podcast quotes-left quotes-right search menu arrow-up arrow-up2 google-plus3 facebook2 instagram telegram twitter vk youtube android rss2

AddThis Social Bookmark Button
Версия для печати Блоггерам

Сбербанк ОнЛ@йн: «Не укради»

Возможность отслеживать все действия с чужим банковским счетом. И, с большой вероятностью, возможность чужими деньгами распоряжаться. Ухищрения хакера? Нет, случайный «подарок» от Мобильного банка.

Лирика

Финансовые операции с использованием электронных кошельков, платежных систем, мобильного банкинга и прочих электронных средств управления перемещением денег всегда привлекали и будут привлекать мошенников. Постоянное соревнование «брони и снаряда»: интеллектуальные воры тщательно изучают системы в поисках мельчайших уязвимостей, разработчики выстраивают многоуровневые «рубежи обороны». Проблема еще и в сохранении «дружелюбия» инструментов. Абсолютно безопасной, но сложной и заморочной системой клиент пользоваться не захочет, а то и просто не сможет. При этом сами банки крайне заинтересованы в популяризации систем самообслуживания, это реальная экономия расходов на персонал, оборудование и т. п. Клиент тоже не внакладе, подавляющее большинство транзакций можно проводить в прямом смысле «не сходя с дивана». Мобильному банкингу жить и развиваться, в нем заинтересованы обе стороны. И средства защиты от мошенников тоже развиваются и совершенствуются, все щели тщательно конопатят, и «враг не пройдет».

Беда в том, что выискивая под лупой крохотные щелки, можно прозевать широченную дыру. Что, собственно, и произошло. О масштабах бедствия и географической распространенности мне судить трудно, но заняться этим вопросом нужно в самом срочном порядке. Иначе им займутся другие, если уже не занялись.

Кошелек нараспашку?

Рекомендую посетить раздел «Сбербанк ОнЛ@йн» и ознакомиться с предусмотренными мерами безопасности владельца счета, они впечатляют. Цитата:

«В системе «Сбербанк ОнЛ@йн» используются современные эффективные методы для защиты Вашей информации при работе в Интернете. Вся информация передается по специальному защищенному SSL-каналу. Кроме этого, в системе реализованы дополнительные защитные функции, такие как использование одноразовых паролей; автоматическое отключение, если Вы оставались неактивны в «Сбербанк ОнЛ@йн» более 30 минут; показ даты и времени последнего входа в систему; СМС-информирование об операциях в системе в рамках услуги «Мобильный банк» (полный пакет). Расходные операции на счета сторонних клиентов, подтверждаются одноразовыми паролями, которые известны только Вам».

Разумеется, «...которые известны только Вам», ибо пароль приходит в SMS-сообщении. Идентификация владельца банковского счета и часть операций «Мобильного банкинга» происходят через мобильный телефон «хозяина», этот уровень безопасности считается разумно-достаточным и сомнению не подвергается. Постороннее лицо может воспользоваться телефоном владельца, но это уже проблема не банка, а владельца SIM-карты. Зарегистрировал в Сбербанке номер телефона — отвечаешь за все действия, совершенные с этого номера.

Твоя телефонная тень

А теперь вопрос: чем дата смерти на могильной плите отличается от номера телефона, указанного в Договоре со Сбербанком? Ответ очевиден. Рассчитывать на неизменность выбитых на надгробии цифр еще можно (да и то с оговорками), а номер телефона имеет свойство переходить от одного владельца к другому. 90 дней отсутствия телефонной активности, и SIM-карта блокируется. Затем через некоторое время номер телефона прошивается на новой SIM-карте, которая упаковывается в симпатичный конвертик и поступает в продажу. Наверное, разработчики «Мобильного банка» об этом не догадываются, а партнеры-операторы не позаботились акцентировать внимание разработчиков на этом очевидном (для операторов) факте.

А дальше начинается самое интересное. Клиент Сбербанка может сменить оператора, выбросив SIM-карту, может захотеть поменять номер телефона, сменить оператора или переехать в другой регион. Это жизнь, бывает. Человек намерен продолжать пользоваться услугой «Мобильный банк» и, надо полагать, идет в Сбербанк и регистрирует свой новый номер телефона. После чего со своего нового номера авторизует транзакции, получает уникальные одноразовые пароли, заходит по этим паролям на сайт и совершает платежи.

Также получает полное SMS-информирование о состоянии счета, его пополнениях и т. п. В общем, ведет совершенно нормальный «Мобильно-банковский» образ жизни и радуется своей тотальной защищенности от мошенников. Хохма в том, что его прежний номер телефона остается зарегистрированным где-то в недрах системы и полноценно работает в качестве двойника основного номера владельца счета. А этот прежний номер уже давным-давно продан другому человеку. Хорошо еще, если продан с соблюдением всех регистрационных формальностей, а если с лотка в уличном переходе или с продиктованными «от балды» паспортными данными?

Казалось бы, не бог весть, какая «уязвимость». Эдакий телефонно-финансовый «Дом-2», за которым кому-то даже интересно будет понаблюдать от нечего делать. Вон, при социализме было принято считать, что порядочному человеку нечего скрывать от друзей и коллег по работе.

Хуже то, что «Мобильный банкинг» предлагает легко и удобно, отправкой одного SMS-сообщения, подключить услугу «Автопополнение счета». Поскольку «теневой» номер телефона явно висит зарегистрированным в системе, услуга автопополнения должна включиться. Точнее, скорее всего, включится. Не проверял, так как экспериментировать с чужими деньгами неэтично.

По описанию услуги, такой режим запуска «Автопополнения счета» как раз и предусмотрен:

«Подключить услугу «Автоплатеж» можно только двумя способами: с телефона, зарегистрированного в Мобильном банке (при подключении через Мобильный банк), либо на любой номер, подтверждая при этом ПИН-кодом по карте (при подключении через банкоматы или терминалы)».

Дальше, как вы понимаете, перед нами чужой банковский счет на блюдечке с голубой каёмочкой. Дождался SMS-уведомления о «прибытии» на счет очередной порции денег, темной ночью (чтобы не тревожить владельца SMS-ками) подключил «Автопополнение» и в сколько-то заходов «перелил» поступающие на баланс SIM-карты деньги в какой-нибудь электронный кошелек.

Это очевидное и фактически предлагаемое решение. Вполне возможно, что такой «дублирующий» телефон позволяет реализовать и другие способы изъятия денег с банковского счета.

Как произошло?

Надеюсь, понятно, что описана реальная ситуация, а не журналистские домыслы. В технических и административно-организационных источниках уязвимости должны разобраться специалисты. Это и «уязвимостью» назвать язык не поворачивается. «Уязвимость» - это неработающая камера наблюдения по периметру забора с колючей проволокой, а здесь - просто оставленные нараспашку ворота.

Из очевидных «проколов» на стороне Сбербанка — сама возможность параллельного существования нескольких управляющих счетом телефонных номеров. Сотрудники и программисты ошибаться могут, но элементарная «защита от дурака» должна в систему закладываться.

На стороне оператора тоже не всё «бело-пушисто», увы. Ясно, что при закрытии контракта и передаче номера в базу доступных для продажи все привязанные к этому номеру сервисы должны отключаться. Однозначно, без всяких «если» и «человеческих факторов». Иначе мы с вами много чего можем заполучить в нагрузку к обычному подключению. Ту же подписку тысчонки на полторы в месяц по наследству от прежнего владельца номера.

Что делать пользователям?

Если номер телефона не менялся то, наверное, ничего не делать. А вот если менялся и вы продолжаете пользоваться услугой «Мобильный банк», то я бы как минимум эту услугу отключил и подключил заново «с чистого листа». На всякий случай.

Обсуждение на форуме >>>

Сергей Потресов (sergey.potresov@mobile-review.com)
Twitter
Опубликовано - 06 апреля 2012 г.

Твиттер Mobile-Review.com. Присоединяйся!

Есть, что добавить?! Пишите... eldar@mobile-review.com

 
Новости:
Hit

23.03.2017 Видео на канале: Обзор Huawei P10

23.03.2017 «Связной» и «Связной» могут объединить

23.03.2017 Panasonic представил для тайваньского рынка новый смартфон – ELUGA PURE

23.03.2017 В Карты Google возвращается возможность делиться с друзьями своим местоположением

22.03.2017 ZTE представила обновление линейки Nubia в Китае

22.03.2017 Huawei представит смартфон линейки Honor 5 апреля

22.03.2017 OPPO F3 Plus представлен официально

22.03.2017 VAIO Phone A – первый Android-смартфон бренда

22.03.2017 LG представила свою платежную систему – LG Pay

22.03.2017 ФАС согласует с Google условия мирового соглашения в течение 10 дней

22.03.2017 J’son & Partners Consulting: текущее состояние российского рынка сотовой связи и прогноз

22.03.2017 ESET: мошенники зарабатывают на любопытных пользователях WhatsApp

22.03.2017 Анонсирована следующая версия Android O

21.03.2017 Новые iPhone SE получили вдвое больше памяти

21.03.2017 В следующем iPhone может появиться камера с дополненной реальностью

21.03.2017 Samsung рассчитывает на большую популярность Galaxy S8 в Южной Корее нежели Galaxy Note7

21.03.2017 Apple представила новый планшет iPad Retina с 9,7-дюймовым дисплеем Retina

21.03.2017 Gc Connect – еще одни люксовые смарт часы из Швейцарии

21.03.2017 Apple представила iPhone 7 и iPhone 7 Plus (PRODUCT)RED Special Edition

21.03.2017 МТС опубликовала финансовые и операционные результаты Группы

21.03.2017 Задолженность перед операторами приравняют к доходам, на которые будут начислять налоги

21.03.2017 Samsung представила своего мобильного голосового помощника – Bixby

21.03.2017 В сети всплыли «живые» фото будущих «умных» часов ZTE Quartz

21.03.2017 «Мегафон» выкупит 50% «Евросети» у «Вымпелкома»

Hit

21.03.2017 Посиделки по вторникам №162. Перепродажа смартфона

Подписка
 
© Mobile-review.com, 2002-2017. All rights reserved.