaxConsulting U.K. Эдуард Савуляк на международной выставке-конференции Russian Gaming Week-2014 рассказал о наиболее удачных юрисдикциях для онлайн-казино. BBR представляет основные тезисы его доклада.
Как не попасть на удочку мошенников в Сети и телефонеДмитрий Лященко
В Пензе состоялся митап для пожилых людей «Как справиться с телефоном?». Основной темой разговора стало мошенничество с использованием электронных устройств.
Презентация Эдуарда Савуляка на международной выставке-конференции RGWeek 201...Betting Business Russia
Директор московского офиса TaxConsulting U.K. Эдуард Савуляк на международной выставке-конференции Russian Gaming Week-2014 рассказал о наиболее удачных юрисдикциях для онлайн-казино. BBR представляет основные тезисы его доклада.
Как не попасть на удочку мошенников в Сети и телефонеДмитрий Лященко
В Пензе состоялся митап для пожилых людей «Как справиться с телефоном?». Основной темой разговора стало мошенничество с использованием электронных устройств.
Безопасность платежей в интернете - Наталья КукановаYandex
Мы расскажем об основных сценариях мошенничества, направленных на выманивание денег в интернете. А также научим, как безопасно совершать платежи, используя банковскую карту или электронный кошелёк.
“Прием безналичных платежей для малого и среднего бизнеса: выбираем способы и...Cybermarketing, Moscow
— кто является поставщиками услуг приема платежей;
— какие операции могут быть проведены по банковским картам;
— как мобильный эквайринг позволяет быстро начать принимать карты к оплате;
— зачем принимать платежи на сайте;
— какие способы приема платежей на сайте интернет-магазина существуют;
— и многое другое.
Безопасность платежей в интернете — Мария Грачёва, Яндекс.ДеньгиЯндекс.Деньги
Семинар Яндекса по безопасности для учителей, 18 октября 2014 года — презентация посвящена самым распространённым сценариям мошенничества с платежами и практическим навыкам защиты от них.
Видео здесь: https://tech.yandex.ru/events/meetings/18-oct-2014/talks/2481/
Безопасность платежей в интернете - Мария ГрачеваYandex
Мы расскажем об основных сценариях мошенничества, направленных на выманивание денег в интернете. А также научим, как безопасно совершать платежи, используя банковскую карту или электронный кошелёк.
Платежный Сервис WebMoney-iiko позволяет принимать оплату в ресторанах не только наличными или банковскими картами, но и электронными деньгами WebMoney.
Весьма внушительная часть пользователей кошельков WebMoney (а их уже более 35 млн.) - более 70% фрилансеров, регулярно получают оплату своего труда в электронной валюте. Но чтобы перевести e-money в наличные или на банковскую карту необходимо заплатить определенную комиссию (не менее 2,5-3%). Именно поэтому у владельцев WebMoney большой популярностью пользуются онлайн/ оффлайн магазины и сервисы, где принимают к оплате WebMoney. До недавнего времени потратить WebMoney можно было только в Сети, мы же предоставляем возможность потратить электронные деньги в ресторане/кафе/баре. И весьма велика вероятность, что если перед владельцем WebMoney станет выбор куда пойти поужинать или выпить кофе с друзьями – он выберет заведение, где сможет расплатиться с помощью своего электронного кошелька. А если ему там понравится – то он станет постоянным гостем.
В индустрии гостеприимства прием оплаты с помощью WebMoney обеспечивается через Платежный Сервис WebMoney-iiko, который позволяет оплачивать заказы электронными деньгами WebMoney. Подключение к данному сервису не требует дополнительных затрат и абонентской платы, а ставка комиссии по приему данных платежей составляет 1,6%.
Платежный Сервис WebMoney-iiko это не только набор технических средств и финансовое сопровождение, но и активная маркетинговая поддержка. Одна из наших основных задач – это привлечь аудиторию WebMoney в ваши рестораны, где они смогут рассчитаться с помощью электронных денег WebMoney. И для каждого ресторана, кафе или бара мы готовы предложить индивидуальный план маркетингового сопровождения.
Выявление атак на пользователей систем ДБО и схем мошенничестваDenis Gorchakov
Презентация с IX Уральского форума по информационной безопасности. Рассказываю об интересных случаях атак на пользователей ДБО и деталях выявления мошеннических схем в ДБО.
Безопасность платежей в интернете - Наталья КукановаYandex
Мы расскажем об основных сценариях мошенничества, направленных на выманивание денег в интернете. А также научим, как безопасно совершать платежи, используя банковскую карту или электронный кошелёк.
“Прием безналичных платежей для малого и среднего бизнеса: выбираем способы и...Cybermarketing, Moscow
— кто является поставщиками услуг приема платежей;
— какие операции могут быть проведены по банковским картам;
— как мобильный эквайринг позволяет быстро начать принимать карты к оплате;
— зачем принимать платежи на сайте;
— какие способы приема платежей на сайте интернет-магазина существуют;
— и многое другое.
Безопасность платежей в интернете — Мария Грачёва, Яндекс.ДеньгиЯндекс.Деньги
Семинар Яндекса по безопасности для учителей, 18 октября 2014 года — презентация посвящена самым распространённым сценариям мошенничества с платежами и практическим навыкам защиты от них.
Видео здесь: https://tech.yandex.ru/events/meetings/18-oct-2014/talks/2481/
Безопасность платежей в интернете - Мария ГрачеваYandex
Мы расскажем об основных сценариях мошенничества, направленных на выманивание денег в интернете. А также научим, как безопасно совершать платежи, используя банковскую карту или электронный кошелёк.
Платежный Сервис WebMoney-iiko позволяет принимать оплату в ресторанах не только наличными или банковскими картами, но и электронными деньгами WebMoney.
Весьма внушительная часть пользователей кошельков WebMoney (а их уже более 35 млн.) - более 70% фрилансеров, регулярно получают оплату своего труда в электронной валюте. Но чтобы перевести e-money в наличные или на банковскую карту необходимо заплатить определенную комиссию (не менее 2,5-3%). Именно поэтому у владельцев WebMoney большой популярностью пользуются онлайн/ оффлайн магазины и сервисы, где принимают к оплате WebMoney. До недавнего времени потратить WebMoney можно было только в Сети, мы же предоставляем возможность потратить электронные деньги в ресторане/кафе/баре. И весьма велика вероятность, что если перед владельцем WebMoney станет выбор куда пойти поужинать или выпить кофе с друзьями – он выберет заведение, где сможет расплатиться с помощью своего электронного кошелька. А если ему там понравится – то он станет постоянным гостем.
В индустрии гостеприимства прием оплаты с помощью WebMoney обеспечивается через Платежный Сервис WebMoney-iiko, который позволяет оплачивать заказы электронными деньгами WebMoney. Подключение к данному сервису не требует дополнительных затрат и абонентской платы, а ставка комиссии по приему данных платежей составляет 1,6%.
Платежный Сервис WebMoney-iiko это не только набор технических средств и финансовое сопровождение, но и активная маркетинговая поддержка. Одна из наших основных задач – это привлечь аудиторию WebMoney в ваши рестораны, где они смогут рассчитаться с помощью электронных денег WebMoney. И для каждого ресторана, кафе или бара мы готовы предложить индивидуальный план маркетингового сопровождения.
Выявление атак на пользователей систем ДБО и схем мошенничестваDenis Gorchakov
Презентация с IX Уральского форума по информационной безопасности. Рассказываю об интересных случаях атак на пользователей ДБО и деталях выявления мошеннических схем в ДБО.
DEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решенийDenis Gorchakov
DEFCON-targeted version of the speech about anti-APT solutions experience and thoughts on incident reponse based on our work at one of the major Russian banks.
Рositive Hack Days V. Противодействие платёжному фроду на сети оператора связиDenis Gorchakov
Программно-аппаратный комплекс для работы с Android-вирусами, используемый в операторе связи. Помогает выявлять мошеннические схемы и выстраивать защиту абонентов на основе получаемых данных
Honeypot and sandbox for Android malware in CSP's network that helps to reveal and disclose fraud schemes, build subscriber protection based on its data and etc.
Vulnerabilities in SMS banking services, e.g. the lack of sender validation and others. Attack examples like social engineering. Possible solutions.
Presented at PHDays III.
Countering mobile malware in CSP’s network. Android honeypot as anti-fraud so...Denis Gorchakov
Honeypot is used for botnet analysis, traffic capturing and revealing C&C hostnames. It’s also used for detecting subscribers with infected devices and monitoring malware activities like funds withdrawal and remote control.
Противодействие вредоносному ПО для мобильных устройств на сети оператора свя...Denis Gorchakov
Комплекс предназначен для анализа поведения клиентов бот-сетей, осуществления перехвата пакетов от центров управления, а также для выявления заражённых абонентских станций и оперативного противодействия вредоносному программному обеспечению, используя инфраструктуру оператора сотовой связи. Основным назначением является автоматизация информационно-аналитической деятельности в бизнес-процессах, которая поможет оператору сотовой связи защитить сеть от угроз, вызванных бот-сетями и предоставить абоненту новую услугу по защите.
Противодействие вредоносному ПО для мобильных устройств на сети оператора свя...
Мошенничество в SMS-банкинге
1.
2. Мошенничество в SMS-банкинге
Денис Горчаков, Ольга Кочетова
Исследовательский центр
Positive Technologies
Positive Hack Days 2013
3. Что такое SMS-банкинг
― возможность проверять баланс и получать информацию о произведенных
транзакциях
― возможность совершать базовые операции:
• пополнение счета мобильного телефона
• оплата различных услуг
• перевод средств
• экстренная блокировка карты при утере
3
5. Отсутствие подтверждения операций или слабая
защита подтверждения
От: Василий
Кому: SMS-банк
SEND 100 89161234567
От: Мой банк
Платеж на номер 89161234567 на
100 рублей принят
От: Мой банк
Для подтверждения платежа
введите код 974365
От: Василий
Кому: SMS-банк
SEND 9999 89161234567
От: Мой банк
Для подтверждения платежа
необходимо указать последние 4
цифры Вашей карты
От: Василий
Кому: SMS-банк
SEND 9999 89161234567 0890
От: Мой банк
Платеж на номер 89161234567 на 9999
рублей принят
5
6. Сбор данных злоумышленником
― случайность: привязка к чужому номеру
• Минимальный вред – чтение чужой финансовой информации
• Максимальный вред – управление чужим счетом:
http://pravo.ru/news/view/83503/
• Последствия – уголовная и административная ответственность
― целенаправленный сбор данных:
• корзины для чеков у терминалов и банкоматов в людных местах
• продавцы магазинов – копия кассовой ленты
• сотрудники операторов связи:
http://www.securitylab.ru/news/377745.php
6
7. Эксплуатация
― Зная только номер:
• платеж на номер телефона (свой или подтвержденный)
банки уже озабочены: http://www.finsb.ru/map/novosti/view/?tx_ttnews[tt_news]=1428
• социальная инженерия
Вариация стандартной схемы с «ошибочным платежом на чужой номер», когда
имитируется сообщение об оплате от оператора/платежной системы.
• хулиганство, блокировка карты
Дополнительно:
― атаки на OTP (длительный срок действия)
― ненадежные методы проверки (по частичному номеру карты)
7
8. Злоумышленник Семен:
От: номер Василия
Кому: SMS-банк
SEND 500 89261234567
$$$
От: Оператор мобильной связи
Баланс лицевого счета Вашего телефона
пополнен на 500 рублей.
От: Семен
Кому: Василий
Братан, ошибся номером, кинь мне
бабки назад, будь другом!!1
От: Семен
Братан, ошибся номером, кинь мне бабки
назад, будь другом!!1
SMS-шлюз
От: SMS-банк
Василий Петрович, с Вашей карты списано
500 рублей на пополнение счета телефона
REAL
REAL
От: SMS-банк
Ошибочное списание средств с Вашей карты
отменено. Средства будут возвращены на
карту в установленный срок
FAKE
От: номер SMS-банка
Кому: Василий
Ошибочное списание средств с Вашей
карты отменено. Средства будут
возвращены на карту в установленный
срок
SMS-шлюз
Социальная инженерия
8
9. Злоумышленник Семен:
От: номер Василия
Кому: SMS-банк
SEND 3000 89261234567
$$$
От: Оператор мобильной связи
Баланс лицевого счета Вашего телефона
пополнен на 3000 рублей.
SMS-шлюз
От: SMS-банк
Василий Петрович, с Вашей карты списано
3000 рублей на пополнение счета
телефона
REAL
REAL
От: Служба безопасности банка
Зафиксирована ошибочная операция по
Вашей карте. Для немедленной отмены
операции отправьте на номер службы
безопасности 9900 команду отмены:
CANCEL 79161235476
FAKE
От: «Служба безопасности банка»
Кому: Василий
Зафиксирована ошибочная операция
по Вашей карте. Для немедленной
отмены операции отправьте на номер
службы безопасности 9900 команду
отмены:
CANCEL 79161235476
SMS-шлюз
Электронный кошелек
SMS-агрегатор
Социальная инженерия в.2
9
10. Злоумышленник Семен:
От: номер Василия
Кому: SMS-банк
SEND CUTEKITTENS 99999
От: SMS-банк
Василий Петрович, спасибо!
Ваше пожертвование в фонд
поддержки котят в размере
99999 рублей принято!
Спасибо!
SMS-шлюз
… разумеется, и не только это, ведь злоумышленники уже в курсе,
информация есть на общедоступных ресурсах:
1. http://www.banki.ru/forum/index.php?PAGE_NAME=read&FID=34&TID=154788
2. http://www.banki.ru/forum/index.php?PAGE_NAME=read&FID=34&TID=154785
Хулиганство
10
11. Проверки
― без проверки (только по номеру отправителя):
― просто и удобно, но небезопасно;
― проверка по 4 цифрам карты: ненадежно;
― проверка по одноразовому коду: лучше, но есть нюансы в безопасности;
― правильные банки: помимо ОТР - проверка IMSI*, привязка IMSI к номеру
счета;
* IMSI (International Mobile Subscriber Identity) — международный идентификатор мобильного
абонента (индивидуальный номер абонента), ассоциированный с каждым пользователем
мобильной связи стандарта GSM, UMTS или CDMA. При регистрации в сети аппарат абонента
передаёт IMSI, по которому происходит его идентификация.
Номер «зашит» на SIM-карте пользователя.
11
12. Злоумышленник Семен:
От: номер Василия
Кому: SMS-банк
SEND CUTEKITTENS 99999 0890
SMS-шлюз
Проверка IMSI
отправителя
I. (привязан к счету) ОТКАЗ
II.
Как правильно?
От: SMS-банк
Подтвердите операцию, отправив
код 754387 ответом на это
сообщение
ОТКАЗ
WTF?
12
13. Другие векторы?
• GSM-сигнализации с паролями по умолчанию
• «умные дома» - таргетированные атаки
Как защититься пользователю?
• не отключать OTP и оповещения на операции по
карте
• внимательность и бдительность
• использовать банк-клиент для смартфона
13
14. Конец рассказа
Спасибо за внимание
Денис Горчаков, Ольга Кочетова
Исследовательский центр
Positive Technologies
dgorchakov@ptsecurity.ru, okochetova@ptsecurity.ru
Editor's Notes
Человек приобретает контракт у оператора сотовой связи.
Человек открывает счет в банке и привязывает услугу «SMS-банк» к номеру телефона
Человек расторгает договор с оператором сотовой связи, оставив привязки различных сервисов к данному номеру, в том числе и банковский счет.
По прошествии определенного времени оператор заново выставляет данный номер на продажу.
Новый владелец номера начинает получать SMS-уведомления о состоянии счета, в том числе и получает доступ к управлению счетом.
Вариант 1. Для одобрения платежа достаточно, чтобы команда была отправлена с номера, привязанного к счету карты.
Вариант 2. Для одобрения платежа достаточно, чтобы команда и последние 4 цифры карты были отправлены с номера, привязанного к счету карты.
Допустим, что злоумышленник точно знает, что владелец определенного номера телефона пользуется услугой «SMS-банк»
Злоумышленник имитирует номер владельца карты (например, через собственный шлюз) и отправляет на номер SMS-банка сообщение с командой на пополнение счета телефона с данной карты (операция не требует авторизации).
Банк переводит средства на счет владельца карты и оповещает его об этом (как и оператор связи)
Владелец телефона получает фальшивое сообщение, что ошибочное списание средств с карты отменено.
Злоумышленник отправляет сообщение, где пишет, что ошибся номером при платеже и просит вернуть оплаченное назад.
Владелец, не зная, что счет его телефона пополнен с его же карты, перечисляет злоумышленнику указанную сумму.
Допустим, что злоумышленник точно знает, что владелец определенного номера телефона пользуется услугой «SMS-банк»
Злоумышленник имитирует номер владельца карты (например, через собственный шлюз) и отправляет на номер SMS-банка сообщение с командой на пополнение счета телефона с данной карты (операция не требует авторизации).
Банк переводит средства на счет владельца карты и оповещает его об этом (как и оператор связи)
Владелец телефона получает фальшивое сообщение, что ошибочное списание средств с карты отменено.
Злоумышленник отправляет сообщение, где пишет, что ошибся номером при платеже и просит вернуть оплаченное назад.
Владелец, не зная, что счет его телефона пополнен с его же карты, перечисляет злоумышленнику указанную сумму.
Обладая информацией о 4 последних цифрах карты, можно проделывать операции с большими суммами.
Например, перечислить средства в благотворительный фонд.