Сбербанк ОнЛ@йн: «Не укради»

Возможность отслеживать все действия с чужим банковским счетом. И, с большой вероятностью, возможность чужими деньгами распоряжаться. Ухищрения хакера? Нет, случайный «подарок» от Мобильного банка.

Лирика

Финансовые операции с использованием электронных кошельков, платежных систем, мобильного банкинга и прочих электронных средств управления перемещением денег всегда привлекали и будут привлекать мошенников. Постоянное соревнование «брони и снаряда»: интеллектуальные воры тщательно изучают системы в поисках мельчайших уязвимостей, разработчики выстраивают многоуровневые «рубежи обороны». Проблема еще и в сохранении «дружелюбия» инструментов. Абсолютно безопасной, но сложной и заморочной системой клиент пользоваться не захочет, а то и просто не сможет. При этом сами банки крайне заинтересованы в популяризации систем самообслуживания, это реальная экономия расходов на персонал, оборудование и т. п. Клиент тоже не внакладе, подавляющее большинство транзакций можно проводить в прямом смысле «не сходя с дивана». Мобильному банкингу жить и развиваться, в нем заинтересованы обе стороны. И средства защиты от мошенников тоже развиваются и совершенствуются, все щели тщательно конопатят, и «враг не пройдет».

Беда в том, что выискивая под лупой крохотные щелки, можно прозевать широченную дыру. Что, собственно, и произошло. О масштабах бедствия и географической распространенности мне судить трудно, но заняться этим вопросом нужно в самом срочном порядке. Иначе им займутся другие, если уже не занялись.

Кошелек нараспашку?

Рекомендую посетить раздел «Сбербанк ОнЛ@йн» и ознакомиться с предусмотренными мерами безопасности владельца счета, они впечатляют. Цитата:

«В системе «Сбербанк ОнЛ@йн» используются современные эффективные методы для защиты Вашей информации при работе в Интернете. Вся информация передается по специальному защищенному SSL-каналу. Кроме этого, в системе реализованы дополнительные защитные функции, такие как использование одноразовых паролей; автоматическое отключение, если Вы оставались неактивны в «Сбербанк ОнЛ@йн» более 30 минут; показ даты и времени последнего входа в систему; СМС-информирование об операциях в системе в рамках услуги «Мобильный банк» (полный пакет). Расходные операции на счета сторонних клиентов, подтверждаются одноразовыми паролями, которые известны только Вам».

Разумеется, «...которые известны только Вам», ибо пароль приходит в SMS-сообщении. Идентификация владельца банковского счета и часть операций «Мобильного банкинга» происходят через мобильный телефон «хозяина», этот уровень безопасности считается разумно-достаточным и сомнению не подвергается. Постороннее лицо может воспользоваться телефоном владельца, но это уже проблема не банка, а владельца SIM-карты. Зарегистрировал в Сбербанке номер телефона — отвечаешь за все действия, совершенные с этого номера.

Твоя телефонная тень

А теперь вопрос: чем дата смерти на могильной плите отличается от номера телефона, указанного в Договоре со Сбербанком? Ответ очевиден. Рассчитывать на неизменность выбитых на надгробии цифр еще можно (да и то с оговорками), а номер телефона имеет свойство переходить от одного владельца к другому. 90 дней отсутствия телефонной активности, и SIM-карта блокируется. Затем через некоторое время номер телефона прошивается на новой SIM-карте, которая упаковывается в симпатичный конвертик и поступает в продажу. Наверное, разработчики «Мобильного банка» об этом не догадываются, а партнеры-операторы не позаботились акцентировать внимание разработчиков на этом очевидном (для операторов) факте.

А дальше начинается самое интересное. Клиент Сбербанка может сменить оператора, выбросив SIM-карту, может захотеть поменять номер телефона, сменить оператора или переехать в другой регион. Это жизнь, бывает. Человек намерен продолжать пользоваться услугой «Мобильный банк» и, надо полагать, идет в Сбербанк и регистрирует свой новый номер телефона. После чего со своего нового номера авторизует транзакции, получает уникальные одноразовые пароли, заходит по этим паролям на сайт и совершает платежи.

Также получает полное SMS-информирование о состоянии счета, его пополнениях и т. п. В общем, ведет совершенно нормальный «Мобильно-банковский» образ жизни и радуется своей тотальной защищенности от мошенников. Хохма в том, что его прежний номер телефона остается зарегистрированным где-то в недрах системы и полноценно работает в качестве двойника основного номера владельца счета. А этот прежний номер уже давным-давно продан другому человеку. Хорошо еще, если продан с соблюдением всех регистрационных формальностей, а если с лотка в уличном переходе или с продиктованными «от балды» паспортными данными?

Казалось бы, не бог весть, какая «уязвимость». Эдакий телефонно-финансовый «Дом-2», за которым кому-то даже интересно будет понаблюдать от нечего делать. Вон, при социализме было принято считать, что порядочному человеку нечего скрывать от друзей и коллег по работе.

Хуже то, что «Мобильный банкинг» предлагает легко и удобно, отправкой одного SMS-сообщения, подключить услугу «Автопополнение счета». Поскольку «теневой» номер телефона явно висит зарегистрированным в системе, услуга автопополнения должна включиться. Точнее, скорее всего, включится. Не проверял, так как экспериментировать с чужими деньгами неэтично.

По описанию услуги, такой режим запуска «Автопополнения счета» как раз и предусмотрен:

«Подключить услугу «Автоплатеж» можно только двумя способами: с телефона, зарегистрированного в Мобильном банке (при подключении через Мобильный банк), либо на любой номер, подтверждая при этом ПИН-кодом по карте (при подключении через банкоматы или терминалы)».

Дальше, как вы понимаете, перед нами чужой банковский счет на блюдечке с голубой каёмочкой. Дождался SMS-уведомления о «прибытии» на счет очередной порции денег, темной ночью (чтобы не тревожить владельца SMS-ками) подключил «Автопополнение» и в сколько-то заходов «перелил» поступающие на баланс SIM-карты деньги в какой-нибудь электронный кошелек.

Это очевидное и фактически предлагаемое решение. Вполне возможно, что такой «дублирующий» телефон позволяет реализовать и другие способы изъятия денег с банковского счета.

Как произошло?

Надеюсь, понятно, что описана реальная ситуация, а не журналистские домыслы. В технических и административно-организационных источниках уязвимости должны разобраться специалисты. Это и «уязвимостью» назвать язык не поворачивается. «Уязвимость» - это неработающая камера наблюдения по периметру забора с колючей проволокой, а здесь - просто оставленные нараспашку ворота.

Из очевидных «проколов» на стороне Сбербанка — сама возможность параллельного существования нескольких управляющих счетом телефонных номеров. Сотрудники и программисты ошибаться могут, но элементарная «защита от дурака» должна в систему закладываться.

На стороне оператора тоже не всё «бело-пушисто», увы. Ясно, что при закрытии контракта и передаче номера в базу доступных для продажи все привязанные к этому номеру сервисы должны отключаться. Однозначно, без всяких «если» и «человеческих факторов». Иначе мы с вами много чего можем заполучить в нагрузку к обычному подключению. Ту же подписку тысчонки на полторы в месяц по наследству от прежнего владельца номера.

Что делать пользователям?

Если номер телефона не менялся то, наверное, ничего не делать. А вот если менялся и вы продолжаете пользоваться услугой «Мобильный банк», то я бы как минимум эту услугу отключил и подключил заново «с чистого листа». На всякий случай.

Обсуждение на форуме >>>

Сергей Потресов (sergey.potresov@mobile-review.com)
Twitter
Опубликовано - 06 апреля 2012 г.

Есть, что добавить?! Пишите... eldar@mobile-review.com

 
Новости:

16.11.2018 Корейский LG Q9 он же LG G7 Fit для мирового рынка?

16.11.2018 Apple займется разработкой модемов самостоятельно

Hit

16.11.2018 Видео на канале: ВПЕЧАТЛЕНИЯ | Xiaomi Mi 8 Pro с прозрачной крышкой!

16.11.2018 ZTE представит первый коммерческий 5G-смартфон в первой половине 2019 года

16.11.2018 Следующая выставка E3 2019 пройдёт без участия Sony

16.11.2018 PayPal: 26% онлайн-покупателей из России готовы к шопингу с мобильных устройств

16.11.2018 В России стартуют продажи Samsung Galaxy A9 (2018)

16.11.2018 HMD Global собирается представить в начале декабря новую модель смартфона Nokia

15.11.2018 Snapdragon 8150 превзошел на AnTuTu Apple A12 Bionic и Kirin 980

15.11.2018 Tele2 бесплатно предлагает владельцам новых iPhone год безлимитного интернета

15.11.2018 Samsung представила Galaxy S9 в новой градиентной раскраске «Polaris Blue»

15.11.2018 Названа дата анонса Oppo A7

15.11.2018 Samsung Galaxy Note FE вероятно получит Android Pie с интерфейсом One UI

15.11.2018 «Коммерсантъ»: Перед хакерами бессильны все модели банкоматов

15.11.2018 Sharp выпустила смартфон AQUOS R2 compact с двумя вырезами в экране

15.11.2018 Радиохолдинги решили создать единый плеер для вещания в Интернете

14.11.2018 Samsung внедрит адаптивное хранилище, но только вместе с Android Pie

14.11.2018 Будущий флагман Meizu получит чипсет Snapdragon 8150

14.11.2018 Рынок смартфонов Китая рухнул

14.11.2018 Huawei озвучила планы на 2019 год

14.11.2018 HMD Global представила новый бюджетный телефон Nokia 106

14.11.2018 Xiaomi Mi 8 Pro с прозрачной задней панелью из стекла выходит в России

14.11.2018 Ведомости: «Яндекс» покажет свой смартфон в понедельник

14.11.2018 ONYX BOOX Euclid – 9,7" букридер на базе новой аппаратной платформы

14.11.2018 Samsung анонсировала свой новый мобильный процессор для флагманских смартфонов – Exynos 9820

Подписка
 
© Mobile-review.com, 2002-2018. All rights reserved.