podcast quotes-left quotes-right search menu arrow-up arrow-up2 google-plus3 facebook2 instagram telegram twitter vk youtube android rss2

Сбербанк ОнЛ@йн: «Не укради»

Возможность отслеживать все действия с чужим банковским счетом. И, с большой вероятностью, возможность чужими деньгами распоряжаться. Ухищрения хакера? Нет, случайный «подарок» от Мобильного банка.

Лирика

Финансовые операции с использованием электронных кошельков, платежных систем, мобильного банкинга и прочих электронных средств управления перемещением денег всегда привлекали и будут привлекать мошенников. Постоянное соревнование «брони и снаряда»: интеллектуальные воры тщательно изучают системы в поисках мельчайших уязвимостей, разработчики выстраивают многоуровневые «рубежи обороны». Проблема еще и в сохранении «дружелюбия» инструментов. Абсолютно безопасной, но сложной и заморочной системой клиент пользоваться не захочет, а то и просто не сможет. При этом сами банки крайне заинтересованы в популяризации систем самообслуживания, это реальная экономия расходов на персонал, оборудование и т. п. Клиент тоже не внакладе, подавляющее большинство транзакций можно проводить в прямом смысле «не сходя с дивана». Мобильному банкингу жить и развиваться, в нем заинтересованы обе стороны. И средства защиты от мошенников тоже развиваются и совершенствуются, все щели тщательно конопатят, и «враг не пройдет».

Беда в том, что выискивая под лупой крохотные щелки, можно прозевать широченную дыру. Что, собственно, и произошло. О масштабах бедствия и географической распространенности мне судить трудно, но заняться этим вопросом нужно в самом срочном порядке. Иначе им займутся другие, если уже не занялись.

Кошелек нараспашку?

Рекомендую посетить раздел «Сбербанк ОнЛ@йн» и ознакомиться с предусмотренными мерами безопасности владельца счета, они впечатляют. Цитата:

«В системе «Сбербанк ОнЛ@йн» используются современные эффективные методы для защиты Вашей информации при работе в Интернете. Вся информация передается по специальному защищенному SSL-каналу. Кроме этого, в системе реализованы дополнительные защитные функции, такие как использование одноразовых паролей; автоматическое отключение, если Вы оставались неактивны в «Сбербанк ОнЛ@йн» более 30 минут; показ даты и времени последнего входа в систему; СМС-информирование об операциях в системе в рамках услуги «Мобильный банк» (полный пакет). Расходные операции на счета сторонних клиентов, подтверждаются одноразовыми паролями, которые известны только Вам».

Разумеется, «...которые известны только Вам», ибо пароль приходит в SMS-сообщении. Идентификация владельца банковского счета и часть операций «Мобильного банкинга» происходят через мобильный телефон «хозяина», этот уровень безопасности считается разумно-достаточным и сомнению не подвергается. Постороннее лицо может воспользоваться телефоном владельца, но это уже проблема не банка, а владельца SIM-карты. Зарегистрировал в Сбербанке номер телефона — отвечаешь за все действия, совершенные с этого номера.

Твоя телефонная тень

А теперь вопрос: чем дата смерти на могильной плите отличается от номера телефона, указанного в Договоре со Сбербанком? Ответ очевиден. Рассчитывать на неизменность выбитых на надгробии цифр еще можно (да и то с оговорками), а номер телефона имеет свойство переходить от одного владельца к другому. 90 дней отсутствия телефонной активности, и SIM-карта блокируется. Затем через некоторое время номер телефона прошивается на новой SIM-карте, которая упаковывается в симпатичный конвертик и поступает в продажу. Наверное, разработчики «Мобильного банка» об этом не догадываются, а партнеры-операторы не позаботились акцентировать внимание разработчиков на этом очевидном (для операторов) факте.

А дальше начинается самое интересное. Клиент Сбербанка может сменить оператора, выбросив SIM-карту, может захотеть поменять номер телефона, сменить оператора или переехать в другой регион. Это жизнь, бывает. Человек намерен продолжать пользоваться услугой «Мобильный банк» и, надо полагать, идет в Сбербанк и регистрирует свой новый номер телефона. После чего со своего нового номера авторизует транзакции, получает уникальные одноразовые пароли, заходит по этим паролям на сайт и совершает платежи.

Также получает полное SMS-информирование о состоянии счета, его пополнениях и т. п. В общем, ведет совершенно нормальный «Мобильно-банковский» образ жизни и радуется своей тотальной защищенности от мошенников. Хохма в том, что его прежний номер телефона остается зарегистрированным где-то в недрах системы и полноценно работает в качестве двойника основного номера владельца счета. А этот прежний номер уже давным-давно продан другому человеку. Хорошо еще, если продан с соблюдением всех регистрационных формальностей, а если с лотка в уличном переходе или с продиктованными «от балды» паспортными данными?

Казалось бы, не бог весть, какая «уязвимость». Эдакий телефонно-финансовый «Дом-2», за которым кому-то даже интересно будет понаблюдать от нечего делать. Вон, при социализме было принято считать, что порядочному человеку нечего скрывать от друзей и коллег по работе.

Хуже то, что «Мобильный банкинг» предлагает легко и удобно, отправкой одного SMS-сообщения, подключить услугу «Автопополнение счета». Поскольку «теневой» номер телефона явно висит зарегистрированным в системе, услуга автопополнения должна включиться. Точнее, скорее всего, включится. Не проверял, так как экспериментировать с чужими деньгами неэтично.

По описанию услуги, такой режим запуска «Автопополнения счета» как раз и предусмотрен:

«Подключить услугу «Автоплатеж» можно только двумя способами: с телефона, зарегистрированного в Мобильном банке (при подключении через Мобильный банк), либо на любой номер, подтверждая при этом ПИН-кодом по карте (при подключении через банкоматы или терминалы)».

Дальше, как вы понимаете, перед нами чужой банковский счет на блюдечке с голубой каёмочкой. Дождался SMS-уведомления о «прибытии» на счет очередной порции денег, темной ночью (чтобы не тревожить владельца SMS-ками) подключил «Автопополнение» и в сколько-то заходов «перелил» поступающие на баланс SIM-карты деньги в какой-нибудь электронный кошелек.

Это очевидное и фактически предлагаемое решение. Вполне возможно, что такой «дублирующий» телефон позволяет реализовать и другие способы изъятия денег с банковского счета.

Как произошло?

Надеюсь, понятно, что описана реальная ситуация, а не журналистские домыслы. В технических и административно-организационных источниках уязвимости должны разобраться специалисты. Это и «уязвимостью» назвать язык не поворачивается. «Уязвимость» - это неработающая камера наблюдения по периметру забора с колючей проволокой, а здесь - просто оставленные нараспашку ворота.

Из очевидных «проколов» на стороне Сбербанка — сама возможность параллельного существования нескольких управляющих счетом телефонных номеров. Сотрудники и программисты ошибаться могут, но элементарная «защита от дурака» должна в систему закладываться.

На стороне оператора тоже не всё «бело-пушисто», увы. Ясно, что при закрытии контракта и передаче номера в базу доступных для продажи все привязанные к этому номеру сервисы должны отключаться. Однозначно, без всяких «если» и «человеческих факторов». Иначе мы с вами много чего можем заполучить в нагрузку к обычному подключению. Ту же подписку тысчонки на полторы в месяц по наследству от прежнего владельца номера.

Что делать пользователям?

Если номер телефона не менялся то, наверное, ничего не делать. А вот если менялся и вы продолжаете пользоваться услугой «Мобильный банк», то я бы как минимум эту услугу отключил и подключил заново «с чистого листа». На всякий случай.

Обсуждение на форуме >>>

Сергей Потресов (sergey.potresov@mobile-review.com)
Twitter
Опубликовано - 06 апреля 2012 г.

Есть, что добавить?! Пишите... eldar@mobile-review.com

 
Новости:

26.06.2017 TP-Link объявила о старте продаж смартфона Neffos X1 Max в России

26.06.2017 Пользователи «Ростелекома» пожаловались на скрытое подключение дополнительных услуг

26.06.2017 ФАС собирается изъять из российских законов термин «роуминг»

26.06.2017 Запуск Samsung Galaxy Note8 в продажу планируется в сентябре

23.06.2017 TCL представит еще один BlackBerry без физической клавиатуры

23.06.2017 WhatsApp позволит пересылать любые файлы

23.06.2017 Android 8 может быть назван в честь овсяного печенья

23.06.2017 Павел Дуров ответил на угрозы главы Роскомнадзора заблокировать его мессенджер Telegram

23.06.2017 Закон о блокировке «зеркал» принят Госдумой

23.06.2017 Google представила новый видеоформат для виртуальной реальности — VR180

23.06.2017 Роскомнадзор грозит заблокировать Telegram

23.06.2017 ФНС: блокировка российского сайта Google произошла из-за букмекерской конторы

23.06.2017 На российский рынок выходит последняя флагманская модель Hi-Fi плеера COWON Plenue 2

Hit

22.06.2017 Видео на канале: Обзор Samsung Galaxy J5 2017

22.06.2017 В России стартуют продажи смартфона ZTE Blade V8 mini

Hit

22.06.2017 BLUBOO выпустят первый безрамочный флагман с соотношением сторон 18: 9 на платформе от MTK

22.06.2017 Tele2 договорилась с Apple

22.06.2017 Клиенты Альфа-Банка первыми в мире смогут снимать и вносить деньги через банкоматы при помощи мобильных сервисов оплаты

22.06.2017 Samsung запустил в массовое производство процессор Exynos i T200 для Интернет вещей

22.06.2017 В «Яндекс.Такси» очередной сбой – клиентам увеличивают стоимость поездки

Hit

21.06.2017 Видео на канале: Обзор Samsung Galaxy J7 2017

21.06.2017 IDC: продажи шлемов виртуальной и дополненной реальности вырастут в 10 раз

21.06.2017 WhatsApp уточнили сроки прекращения поддержки устройств со старыми ОС

21.06.2017 В Японии планируют использовать роботизированные экзоскелеты для демонтажа АЭС

21.06.2017 ESET: мошенники воспользовались популярностью Uber

Подписка
 
© Mobile-review.com, 2002-2017. All rights reserved.