Химич Роман (totaltelecom) wrote,
Химич Роман
totaltelecom

Имя, сестра! Как мошенники воруют по SMS и при чем здесь Monobank

Liga тиснула материал, посвящённый проблеме безопасности финансовых сервисов, в том числе Монобанка. Материал основан на моих комментариях, посему сделаю несколько пояснений.

Когда я говорю, что "наиболее надежным инструментом безопасности признаны физические ключи, использующие специализированные микросхемы", речь идёт об устройствах
такого рода. Воспроизвести (эмулировать) наличие такого ключа невозможно, если, конечно, при его проектировании и/или изготовлении не было допущено грубых ошибок.

Перехватить сгенерированный им ответ на запросы сервера аутентификации того же банка можно, но это ничего не даст, ибо запрос одноразовый и не может быть использован повторно. Иными словами, наличие физического, не-цифрового объекта, обладающего уникальными свойствами, отсекает абсолютное большинство возможных атак. IMEI и прочие уникальные ЦИФРОВЫЕ (выделено мною) идентификаторы, разного рода сессионные ключи и т.п.цифровые сущности могут быть перехвачены, например, трояном, внедрить который на телефон жертвы - вполне решаемая задача.

В своих комментариях я привёл один из наиболее простых приёмов такой атаки - использование SMS с адресом отправителя, который ассоциируется у жертвы с её банком (т.е. доверенным лицом). Судя по комментариям операторских пресс-служб, эта возможность вроде бы устранена: "Для того чтобы отправлять SMS от так называемого альфанумерического имени (до 11 символов, которые получатель видит в поле “отправитель”. - Авт.), абонент должен обслуживаться на контрактной основе и подписать определенное соглашение. Например, в пресс-службе lifecell говорят, что для рассылки массовых сообщений бизнес-клиентам необходимо заключить с компанией коммерческий договор на услугу Массовые SMS. И предоставить регистрационные данные своей компании, что уже частично нивелирует анонимность".

В этом месте у меня вопрос на понимание к автору статьи, да и операторским компаниям тоже. Вопрос такой: одним из источников СМС с альфанумерическими именами в сетях украинских операторов являются специализированные сервисы, расположенные за рубежом. Т.е. такие СМС приходят в сеть украинских операторов из-за рубежа.

Надо ли понимать приведенные Евгением сведения таким образом, что украинские операторы НЕ ПРОПУСКАЮТ на свои сети такого рода СМС из-за рубежа? У них ведь нет возможности выяснить, кто именно такие сообщения сгенерировал на сети какого-нибудь сенегальского или латвийского оператора.

Чтобы сделать невозможным отправку украинским абонентам фальсифицированных СМС с поддельными альфанумерическими именами необходимо а) блокировать любые такие сообщения, присылаемые с зарубженых сетей и б) контролировать их отправителей в Украине. Мне про а) ничего не известно.  Подводя итог рискну озвучить мнение, что построение вызывающей доверие (с точки безопасности) ИТ-системы невозможно без практики т.н. Bug Bounty, т.е. вознаграждений сторонним специалистам, т.н. "белым хакерам", за найденные ими уязвимости. Чем больше премия, тем больше пытливых экспериментаторов, тем выше шанс оперативного распознавания недоработок и недосмотров штатных специалистов.  По-настоящему крутая (с амбициями) компания должна предлагать впечатляющее вознаграждение. Только так она может обосновать свои утверждения о неуязвимости собственных ИТ-систем. Как это выглядит, можно прочитать в свежем материале АИН

Аналогичная программа давненько работает у Приватбанка  Правда, размер выплат не впечатляет: "В 2017 году ПриватБанк выплатил 512 тысяч гривен вознаграждения самым активным «взломщикам» его электронных сервисов, которые помогают устранить потенциальные уязвимости электронных систем. Как сообщили в банке, за минувший год премии получили 127 «белых» хакеров".  А пока что мерзавцы продолжают терзать добрых граждан и, к сожалению, успешно. Насколько понимаю, в данном случае пострадавшая использовала предоплаченную форму связи и не зарегистрировала свою карточку у оператора.  Поэтому, кстати, я считаю ОБЯЗАТЕЛЬНЫМ для банковских и прочих финансовых учереждений использовать ТОЛЬКО контрактные и зарегистрированные номера предоплаченных услуг. Для этого, естественно, необходимо взаимодействовать с операторами связи. Платить им деньги, да. P.S. Обсуждение темы в ФБ.



P.S. Мой блог переехал по адресу totaltelecom.dreamwidth.org

Исходная запись доступна по адресу https://totaltelecom.dreamwidth.org/550742.html Вы можете комментировать её там, используя OpenID, т.е. ваши действующие логин и пароль ЖЖ.
Tags: customer satisfaction, мобильная связь
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments