podcast quotes-left quotes-right search menu arrow-up arrow-up2 google-plus3 facebook2 instagram telegram twitter vk youtube android rss2

Сбербанк ОнЛ@йн: «Не укради»

Возможность отслеживать все действия с чужим банковским счетом. И, с большой вероятностью, возможность чужими деньгами распоряжаться. Ухищрения хакера? Нет, случайный «подарок» от Мобильного банка.

Лирика

Финансовые операции с использованием электронных кошельков, платежных систем, мобильного банкинга и прочих электронных средств управления перемещением денег всегда привлекали и будут привлекать мошенников. Постоянное соревнование «брони и снаряда»: интеллектуальные воры тщательно изучают системы в поисках мельчайших уязвимостей, разработчики выстраивают многоуровневые «рубежи обороны». Проблема еще и в сохранении «дружелюбия» инструментов. Абсолютно безопасной, но сложной и заморочной системой клиент пользоваться не захочет, а то и просто не сможет. При этом сами банки крайне заинтересованы в популяризации систем самообслуживания, это реальная экономия расходов на персонал, оборудование и т. п. Клиент тоже не внакладе, подавляющее большинство транзакций можно проводить в прямом смысле «не сходя с дивана». Мобильному банкингу жить и развиваться, в нем заинтересованы обе стороны. И средства защиты от мошенников тоже развиваются и совершенствуются, все щели тщательно конопатят, и «враг не пройдет».

Беда в том, что выискивая под лупой крохотные щелки, можно прозевать широченную дыру. Что, собственно, и произошло. О масштабах бедствия и географической распространенности мне судить трудно, но заняться этим вопросом нужно в самом срочном порядке. Иначе им займутся другие, если уже не занялись.

Кошелек нараспашку?

Рекомендую посетить раздел «Сбербанк ОнЛ@йн» и ознакомиться с предусмотренными мерами безопасности владельца счета, они впечатляют. Цитата:

«В системе «Сбербанк ОнЛ@йн» используются современные эффективные методы для защиты Вашей информации при работе в Интернете. Вся информация передается по специальному защищенному SSL-каналу. Кроме этого, в системе реализованы дополнительные защитные функции, такие как использование одноразовых паролей; автоматическое отключение, если Вы оставались неактивны в «Сбербанк ОнЛ@йн» более 30 минут; показ даты и времени последнего входа в систему; СМС-информирование об операциях в системе в рамках услуги «Мобильный банк» (полный пакет). Расходные операции на счета сторонних клиентов, подтверждаются одноразовыми паролями, которые известны только Вам».

Разумеется, «...которые известны только Вам», ибо пароль приходит в SMS-сообщении. Идентификация владельца банковского счета и часть операций «Мобильного банкинга» происходят через мобильный телефон «хозяина», этот уровень безопасности считается разумно-достаточным и сомнению не подвергается. Постороннее лицо может воспользоваться телефоном владельца, но это уже проблема не банка, а владельца SIM-карты. Зарегистрировал в Сбербанке номер телефона — отвечаешь за все действия, совершенные с этого номера.

Твоя телефонная тень

А теперь вопрос: чем дата смерти на могильной плите отличается от номера телефона, указанного в Договоре со Сбербанком? Ответ очевиден. Рассчитывать на неизменность выбитых на надгробии цифр еще можно (да и то с оговорками), а номер телефона имеет свойство переходить от одного владельца к другому. 90 дней отсутствия телефонной активности, и SIM-карта блокируется. Затем через некоторое время номер телефона прошивается на новой SIM-карте, которая упаковывается в симпатичный конвертик и поступает в продажу. Наверное, разработчики «Мобильного банка» об этом не догадываются, а партнеры-операторы не позаботились акцентировать внимание разработчиков на этом очевидном (для операторов) факте.

А дальше начинается самое интересное. Клиент Сбербанка может сменить оператора, выбросив SIM-карту, может захотеть поменять номер телефона, сменить оператора или переехать в другой регион. Это жизнь, бывает. Человек намерен продолжать пользоваться услугой «Мобильный банк» и, надо полагать, идет в Сбербанк и регистрирует свой новый номер телефона. После чего со своего нового номера авторизует транзакции, получает уникальные одноразовые пароли, заходит по этим паролям на сайт и совершает платежи.

Также получает полное SMS-информирование о состоянии счета, его пополнениях и т. п. В общем, ведет совершенно нормальный «Мобильно-банковский» образ жизни и радуется своей тотальной защищенности от мошенников. Хохма в том, что его прежний номер телефона остается зарегистрированным где-то в недрах системы и полноценно работает в качестве двойника основного номера владельца счета. А этот прежний номер уже давным-давно продан другому человеку. Хорошо еще, если продан с соблюдением всех регистрационных формальностей, а если с лотка в уличном переходе или с продиктованными «от балды» паспортными данными?

Казалось бы, не бог весть, какая «уязвимость». Эдакий телефонно-финансовый «Дом-2», за которым кому-то даже интересно будет понаблюдать от нечего делать. Вон, при социализме было принято считать, что порядочному человеку нечего скрывать от друзей и коллег по работе.

Хуже то, что «Мобильный банкинг» предлагает легко и удобно, отправкой одного SMS-сообщения, подключить услугу «Автопополнение счета». Поскольку «теневой» номер телефона явно висит зарегистрированным в системе, услуга автопополнения должна включиться. Точнее, скорее всего, включится. Не проверял, так как экспериментировать с чужими деньгами неэтично.

По описанию услуги, такой режим запуска «Автопополнения счета» как раз и предусмотрен:

«Подключить услугу «Автоплатеж» можно только двумя способами: с телефона, зарегистрированного в Мобильном банке (при подключении через Мобильный банк), либо на любой номер, подтверждая при этом ПИН-кодом по карте (при подключении через банкоматы или терминалы)».

Дальше, как вы понимаете, перед нами чужой банковский счет на блюдечке с голубой каёмочкой. Дождался SMS-уведомления о «прибытии» на счет очередной порции денег, темной ночью (чтобы не тревожить владельца SMS-ками) подключил «Автопополнение» и в сколько-то заходов «перелил» поступающие на баланс SIM-карты деньги в какой-нибудь электронный кошелек.

Это очевидное и фактически предлагаемое решение. Вполне возможно, что такой «дублирующий» телефон позволяет реализовать и другие способы изъятия денег с банковского счета.

Как произошло?

Надеюсь, понятно, что описана реальная ситуация, а не журналистские домыслы. В технических и административно-организационных источниках уязвимости должны разобраться специалисты. Это и «уязвимостью» назвать язык не поворачивается. «Уязвимость» - это неработающая камера наблюдения по периметру забора с колючей проволокой, а здесь - просто оставленные нараспашку ворота.

Из очевидных «проколов» на стороне Сбербанка — сама возможность параллельного существования нескольких управляющих счетом телефонных номеров. Сотрудники и программисты ошибаться могут, но элементарная «защита от дурака» должна в систему закладываться.

На стороне оператора тоже не всё «бело-пушисто», увы. Ясно, что при закрытии контракта и передаче номера в базу доступных для продажи все привязанные к этому номеру сервисы должны отключаться. Однозначно, без всяких «если» и «человеческих факторов». Иначе мы с вами много чего можем заполучить в нагрузку к обычному подключению. Ту же подписку тысчонки на полторы в месяц по наследству от прежнего владельца номера.

Что делать пользователям?

Если номер телефона не менялся то, наверное, ничего не делать. А вот если менялся и вы продолжаете пользоваться услугой «Мобильный банк», то я бы как минимум эту услугу отключил и подключил заново «с чистого листа». На всякий случай.

Обсуждение на форуме >>>

Сергей Потресов (sergey.potresov@mobile-review.com)
Twitter
Опубликовано - 06 апреля 2012 г.

Есть, что добавить?! Пишите... eldar@mobile-review.com

 
Новости:

21.08.2017 Замена экрана может привести к краже данных со смартфона

21.08.2017 Google покажет превью ролика в поисковой выдаче

21.08.2017 ФАС: Высокие цены на внутрироссийский роуминг из-за высоких счетов между операторами

Hit

21.08.2017 Видео на канале: Обзор дрона MJX Bugs 6 B6

Hit

21.08.2017 Видео на канале: Сравнение Samsung Galaxy S8 vs Apple iPhone 7

21.08.2017 Xiaomi Mi 5X может выйти на рынок в версии с «чистым» Android

21.08.2017 Motorola запатентовала самовосстанавливающие дисплеи

21.08.2017 Samsung показала тизерные ролики с возможностями нового Galaxy Note8

21.08.2017 Объявлена цена в России на игровую консоль Xbox One X Project Scorpio Edition

Hit

18.08.2017 Видео на канале: Обзор функции Samsung Smart Switch Mobile

18.08.2017 Продажи Apple Watch могут достигнуть 15 миллионов

18.08.2017 ASUS обновит серии ZenFone 3 и 4 до Android O

18.08.2017 «Мегафон» отозвал из суда своё заявление против ФАС

Hit

18.08.2017 Представлена концепция новой модели смартфона BLUBOO с соотношением сторон экрана 18:9

18.08.2017 Группа МТС и Nokia подготовила технологическую платформу для 5G в Москве

18.08.2017 Honor 9 Premium поступает на полки российских магазинов

18.08.2017 В России появятся пластиковые деньги

18.08.2017 ФСБ участвует в разработке международного стандарта блокчейна

Hit

17.08.2017 Видео на канале: Проверка защиты от воды Samsung Galaxy S8 Plus

Hit

17.08.2017 Видео на канале: Обзор смартфона LG Q6? с FullVision экраном

17.08.2017 ASUS представила сразу 6 новых смартфонов

17.08.2017 Минкомсвязи меняет регулирование работы виртуальных операторов

17.08.2017 «Яндекс» покажет контент сайта без перехода по ссылке

17.08.2017 Житель Тамбова попал в финансовый отчет МТС

17.08.2017 LG V30 на пресс-фото со всех сторон

Подписка
 
© Mobile-review.com, 2002-2017. All rights reserved.