SlideShare a Scribd company logo
СМС – «золотой» стандарт
двухфакторной аутентификации.
Актуальные проблемы
Юнусов Тимур
Старший эксперт,
руководитель отдела безопасности банковских систем
Positive Technologies
Кто
О нас:
―Десятки аудитов и работ по анализу
защищенности банковских продуктов ежегодно
―Постоянное желание увеличивать свою
компетенцию
―Ежегодная статистика
Обо мне:
―НЕ блондинка
―Почти 6 лет в Application Security
―2 года анализа защищенности банковских
приложений
Почему
―Потери от мошенничества в банках
растут ежегодно (26% в 2015г)
• Атаки на пользователей
• Атаки на банки
Почему
―Потери от мошенничества в банках
растут ежегодно (26% в 2015г)
• Атаки на пользователей
• Атаки на банки
• Атаки на пользователей через проблемы
банков
Двухфакторная аутентификация
Знаю (пароль), обладаю (устройство):
―Одноразовые пароли (СМС, генераторы
OTP, чеки)
―Криптоподпись операций (токены,
клиентские сертификаты)
―Остальное (голосовая аутентификация,
кодовое слово и т.д.)
Двухфакторная аутентификация
Двухфакторная аутентификация
Мобильный банк?
Требования к одноразовому паролю
―3 попытки на пароль
―Временное блокирование
―Длина – тоже мера!
ДА в банковских продуктах для физлиц
―Одноразовые пароли в СМС
• Вход в систему
• Критичные операции
• Финансовые операции
Что может пойти не так?
Проблемы
―Проблемы на стороне банка
―Проблемы на устройстве
―Проблемы в канале
―Проблемы на стороне клиента в банке
Проблемы на стороне банка
―Бизнес-логика / Логика?
―Атаки на ГПСЧ
―Другие методы
Бизнес-логика
―Пример 1
Бизнес-логика
―Пример 2
Бизнес-логика
―Пример 3
POST /templates/ HTTP/1.1
Host: mobilehost
fields_object={
"account_" : "34909312",
"amount" : "150.00",
"debitid" : "2476178"
}
Бизнес-логика
―Пример 3
fields_object={
"account_" : "34909312",
"amount" : "150.00",
"debitid" : "2476178"
}
Бизнес-логика
―Пример 4
POST /activate/ HTTP/1.1
Host: mobilehost
otp_code=27291&transaction_id=********
POST /activate/ HTTP/1.1
Host: mobilehost
otp_code=27291&transaction_id=********
POST /activate/ HTTP/1.1
Host: mobilehost
otp_code=27291&transaction_id=********
POST /activate/ HTTP/1.1
Host: mobilehost
otp_code=27291&transaction_id=********
Бизнес-логика
―Пример 5
POST /activate/ HTTP/1.1
Host: mobilehost
transaction_id=********
POST /activate/ HTTP/1.1
Host: mobilehost
transaction_id=********
POST /activate/ HTTP/1.1
Host: mobilehost
transaction_id=********
POST /activate/ HTTP/1.1
Host: mobilehost
transaction_id=********
POST /activate/ HTTP/1.1
Host: mobilehost
otp_code=27291
Бизнес-логика
―Пример 6
POST /activate/ HTTP/1.1
Cookie: {EMPTY}
Host: otherhost.bankhost
otp_code=27291
HTTP/1.0 301 Moved Permanently
Location: https://bankhost/auth/?login=ivanov
Бизнес-логика
―Пример 7
• 3 попытки на пароль
• Временное блокирование
12345; 12346; 12347
ГПСЧ
―Java: Java.util.Random(), Math.random(),
java.security.SecureRandom();
―Windows: LCG
Другие методы
―SQLi
―XXE/SSRF
• XXE+WebLogic admin
―Remote Code Injection/Execution
Проблемы на стороне клиента в банке
―Атаки на клиентов:
• Clickjacking/UI redress
—X-Frame-Options (27%-33%)
• XSS (36%)
(Бес)Полезные смс
Проблемы в канале
―Интернет
• Заголовок HSTS (36%-38%)
―2G/3G/LTE
Мобильный интернет
―Перехват радиосигнала+Kraken
―FakeBTS
―Клонирование SIM
―Перевыпуск SIM
―Атаки на SS7 http://bit.ly/1mHgZ9j
―Недостатки СМС/USSD
http://bit.ly/1QIvMJ9
Проблемы на устройстве
―Банковская мобильная малварь
• Q3/2015 = 4 * Q2/2015
―Jailbreak detection
―Недостатки мобильных приложений
Проблемы на устройстве
―Банковская мобильная малварь
• Q3/2015 = 4 * Q2/2015
―Jailbreak detection
―Недостатки мобильных приложений
Проблемы на устройстве
―Пример 1
• BroadcastReceiver
Проблемы на устройстве
―Пример 2
• SIM Applications spoofing/intercepting
Статистика 2015
―27% проектов не содержали
уязвимостей
―36% содержали XSS, которые помогали
злоумышленникам в фишинговых атаках
и обходе механизмов ДА
―54% проектов некорректно
реализовывали механизмы ДА, что
позволяло их обходить тем или иным
способом.
Решения
―Взаимодействие с операторами
• IMSI
―Корректная реализация алгоритма на
сервере и мобильном клиенте
―Защита периметра
―Обучение клиентов и сотрудников
―Антифрод
Решения
Спасибо!
Вопросы?
@a66at
https://uk.linkedin.com/in/tyunusov
tyunusov@ptsecurity.com

More Related Content

Similar to СМС – «золотой» стандарт двухфакторной аутентификации. Актуальные проблемы

Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка  Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Expolink
 
Константин Червяков и Иван Спиридонов, Ringostat&Mixdata — «Построение сквозн...
Константин Червяков и Иван Спиридонов, Ringostat&Mixdata — «Построение сквозн...Константин Червяков и Иван Спиридонов, Ringostat&Mixdata — «Построение сквозн...
Константин Червяков и Иван Спиридонов, Ringostat&Mixdata — «Построение сквозн...
shevchuk_conf
 
Mythbusters - Web Application Security
Mythbusters - Web Application SecurityMythbusters - Web Application Security
Mythbusters - Web Application Security
Mikhail Shcherbakov
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
 
Удаленный мониторинг работы промоутеров
Удаленный мониторинг работы промоутеровУдаленный мониторинг работы промоутеров
Удаленный мониторинг работы промоутеров
Bulakhov Andrey
 
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
Mail.ru Group
 
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistem
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistemObespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistem
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistem
E-Money News
 
Finovate solutions (rus)
Finovate solutions (rus)Finovate solutions (rus)
Finovate solutions (rus)
Inna Rumiantseva
 
ATM Security Taining Moscow
ATM Security Taining MoscowATM Security Taining Moscow
ATM Security Taining Moscow
SafenSoft
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомА. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
Expolink
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомА. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
Expolink
 
SafeTech. Денис Калемберг. "Компоненты «топлива» для дистанционных сервисов: ...
SafeTech. Денис Калемберг. "Компоненты «топлива» для дистанционных сервисов: ...SafeTech. Денис Калемберг. "Компоненты «топлива» для дистанционных сервисов: ...
SafeTech. Денис Калемберг. "Компоненты «топлива» для дистанционных сервисов: ...
Expolink
 
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банкаДенис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Expolink
 
Внедрение Roistat
Внедрение RoistatВнедрение Roistat
Внедрение Roistat
Жуков и Архангельский
 
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банка
Aleksey Lukatskiy
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
uisgslide
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
uisgslide
 
Опыт совместной работы хостера (Webzilla) и клиента (CityADS) над достижением...
Опыт совместной работы хостера (Webzilla) и клиента (CityADS) над достижением...Опыт совместной работы хостера (Webzilla) и клиента (CityADS) над достижением...
Опыт совместной работы хостера (Webzilla) и клиента (CityADS) над достижением...
Ontico
 
на пути к 100% аптайму - доклад с HighLoad 2015 совместно с Станиславом Осип...
на пути к 100% аптайму - доклад с HighLoad 2015 совместно с Станиславом Осип...на пути к 100% аптайму - доклад с HighLoad 2015 совместно с Станиславом Осип...
на пути к 100% аптайму - доклад с HighLoad 2015 совместно с Станиславом Осип...
Игорь Мызгин
 
Организация контакт центра на базе арендуемого программного решения
Организация контакт центра на базе арендуемого программного решенияОрганизация контакт центра на базе арендуемого программного решения
Организация контакт центра на базе арендуемого программного решения
Den Sokolov
 

Similar to СМС – «золотой» стандарт двухфакторной аутентификации. Актуальные проблемы (20)

Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка  Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
 
Константин Червяков и Иван Спиридонов, Ringostat&Mixdata — «Построение сквозн...
Константин Червяков и Иван Спиридонов, Ringostat&Mixdata — «Построение сквозн...Константин Червяков и Иван Спиридонов, Ringostat&Mixdata — «Построение сквозн...
Константин Червяков и Иван Спиридонов, Ringostat&Mixdata — «Построение сквозн...
 
Mythbusters - Web Application Security
Mythbusters - Web Application SecurityMythbusters - Web Application Security
Mythbusters - Web Application Security
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
 
Удаленный мониторинг работы промоутеров
Удаленный мониторинг работы промоутеровУдаленный мониторинг работы промоутеров
Удаленный мониторинг работы промоутеров
 
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
 
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistem
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistemObespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistem
Obespechenie bezopasnosti i nepreryvnosti raboty elektronnyh platejnyh sistem
 
Finovate solutions (rus)
Finovate solutions (rus)Finovate solutions (rus)
Finovate solutions (rus)
 
ATM Security Taining Moscow
ATM Security Taining MoscowATM Security Taining Moscow
ATM Security Taining Moscow
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомА. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомА. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
 
SafeTech. Денис Калемберг. "Компоненты «топлива» для дистанционных сервисов: ...
SafeTech. Денис Калемберг. "Компоненты «топлива» для дистанционных сервисов: ...SafeTech. Денис Калемберг. "Компоненты «топлива» для дистанционных сервисов: ...
SafeTech. Денис Калемберг. "Компоненты «топлива» для дистанционных сервисов: ...
 
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банкаДенис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
 
Внедрение Roistat
Внедрение RoistatВнедрение Roistat
Внедрение Roistat
 
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банка
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
 
Опыт совместной работы хостера (Webzilla) и клиента (CityADS) над достижением...
Опыт совместной работы хостера (Webzilla) и клиента (CityADS) над достижением...Опыт совместной работы хостера (Webzilla) и клиента (CityADS) над достижением...
Опыт совместной работы хостера (Webzilla) и клиента (CityADS) над достижением...
 
на пути к 100% аптайму - доклад с HighLoad 2015 совместно с Станиславом Осип...
на пути к 100% аптайму - доклад с HighLoad 2015 совместно с Станиславом Осип...на пути к 100% аптайму - доклад с HighLoad 2015 совместно с Станиславом Осип...
на пути к 100% аптайму - доклад с HighLoad 2015 совместно с Станиславом Осип...
 
Организация контакт центра на базе арендуемого программного решения
Организация контакт центра на базе арендуемого программного решенияОрганизация контакт центра на базе арендуемого программного решения
Организация контакт центра на базе арендуемого программного решения
 

More from Payment Village

How I opened a fake bank account and didn't go to prison
How I opened a fake bank account and didn't go to prisonHow I opened a fake bank account and didn't go to prison
How I opened a fake bank account and didn't go to prison
Payment Village
 
Unlocking Any Door In The 21st Century. Immersion In Biometric Security.
Unlocking Any Door In The 21st Century. Immersion In Biometric Security.Unlocking Any Door In The 21st Century. Immersion In Biometric Security.
Unlocking Any Door In The 21st Century. Immersion In Biometric Security.
Payment Village
 
Offensive Payment Security
Offensive Payment SecurityOffensive Payment Security
Offensive Payment Security
Payment Village
 
The white whales of fraud and where to find them
The white whales of fraud and where to find themThe white whales of fraud and where to find them
The white whales of fraud and where to find them
Payment Village
 
Breaking banks or saving them
Breaking banks or saving themBreaking banks or saving them
Breaking banks or saving them
Payment Village
 
Hack in Cash out OWASP London
Hack in Cash out OWASP LondonHack in Cash out OWASP London
Hack in Cash out OWASP London
Payment Village
 
Ради денег. Безопасность платежных терминалов
Ради денег. Безопасность платежных терминаловРади денег. Безопасность платежных терминалов
Ради денег. Безопасность платежных терминалов
Payment Village
 
Launch Impossible Current State of Application Control Bypasses on ATMs.
Launch Impossible Current State of Application Control Bypasses on ATMs.Launch Impossible Current State of Application Control Bypasses on ATMs.
Launch Impossible Current State of Application Control Bypasses on ATMs.
Payment Village
 

More from Payment Village (8)

How I opened a fake bank account and didn't go to prison
How I opened a fake bank account and didn't go to prisonHow I opened a fake bank account and didn't go to prison
How I opened a fake bank account and didn't go to prison
 
Unlocking Any Door In The 21st Century. Immersion In Biometric Security.
Unlocking Any Door In The 21st Century. Immersion In Biometric Security.Unlocking Any Door In The 21st Century. Immersion In Biometric Security.
Unlocking Any Door In The 21st Century. Immersion In Biometric Security.
 
Offensive Payment Security
Offensive Payment SecurityOffensive Payment Security
Offensive Payment Security
 
The white whales of fraud and where to find them
The white whales of fraud and where to find themThe white whales of fraud and where to find them
The white whales of fraud and where to find them
 
Breaking banks or saving them
Breaking banks or saving themBreaking banks or saving them
Breaking banks or saving them
 
Hack in Cash out OWASP London
Hack in Cash out OWASP LondonHack in Cash out OWASP London
Hack in Cash out OWASP London
 
Ради денег. Безопасность платежных терминалов
Ради денег. Безопасность платежных терминаловРади денег. Безопасность платежных терминалов
Ради денег. Безопасность платежных терминалов
 
Launch Impossible Current State of Application Control Bypasses on ATMs.
Launch Impossible Current State of Application Control Bypasses on ATMs.Launch Impossible Current State of Application Control Bypasses on ATMs.
Launch Impossible Current State of Application Control Bypasses on ATMs.
 

СМС – «золотой» стандарт двухфакторной аутентификации. Актуальные проблемы