К списку форумов К списку тем
Регистрация    Правила    Главная форума    Поиск   
Имя: Пароль:
Рекомендовать в новости

Очередная дыра в безопасности МегаФона

0 - 05.05.2013 - 11:16
Очередная дыра в безопасности МегаФона
http://habrahabr.ru/post/175939/
А вот как у человека украли все деньги с банковских счетов и вкладов с помощью МегаФона
http://www.banki.ru/services/respons...onseID=4867553

Причем подобное может коснуться и любого другого банка, потому что во многих банках подтверждение платежей и переводов через Интернет-банк осуществляется подтверждением операции разовым смс-паролем. А тут у мегафона переадресация смс, да еще и сколько хочешь можно подбирать пароль тысячи раз, нет никаких блокировок.

Жаль Ремотыча нет, он бы сейчас расписал что почем :)



Гость
1 - 05.05.2013 - 12:26
это уже не новость и уже вроде как все исправили
2 - 05.05.2013 - 14:54
На банки.ру отзыв от 5мая по этому поводу, а для Вас это не новость? ;)
Гость
3 - 05.05.2013 - 17:47
История на банки ру ужасна, не спорю.А вообще о проблемах с UMS мегафона начали писать с начала апреля. И, если я не ошибаюсь, мегафонцы отчитывались о том, что, мол, опасность миновала.
4 - 05.05.2013 - 18:03
3-O_o > как видим не миновала. На банки.ру деньги клиенту возвращены в полном объеме, в рабочие дни вклады будут восстановлены (сбербанку бы так работать) :)

Касательно мегафона, очень многие банки дают совершать операции с подтверждением операции разовым смс паролем на мобильный клиента. Смс служит заменой цифровой подписи, по мимо ввода логина и пароля от интернет банка. Так работают банки сбербанк, альфа банк, русский стандарт банк, ткс банк и другие.

У ткс банка, русский стандарт банка например при отсылке разового смс пароля происходит проверка имси симкарты (грубо говоря на клон симки пароль не придет, после замены симки с сохранением номера пароль не придет).

Что было в вышеописанном случае? Мегафон предоставил банку имси симкарты клиента банка, а смску доставил на другую симкарту мошеннику с помощью переадресации смс. Подстава!!

Операторы прекрасно знают об этом, поэтому если уж хочешь ввести инновационную услугу аля переадресация смс, то подключатся такая услуга должна только путем смс или юсд запроса с самой симкарты, но никак не через интернет да еще с возможностью подбора пароля неограниченное количество раз!!! И не помешало бы при переадресации смс сообщать банку другой имси симкарты, а не той с которой идет переадресация смс. Хотя последняя ситуация далеко не выход, многие банки не проверяют имси симкарты.

Кстати, именно мегафон часто передает неверный имси симкарты, поэтому для этого дела лучше использовать номер другого мобильного оператора.
5 - 05.05.2013 - 20:52
Имея доступ к смс невозможно узнать пароль и имя к интернет банку.
Так что чел с банки.ру словил трояна или кейлогер, или сам засветил где-то.
Ну и плюсик банку, что вернул деньги.
6 - 05.05.2013 - 22:08
(5) Ты, похоже, плохо читал обсуждение: "имя к интернет банку" - это просто номер карты, информация не закрытая. И да, перехватив СМС нельзя узнать пароль ТКС, но можно сгенерировать новый, который тебе (злоумышленнику) уже будет известен.
7 - 05.05.2013 - 22:56
5-fuunky > логин и пароль от инет банка, а так же от мегафоновского сервис гида не так тяжело троянчиком перехватить.
А вот разовые смс-пароли никак, на то они и разовые и каждый раз в смс приходят.

6 - это немного дырка у ТКС, хотя номер карты это не открытая инфа, им тоже светить не надо. При покупках в магазинах в чеках он скрывается звездочками. Так же в некоторых интернет-магазинах для оплаты достаточно ввести только номер карты и срок без cvv кода на обороте карты и без 3ds пароля если банк поддерживает. Другое дело что операции, подтвержденные смс паролем обычно не оспариваются, а то что у меги такая дыра это проблема клиента. Сбербанк в аналогичных случаях деньги не возвращает, начитался достаточно отзывов. Клиент сам виноват что не уследил за своим телефоном.
8 - 05.05.2013 - 23:05
Ткачик
6 - Сегодня - 23:08

Читал, согласен, что номер карты - информация не закрытая, но из СМС узнать номер карты также невозможно.
Посыл статьи в том, что методом перебора можно взломать сервис гид и читать смс.
Допустим, хакер из Москвы взломал сервис гид и читает СМС чела из Краснодара. Он видит, что приходят СМС из банка и решает поживиться. Вопрос - как он узнает номер карты? А никак. Т.к он в Москве, а чел в Краснодаре.
Допустим, кто-то подсмотрел номер карты. Вопрос - как он узнает какой номер телефона привязан в интернет банку? А никак.
Поэтому чел словил где-то трояна, и ему повезло, что банк возместил потери.
Прочитай на том же банки.ру как уводят деньги из сбера, а вот там гемора с возвратом намного больше.
Так что банку за возврат плюс.
9 - 05.05.2013 - 23:28
Ткачик
6 - Вчера - 23:08

Номер карты и привязанный к интернет банку телефон может узнать только человек из ближнего круга. И такой вариант тоже возможен, о чем и писал чел с банки.ру, подозревая одного знакомого.
10 - 05.05.2013 - 23:31
8-fuunky > получив доступ к ИБ можно в шаблонах платежей, или в последних платежах на сотовый найти номер телефона ;)

У сбербанка вообще получив доступ к смс (снова мегафону привет) можно вывести деньги со всех счетов клиента, даже со сберкнижек!
Так же получив хоть одну карту клиента, какую нить визу электрон можно в банкомате получить логин и пароль от инет банка и разовые пароли заменяющие смс там же в банкомате. Так у пенсионеров забирают деньги со сберкнижек и прочее оформляя им пенсионную социальную карточку, на которой ноль. Так что будьте бдительны.

Возвращаясь к ТКС, у них в иб логин это не номер карты, а любое слово. Просто зарегестрировать новый логин и пароль можно зная номер карты или номер договора, а так же подтвердив разовым паролем из смс.
И все таки номер карты это закрытая информация. Другое дело что некоторые банки не соблюдают правила безопасности, как например у втб24 при пополнении карты межбанком в назначении платежа надо вводить полный номер карты. Это неправильно, если я подберу срок карты (у того же втб карты на два года дают) то уже можно купить в инет-магазине товар за счет того картодержателя. Но зато втб24 не пользуется разовыми смс паролями, а выдают карточку с временными паролями вместо смс. Так же уралсиб.
А такие банки как Авангард к инет банку выдают на флешке ЭЦП электронно цифрвую подпись, другой разговор. Я кстати по уровню безопасности лучше Авангарда не встречал.

Возвращаясь к теме, крайне нежелательно сочетать сбербанк и мегафон, дырявее безопасность не придумать.
11 - 05.05.2013 - 23:57
Andrej
10 - Сегодня - 00:31

Так чтоб получить доступ в ИБ ТКС банка, нужно знать и номер карты и номер телефона.

Про сбербанк в курсе, на банкиру есть история, где с карты с лимитом в 100 тыс сняли около милииона. Как??

В втб24 тоже есть ЭЦП, сроком на два года, потом опять надо генерить новый и ехать в офис подписывать. Подтверждение в инетбанке двойное - ЭЦП и карта кодов.

В Авангарде да, есть и ЭЦП и коды и смс, в зависимости от суммы.

В Номосе есть криптокалькулятор, тоже нормально.
12 - 06.05.2013 - 00:10
11-fuunky > нужно знать номер карты или номер договора. Что то одно. Ну и номер телефона. Закинув троян в комп это видно, например с какого номера человек заходил в сервис гид, мало вероятно что он не по своему номеру это смотрит. Номер договора вообще много где светится при пополнении карты.

В номосе криптокалькулятор можно обойти украв постоянный пароль.

А в втб24 пароль 3ds постоянный!!!! Никакие эцп, карты временных паролей не помогут!!! К тому же по правилам платежных систем мастеркард и виза операции подтвержденные паролем 3дс НЕ ПОДЛЕЖАТ оспариванию. У нормальных банков пароль 3дс разовый и в большинстве случаев так же приходит в смс (и снова абонентам мегафон надо быть теперь бдительными). Но постоянный 3ds пароль это убийство.

А вот Авангард действительно хорошо позаботились о безопасности, есть чип, управление лимитами на снятие нала/операции в инете/покупки, есть 3дс с временными паролями, есть ЭЦП, и даже есть карты с экраном генерации паролей прям на самой карте :-)
13 - 06.05.2013 - 02:10
Andrej
12 - Сегодня - 01:10

Если пользователь позволил поселиться трояну на компе, то по моему мнения тут больше вина пользователя, чем банка или мегафона.

Украть пароль возможно, только если пропустить трояна или кейлогера.

Можно заказать отдельную карту для покупок в инете, и закидывать нужную сумму только перед покупкой через инетбанк.

Да, Авангард мне тоже нравиться.

Ткс тоже нормальный. Карта дебетовая бесплатная, если есть вклад. Можно заказывать допки, можно включать и отключать услугу покупки в интернете бесплатно, есть смс информирование, есть лимиты на покупки, на снятие наличности, есть кешбек 1% на все покупки, а на май, июнь, июль 5% кешбек на топливо. Причем кешбек не баллами, а деньгами. На остаток на карте идет доход 10% годовых.
14 - 06.05.2013 - 02:50
13-fuunky > любой даже хороший антивирус может пропустить трояна. Потому что по сути это программа, не интеллект. Сначала появляются новые вирусы, и только потом обновления на антивирус, распознающие эти новые вирусы.
Вина банка есть, служба безопасности проспала, ведь подозрительно если заюираются все вклады досрочно резко и затем переводится вся сумма третьим лицам.
Вина мегафона тоже есть, потому что при включении переадресации смс через инет на сам этот номер даже не приходит смс-уведомления о том что включена переадресация смс.
Гость
15 - 06.05.2013 - 12:15
Цитата:
Сообщение от Andrej Посмотреть сообщение
У сбербанка вообще получив доступ к смс (снова мегафону привет) можно вывести деньги со всех счетов клиента, даже со сберкнижек!
Клиентам Сбера советую вообще отказаться от пользования системами самообслуживания и смс-сервисами Мегафона на компе, сменив пароль доступа в СГ с телефона. Жестко конечно, а как еще себя обезопасить? От трояна, как было замечено выше, 100% защиты не даст ни один антивирус. Отказаться от смс паролей, перейдя на разовые чековые - тоже не вариант, так как у Сбера лимит транзакции по таким паролям не превышает 3000 руб, а часто необходимо совершать платежи на гораздо большие суммы.
Гость
16 - 06.05.2013 - 13:59
"Клиентам Сбера советую вообще отказаться от пользования системами самообслуживания и смс-сервисами Мегафона на компе"

И на улицу не выходить! :)
Гость
17 - 06.05.2013 - 14:02
Цитата:
Сообщение от Andrej Посмотреть сообщение
У сбербанка вообще получив доступ к смс (снова мегафону привет) можно вывести деньги со всех счетов клиента, даже со сберкнижек!
Это каким таким боком? 1. Как ты узнаешь логин для сб-онлайн? 2. Как ты отправишь смс на короткий номер?
B2
18 - 06.05.2013 - 18:33
На "банках" сегодня появилась ещё одна аналогичная история
http://www.banki.ru/services/respons...onseID=4871023
Гость
19 - 06.05.2013 - 18:40
Цитата:
Сообщение от 928 Посмотреть сообщение
Это каким таким боком? 1. Как ты узнаешь логин для сб-онлайн?
Шпионское ПО.

Цитата:
Сообщение от 928 Посмотреть сообщение
2. Как ты отправишь смс на короткий номер?
Это зачем? Вы в курсе, как сберовский онлайн-сервис пашет? Достаточно настроить переадресацию входящих СМС, чтобы получать разовые пароли для подтверждения транзакций. Собственно, все.
20 - 06.05.2013 - 23:13
17-928 > вот пример, даже без участия дырявого мегафона, причем сбербанк категорически отказывает в возврате
Видео
http://www.banki.ru/news/video/?id=4812599

Подобных случаев я могу найти кучу только по одному сбербанку на суммы потерь от 5тыс до нескольких миллионов.
21 - 06.05.2013 - 23:40
Украли 24тыс с карты сбера http://www.banki.ru/forum/?PAGE_NAME...=61&TID=142575
Кража 97500р с карты сбера http://www.banki.ru/forum/index.php?...=61&TID=169353
Сняли деньги с двух карт сбера http://www.banki.ru/forum/?PAGE_NAME...=61&TID=166812
Кража денег через сбербанк онлайн http://www.banki.ru/forum/index.php?...6118&PAGEN_1=1
Получив доступ к одной карте сбера, даже неправомерной через онлайн сервисы вычищаются деньги с других карт и счетов http://www.banki.ru/forum/index.php?...=61&TID=161487
22 - 06.05.2013 - 23:47
Как обманывают пенсионеров и как в сбере через онлайн сервисы деньги исчезают даже со сберкнижек http://www.banki.ru/forum/index.php?...4448&PAGEN_1=1
Гость
23 - 07.05.2013 - 11:48
19-Прапор28 > "Шпионское ПО." тогда это уже не только "получив доступ к смс" это еще и вирусную сеть надо иметь :)

"Вы в курсе, как сберовский онлайн-сервис пашет?"
а про номер 900 и мобильный банк вы не знаете? Есть как минимум два способа угнать деньги, поэтому и вопроса два было - или через интернет (но тогда не достаточно доступа к смс) или через номер 900, но получив переадресацию смс, нельзя отправлять смс на короткие.
Гость
24 - 07.05.2013 - 11:52
20-Andrej > Отстается вопрос - причем тут Мегафон и доступ к смс? Гораздо большая вероятность на ридер в банкомате нарваться.

А имеея клон карты получается и пароль и логин и даже мобильный банк можно подключить на ВТОРОЙ номер.
25 - 07.05.2013 - 16:39
24-928 > такое только в сбере встречал ;)
Представляете, попали на клон карты, на которой лежит пару тысяч, а для держателя клона открывается возможность с вклада или сберкнижки клиента вытащить лимончик или другой. В других банках в этом случае максимум пару тысяч с самого клона карты уведут и все.

Мегафон тут непричем, но если дырку сбербанка украсить еще дыркой мегафона, то юудет вообще атас ;) Хотя на банках вроде пишут что мегафон устранил эту дыру...дай бог.

Кстати, у мтс в москве тоже есть переадресация смс, но в отличаи от меги они продумали этот момент, переадресуются смс только от других мобильных операторов московского региона, смс от коротких номеров, от буквенно-символьных отправителей и сервисов мтс НЕ переадремуются ;)
Гость
26 - 07.05.2013 - 17:02
Цитата:
Сообщение от Andrej Посмотреть сообщение
Хотя на банках вроде пишут что мегафон устранил эту дыру...
Вроде только капчу прикрутили к СГ и UMS. Ну а толку от нее, если данные пользователя были украдены трояном?
27 - 07.05.2013 - 17:08
26-Прапор28 > вот ответ представителя ТКС Банка http://www.banki.ru/forum/index.php?...message2081566
Там все и без трояна все обходилось, не исключено.
Гость
28 - 08.05.2013 - 08:09
25-Andrej > да нету и не было у Мегафона никакой дырки. Откуда Вы её взяли?
Гость
29 - 08.05.2013 - 08:15
27-Andrej > на банках представитель ТКС несет откровенную чушь :)
Вот это особо фееричное заявление: "Пароль к Сервис-Гиду и UMS не брутфорсится, ибо защищен капчей." :)
30 - 08.05.2013 - 11:00
28-928 > возможно шалил только московский филиал мегафона, если Вы так уверенны что не было дырки.
29-928 > у меня лично при замене сим от банка приходила смс не с паролем как обычно, а с текстом типа ваша симкарта не прошла проверку. Банк не ТКС, оператор не мегафон.
Гость
31 - 09.05.2013 - 12:54
а что у билайна такая же проблемка с переадресацией смс?
32 - 09.05.2013 - 13:37
Вроде у билайна нет такой услуги как смс переадресация, но не уверен.
А вот у мтс пока только в Москве и переадресовываются только смс от операторов, с коротких номеров, от банков и сервисов мтс НЕ переадресовываются
33 - 11.05.2013 - 22:33
Цитата:
Сообщение от 928 Посмотреть сообщение
да нету и не было у Мегафона никакой дырки. Откуда Вы её взяли?
Оттуда откуда сам МФ её официально признал.
Правда только после статьи в мобайл ревью, а так да - как и обычно лепил абонен ам всякую левую щалепуху.
Читаем статью и оф.ответ зелёных под ней.
http://www.mobile-review.com/article...podpiski.shtml
34 - 11.05.2013 - 23:12
33-джигит >спасибо за статью.
Два уважаемых портала банки.ру и мобайл-ревью врать не будут.
35 - 12.05.2013 - 12:32
...московский сервис-гид, еси чо:
Гость
36 - 13.05.2013 - 14:41
33-джигит > Ну читайте же то, что написано, а не то, что хочется. Нет там никакого признания никаких дыр. Написано, что пароли подобрали, а каким способом-то? Я сильно подозреваю, что у очень многих абонентов пароль подберется даже с 3 попыток. Но это не означает, что есть дыра.
Гость
37 - 13.05.2013 - 14:51
34-Andrej > и что показательно, на этих увожаемых порталах опять одни лишь догадки и предположения: "Поэтому я предположил либо все-таки кражу паролей трояном, либо подбор пароля через вход на портал UMS. Капчи там не предусмотрено, что сильно облегчает «автоматизацию» подбора пароля к номеру. Или, что вероятнее, подбор телефонного номера к определенному паролю. Мошеннику ведь всё равно, с какими номерами телефонов «работать», а простые пароли вида 123456 используют тысячи, если не десятки-сотни тысяч абонентов."
38 - 13.05.2013 - 15:04
Цитата:
Сообщение от 928 Посмотреть сообщение
Написано, что пароли подобрали, а каким способом-то?
Ещё раз, на это раз внимательно, перечитай ответ МФ.
По ссылке в 33 посту.

Дело не в простоте пароля. А в неограниченном кол-ве попыток его подбора к порталу UMS (не было даже элементарной капчи). Который в свою очередь связан с лич.кабинетом абонента.
Организовать подбор пароля программными средствами по зубам даже весьма посредственному программеру.
Гость
39 - 14.05.2013 - 05:16
статья по теме
http://www.mobile-review.com/article...-fraud-3.shtml


К списку вопросов
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск




Copyright ©, Все права защищены