Минусы использования СМС в системах ДБО

Тема в разделе "Электронный банкинг", создана пользователем AYDAN, 9 ноя 2017.

  1. AYDAN

    AYDAN Member

    День добрый.

    Уже не раз в обсуждениях использования СМС в различных системах дистанционного банковского обслуживания и их разновидностях были озвучены минусы подобного решения. В этой теме прошу высказаться всех по данному вопросу.

    Начну с одного очень серьёзного минуса, о котором я задумался давно, а другой человек на практике успешно подтвердил его реальность. Суть минуса такова - система ДБО одного из крупнейших банков не идентифицирует отправителя СМС.

    Сам протокол передачи СМС позволяет отправить СМС, подставив в качестве отправителя любоезначение. В Интернете множество сайтов, позволяющих отправить подобные СМС с подменой номера отправителя. А теперь подумайте, что произойдёт, если с подобного сервиса отправить СМС на номер системы ДБО и подставить в качестве отправителя номер реального клиента банка, подключенного к этой системе ДБО? Правильно, система обработает эту СМС как настоящую и выполнит указанные в ней действия. И если в системе не заложено подтверждение всехопераций одноразовыми кодами, то это огромная брешь в безопасности всей системы ДБО.

    Тему оставляю тут, но и к пластиковым картам она имеет непосредственное отношение, ведь для них тоже зачастую предлагают некие разновидности систем ДБО, в том числе и с возможностью управления счетами/картами через СМС. Представьте, что злоумышленник может заблокировать все ваши карты, отправив поддельную СМС. Каково вам?
     
  2. AYDAN

    AYDAN Member

    Цитата
    Хочу предупредить всех держателей карт Сбербанка, что придумал и только что опробовал методику, как снять деньги с любой карты Сбербанка любого человека без ведома владельца.

    Делается это через услугу "мобильный банк Сбербанка".
    Достаточно отправить СМС на телефон +79262000900 (полный аналог короткого номера 900) с суммой, а в качестве номера отправителя СМС подставить мобильный номер владельца карты. Только что снял 100 рублей с карты друга, с его согласия, конечно, в качестве эксперимента.

    А отправить СМС с подменой номера отправителя - элементарно. Поиском нашел в Яндексе около тысячи разных сайтов по отправке СМС с подменой номера отправителя на любой требуемый. Одним из таких сайтов и воспользовался. Деньги успешно сняты с карты моего друга, при этом он не говорил мне ни тип карты, ни номер карты, ровным счетом ничего! Я только знал номер мобильного телефона моего друга. Правда деньги были зачислены на баланс мобильного моего же друга, но сам факт того, что снять деньги с карты Сбербанка без ведома владельца карты оказалось так легко и просто - удивляет. СБЕРБАНК - ОТСТОЙ! Я как владелец карты сбербанка завтра собрался закрывать мою карту. Такая нулевая безопасность меня никак не устраивает. Предлагаю всем отказаться от услуг Сбербанка. Это опасно.
    Даже то, что деньги не украдены, а зачислены с карты владельца на мобильник владельца без его ведома - недопустим. Зачислив 100 рублей, никто не мешает любому снять и 100 000 рублей, и зачислить их на баланс мобильного! Владелец карты точно не будет этому рад.
    Сбербанк допустил недопустимую брешь в системе безопасности.

    Но это только первый шаг. Если подумать, то также просто как дважды два оказывается можно перечислить деньги и на счет злоумышленника! Даже номера карты знать не нужно. Даже завладевать мобильником жертвы - не нужно.
     
  3. AYDAN

    AYDAN Member

    Цитата
    А зачислением только на мобильник владельца карты это не ограничивается.
    Я, например, платил разок с карты в Ростелеком, на мобильник жены, за интернет-модем, за цифровое телевидение. Все места, куда я платил хотя бы один раз, требуют подтверждения только для первого платежа. Повторные платежи, которые хоть раз проводились в Сбербанк Онлайн, идут полностью без подтверждения. Рад ли будет Русак, если с его карты любой желающий оплатит интернет на 100 лет вперед, цифровое или спутниковое телевидение на 50 лет вперед?
    Это всё осуществляется по моей методике легко, просто, без знания номеров карты, без завладения мобильным владельца, без кодов подтверждения. Это величайший прокол Сбербанка.
     
  4. NASTYA

    NASTYA New Member

    Услугу "быстрый платеж" можно отключить через СБОЛ, тогда никакие платежи по смс не пойдут.
     
  5. AYDAN

    AYDAN Member

    это не решение проблемы "поддельных" СМС, а только лишь временный обходной вариант.
     
  6. AYDAN

    AYDAN Member

    Системы ДБО, идентифицирующие клиента (полностью или частично) по номеру телефона с которого он позвонил на номер системы "голосового" обслуживания

    Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !

    , поскольку номер звонящего тоже может быть подделан. Пример из комментариев по ссылке:
    Цитата
    У Приватбанка есть голосовое меню по номеру 3700, которое позволяет пополнять любой телефон, введя просто последние 4 цифры своей карты. Т.е. я могу позвонит на голосовое меню Приватбанка, подменив номер на любой реальный, который является клиентом банка и просто по IVR меню пополнить любой телефон с карты того клиента? Последние 4 цифры карты можно сбрутфорсить, у них нет ограничений на количество попыток.
     
  7. MILASHKA

    MILASHKA New Member

    А чего вы хотели? СМС - это примочка к дырявому и уязвимому сигнальному протоколу ОКС-7, он же SS7. Данные идут открытыми, перехватить может любой желающий, правда потрудиться придётся. Никакой верификации нет и не было. Все эти сайты работают с использованием особенностей сигнального протокола, который аж с 70-х годов прошлого века и до сих пор используется. За банк ничего сказать не могу в плане того почему он использует эту систему, в то время как любому новорождённому младенцу известно о небезопасности СМС-канала.

    Не пользуйтесь СМС-банкингом и всё, если хотите действительно уберечь денежки. Другого варианта тут подсказать не могу.
     
  8. MILASHKA

    MILASHKA New Member

    Минкомсвязи России признало СМС-пароли небезопасными, об этом писали многие СМИ 5 октября 2016 года, но подробнее всех написали

    Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !

    .
    Так что, можете смело отказываться от сервисов, завязанных на СМС-канал. Ну, и требуйте от банков альтернативных способов аутентификации.
     
  9. Kenzo

    Kenzo Member

    Позвольте поинтересоваться, на каком основании следует это делать? Судя по вашей точке зрения потому, что об этом написали в СМИ? Не, ну потребовать то вы сможете, вот только результат прогнозируем на 100%.
     
  10. MILASHKA

    MILASHKA New Member

    Ну, дело Ваше. Хотите рискуйте, хотите нет. Минкомсвязь признала небезопасным данный способ, не только СМИ. Всё из-за того, что СМС - это примочка к дырявому сигнальному протоколу ОКС-7, который не модернизировался аж с 70 годов. Стандарт GSM уже давно как взломан, вскрыт. Козловский и Албуров уже пострадали от "высокой безопасности" СМС-канала.
    Лично я не стану доверять финансы GSM сети, которая не может гарантировать максимально возможную безопасность.
     
  11. DangeR

    DangeR New Member

    Сменить банк, т.к. СМС "читаются" через ОПСОСа.

    Утечка клиентов вынудит банк прикрутить к ИБ хотя бы одноразовые пароли или Token.
     
  12. Kenzo

    Kenzo Member

    Вопрос был не об этом. Никто уже наверное не станет отрицать небезопасность СМС канала. Вы написали, что необходимо требовать от банка альтернативных методов аутентификации. Вот расскажите мне, как это например сделать для Сбербанка и на основании каких документов этого требовать. Мне следует предъявить им статью из Известий?
    Следующее. Вы сколько знаете банков с альтернативными СМС методами аутентификации? Вот разделите их количество лучше раза в 3 для банков в провинции и учитывайте при этом доходность депозитов по сравнению с другими банками, где процесс аутентификации реализован с помощью СМС.
     
  13. Kenzo

    Kenzo Member

    Ничего их не заставит изменяться. Им и так неплохо, что бы изменяться в сторону сервиса и безопасности для клиента, да и никакой утечки клиентов не будет, так как про уязвимость СМС канала в ДБО слышали наверное не более 0,01% клиентов банков.
    Их принцип: ешь, что дают.
     
  14. MILASHKA

    MILASHKA New Member

    Не та страна у нас, где работают рыночные механизмы вроде оттока клиентов к конкуренту из-за неудовлетворённости в условиях. Нужно, чтобы надзорные ведомства стукнули по кумполу каждому из банков, только так начнётся внедрение безопасных технологий. Кто-то сделает это добровольно, кто-то с боем, ссылаясь на долгосрочные контракты с ОпСоСами на эту тему.

    Как "наехать" на банк:
    1) Запрос в Минкомсвязь
    2) Распечатать статью из "Известий"
    3) Вооружившись ответкой на Запрос в Минкомсвязь и распечаткой "Известий" написать Претензию в банк.
    4) получить ответ на Претензию из банка.
    5) Обратиться органы Роспотребнадзора, т.к. идёт грубейшее нарушение положений Статьи 16 ФЗ о Защите прав потребителя банком (услуга "Интернет-банк" подразумевает приобретение услуг ОпСоСа)
    6) Обратиться в ЦБ РФ, приложив ответку от банка, ответку от Минкомсвязи и распечатку со ссылкой на Известия, для усиления эффекта можно сосдаться на инцидент с Албуровым и Козловским.
    7) Если Роспотребнадзор начнёт валять дурака и слать отписки - в органы прокуратуры, чтобы те в рамках прокурорского реагирования обязали потребнадзор выполнить свою работу.
    [​IMG] ЦБ пришлёт отписку, но банку по кумполу настучит.

    Банк будет трясти своей 428 Статьёй ГК РФ, что мол договор этот это присоединение и клиент сам изволил и подписался. Однако для банка тут есть сюрприз, они почему-то забывают про статью 422 всё того же ГК РФ, гласящую о том, что Договор должен соответствовать законам и НПА. В частности всё тому же Закону о ЗПП, который запрещает при приобретении одной услуги обязательно приобретать иную услугу.

    Из банков, где ИБ без СМС есть можно выделить: Газпромбанк. Интеза, ВТБ 24, ЮниКредит, Авангард, Россельхозбанк, Связьбанк. Это я так, навскидку.

    Если каждый из нас проделает, не поленится, то что описала я, глядишь и заживём как нормальные человеки. Лучше идти таким путём, чем ждать когда начнётся массовая атака на ОКС-7 с перехватом СМС, взломами и повальными кражами денег со счетов. тут государство не сразу раскачается и не сразу примет ся решать проблемы.
     
  15. DozanQurdu

    DozanQurdu Member

    Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !


    Цитата

    Специалисты нашли в сетях операторов серьезные уязвимости
    Они позволяют перехватывать sms и организовывать Dos-атаки в сетях LTE
    Сети операторов стандарта LTE (4G) подвержены перехвату sms-сообщений, раскрытию местоположения абонента, Dos-атакам на абонентов и на оборудование операторов, говорится в исследовании Positive Technologies, специализирующейся на анализе уязвимостей информационных систем. Сети 4G унаследовали полный спектр угроз, актуальный для предыдущих поколений сетей связи, говорится в исследовании.<...>
     

Поделиться этой страницей