Здравствуйте, 0K, Вы писали:
0K>В свете растущей популярности данного способа защиты, хотелось бы обсудить возможные атаки: как заполучить доступ к управлению счетом, защищенным СМС-авторизацией? 0K>Какие еще есть идеи?
1) атака на телефон. в смарт-фонах уже обнаружили кучу дыр, для атаки не нужно даже знать номера, достаточно заманить жертву на сайт. такие атаки уже появились. посылаем письмо. обычно коммуникаторы его хавают за раз. но для полноценного просмотра юзер будет использовать компьютер, таким образом, хакер накрывает и телефон и комп только зная мыло;
2) атака на телефон два -- если нет дыр, можно написать гейму или другую погать какую для телефона, которая и без дыр перехватит все, что нужно;
3) смена телефона путем звонка оператору банка (в русских банках с которыми столкнулся требуется номер паспорта, дата рождения, фио, кодовое слово, в иностранных -- ssn и имя);
4) приход уведомлений на телефон легко блокируется шквалом sms.
5) у некоторых банков номер телефона можно менять через веб без подтверждения от самого телефона после того как залогнились.
6) некоторые банки позволяют генерить виртуальные карты. при этом часть номера приходит по вебу, а часть -- на телефон. проблема в том, что "телефонная часть" очень предсказуемая и восстанавливаемая по избыточности самого номера. я даже демонстрационную программу писал. для одного банка одна угадывала недостающую часть стразу, для другого -- перебирала десять вариантов. но!!! это же десять вариантов номеров!!! если их юзать в тырнет магазинах, то никакого риска. тут же блокировки не происходит. тут можно хоть до потери пульса перебирать. правда секретный номер приходит только на телефон, но некоторые магазины (типа амазона) его не требуют. а имя и срок истечения перехватывается вебом. так что виртульные карты довольно опасны.
7) да много что можно придумать...
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, 0K, Вы писали:
0K>Какие еще есть идеи?
Если OTP-пароль, полученный по SMS ты отправляешь по тому же каналу, что и основной пароль (а в известных мне системах онлайн-банкинга оно так и реализовано), то захват контроля над этим каналом (man-in-the-middle, к примеру) сводит на нет OTP-пароль чуть более, чем полностью. Ошибку сертификата же будут игнорировать около 65% предупрежденных заранее о подобной угрозе людей (это — реальная статистика, которую мы снимали с 30 тысяч наших сотрудников, предупредив их о значении этой ошибки и дав через пару дней ссылку на ресурс, где эта ошибка есть).
Здравствуйте, 0K, Вы писали:
0K>Здравствуйте, мыщъх, Вы писали:
М>>4) приход уведомлений на телефон легко блокируется шквалом sms. 0K>Не оно. Это не поможет заполучить доступ.
если проводится "левая" тракзакция, то, получив уведомление на телефон, жертва тут же свяжется с банком и заблокирует карту. если телефон зафлужен, то этого не произойдет.
М>>5) у некоторых банков номер телефона можно менять через веб без подтверждения от самого телефона после того как залогнились. 0K>Это легко устранимая ошибка реализации. Не засчитываю.
остается вопрос как получить доступ к своему акку при утрате доступа к данному мобильному номеру. надежных и юзабельных реализаций пока не придумали. либо ненадежно, либо неюзабельно. надежно -- заставить клиента тащится в банк, но это неюзабельно (увели телефон за время загран поездки, а нужно "подкормить" карту, перекинув деньги со счета на счет или выпустить виртуальную карту, т.к. вместе с телефоном увели и пластик -- вполне распространенная ситуация).
М>>6) некоторые банки позволяют генерить виртуальные карты. при этом часть номера приходит по вебу, а часть -- на телефон. 0K>Опять-же, ошибка реализации.
на ошибках атаки строятся. и не все ошибки очевидны.
М>>7) да много что можно придумать... 0K>Да не так уж и много на самом деле...
конечно, с вашим подходом "это ошибка реализации" ничего не придумаешь. а вот покажите мне пример платежной системы без ошибок. причем, невозможность доступа к моему счету в случаи кражи телефона это тоже ошибка, т.к. на телефон молиться придется при таком раскладе.
потом вот еще какая проблема. виртуальная клава не защищена от просмотра из-за плеча, а не всегда есть возможность уединиться. при вводе с обычной клавы за пальцами набирающего уже не уследишь (исключая тривальные комбинации или пароль набираемый по бумажке), но тут возрастает угроза перехвата установленным клавиатурным шпионом.
в принципе, есть системы ввода пароля защищенные от того и от другого, причем надежно, но пока они не получили широкого распростанения из-за своей сырости и необкатанности.
к тому же как мне кажется вы подходите к проблемме не с того конца. тут не о защите нужно думать, а о посадке хакерствующих элементов и снижении кол-ва краж до того уровня, когда банк может вернуть украденные деньги за свой счет без угрозы разориться на следующий день.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Re[5]: СМС с одноразовым паролем -- варианты атаки
Здравствуйте, dr.Chaos, Вы писали:
DC>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>А по каким именно каналам?
DC>А ты про какие каналы говорил? Один TCP/IP второй TCP поверх голубиной почты?
Я имел ввиду — как OTP пароль приходит к пользователю и как он от него уходит? Ни первый канал, ни второй, не должны совпадать с тем каналом, по которому передается основной пароль. А в идеале, эти два канала должны быть также различны.
Простой пример: Альфа-банк присылает абоненту OTP-пароль в SMS-сообщении. Но пользователь должен ввести его в веб-форме, причем в рамках той же https-сессии, в которой он ранее вводил основной пароль. Это — уязвимость, которую необходимо устранять. Самый простой способ устранения — реализовать ввод OTP-пароля в рамках отдельной https-сессии. Более правильный — обеспечить отправку пользователем полученного OTP-пароля ответным SMS-сообщением (либо просто пересылкой полученного сообщения на тот же адрес, с которого пришло SMS). Совсем грамотный — чтобы пользователь дозванивался на голосовой сервис и вводил полученный пароль в тональном режиме.
Сейчас многие платежные системы/онайн-банкинги переходят на СМС-авторизацию. Те же WebMoney -- уже без СМС не работают.
Преимущества очевидны:
1. Телефон есть у 90% людей.
2. Телефон не нуждается в настройке или установке ПО.
3. В отличии от простого генератора ОТП, телефон выполняет еще и функцию "экстренного оповещателя" (если будут попытки взлома -- клиент моментально об этом узнает).
В свете растущей популярности данного способа защиты, хотелось бы обсудить возможные атаки: как заполучить доступ к управлению счетом, защищенным СМС-авторизацией?
Приходят такие идеи:
1. Украсть телефон. Но не решает проблему, т.к. есть еще и обычный пароль + SIM-карту можно заблокировать звонком оператору.
2. Фишинговый сайт с подменой получателя средств. Работает только на невнимательных жертвах, т.к. СМС-ка содержит данные о настоящем получателе средств.
3. Перехват СМС-сообщения. Видимо, нужно жить по соседству с жертвой. Хотя кроме самого СМС, нужно иметь данные интернет-сессии. Т.е. атака должна быть двух-уровневой: и перехват трафика (либо доступ к компу жертвы), и перехват СМС-сообщений.
Какие еще есть идеи?
=сначала спроси у GPT=
Re[2]: СМС с одноразовым паролем -- варианты атаки
Здравствуйте, мыщъх, Вы писали:
М>1) атака на телефон. в смарт-фонах уже обнаружили кучу дыр, для атаки не нужно даже знать номера, достаточно заманить жертву на сайт. такие атаки уже появились. посылаем письмо. обычно коммуникаторы его хавают за раз. но для полноценного просмотра юзер будет использовать компьютер, таким образом, хакер накрывает и телефон и комп только зная мыло;
М>2) атака на телефон два -- если нет дыр, можно написать гейму или другую погать какую для телефона, которая и без дыр перехватит все, что нужно;
Раз.
М>3) смена телефона путем звонка оператору банка (в русских банках с которыми столкнулся требуется номер паспорта, дата рождения, фио, кодовое слово, в иностранных -- ssn и имя);
Два.
М>4) приход уведомлений на телефон легко блокируется шквалом sms.
Не оно. Это не поможет заполучить доступ.
М>5) у некоторых банков номер телефона можно менять через веб без подтверждения от самого телефона после того как залогнились.
Это легко устранимая ошибка реализации. Не засчитываю.
М>6) некоторые банки позволяют генерить виртуальные карты. при этом часть номера приходит по вебу, а часть -- на телефон. проблема в том, что "телефонная часть" очень предсказуемая и восстанавливаемая по избыточности самого номера. я даже демонстрационную программу писал. для одного банка одна угадывала недостающую часть стразу, для другого -- перебирала десять вариантов. но!!! это же десять вариантов номеров!!! если их юзать в тырнет магазинах, то никакого риска. тут же блокировки не происходит. тут можно хоть до потери пульса перебирать. правда секретный номер приходит только на телефон, но некоторые магазины (типа амазона) его не требуют. а имя и срок истечения перехватывается вебом. так что виртульные карты довольно опасны.
Опять-же, ошибка реализации.
М>7) да много что можно придумать...
Да не так уж и много на самом деле...
=сначала спроси у GPT=
Re[2]: СМС с одноразовым паролем -- варианты атаки
KV>Если OTP-пароль, полученный по SMS ты отправляешь по тому же каналу, что и основной пароль (а в известных мне системах онлайн-банкинга оно так и реализовано), то захват контроля над этим каналом (man-in-the-middle, к примеру) сводит на нет OTP-пароль чуть более, чем полностью. Ошибку сертификата же будут игнорировать около 65% предупрежденных заранее о подобной угрозе людей (это — реальная статистика, которую мы снимали с 30 тысяч наших сотрудников, предупредив их о значении этой ошибки и дав через пару дней ссылку на ресурс, где эта ошибка есть).
Судя по всему у приват банка пароли эти отправляются по разным каналам, но эти #@$&$&.... имеют должным образом не оформленый сертификат для которого надо добавлять исключение безопасности и если кто-то внедрится, то юзера незадумываясь подтвердят это исключение.
Побеждающий других — силен,
Побеждающий себя — Могущественен.
Лао Цзы
Re[2]: СМС с одноразовым паролем -- варианты атаки
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Если OTP-пароль, полученный по SMS ты отправляешь по тому же каналу, что и основной пароль (а в известных мне системах онлайн-банкинга оно так и реализовано), то захват контроля над этим каналом (man-in-the-middle, к примеру) сводит на нет OTP-пароль чуть более, чем полностью. Ошибку сертификата же будут игнорировать около 65% предупрежденных заранее о подобной угрозе людей (это — реальная статистика, которую мы снимали с 30 тысяч наших сотрудников, предупредив их о значении этой ошибки и дав через пару дней ссылку на ресурс, где эта ошибка есть).
Проблема в том, что в СМС-ке указано кому и сколько денег поступит по этому ОТП. А это полностью изменяет картину -- man-in-the-middle денег злоумышленнику не даст...
=сначала спроси у GPT=
Re[3]: СМС с одноразовым паролем -- варианты атаки
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>А по каким именно каналам?
Я ну в первый раз https сетификат проходит проверку, второй раз, почему-то — нет. Хотя сертификат вроде тотже (первые и последние цифры SHA похожи). Была мысль, что разные соединения. А ты про какие каналы говорил? Один TCP/IP второй TCP поверх голубиной почты?
Побеждающий других — силен,
Побеждающий себя — Могущественен.
Лао Цзы
Re[6]: СМС с одноразовым паролем -- варианты атаки
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Вот про это я и спрашивал
Мне кажется, сессии https разные, хотя сертификат один используют . Правда для второго адреса он не подходит и приходится ставить исключение безопасности.
Побеждающий других — силен,
Побеждающий себя — Могущественен.
Лао Цзы
0K>В свете растущей популярности данного способа защиты, хотелось бы обсудить возможные атаки: как заполучить доступ к управлению счетом, защищенным СМС-авторизацией?
0K>Какие еще есть идеи?
Сразу вспоминается epic fail, произошедший точно не помню, но вроде с Альфабанком. У них там как подтвержение операции, так и смена пароля через смс-подтверждения делались. Мошенники приходили в офис оператора, по поддельному паспорту и "восстанавливали потерянную симку". Ну а дальше все понятно...
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Фишинговый сайт, возможно с сертификатом.
1. Пользователь вводит имя и пароль, нажимает "прислать OTP", они отсылаются в банк с запросом OTP.
2. Банк присылает OTP на вход, пользователь вводит, отсылается в банк. Пользователю говорят "облом, попробуйте еще раз".
3. Пользователь нажимает "прислать OTP", в банке формируется транзакция, банк высылает OTP на транзакцию.
4. Пользователь вводит OTP на фишинговом сйте. Пользователю делается sms-флуд.
5. OTP на транзакцию отсылается в банк. Уведомление о транзакции до пользователя не доходит.
Это примитивная схема. Недавно я встречал (не могу найти ссылку) описание более хитрой, в которой пользователь в конце концов попадает на настоящий сайт и выполняет свою маленькую транзакцию, ради которой он туда и полез. На страницу настоящего сайта внедряются скрипты, модифицирующие контент так, что пользователь видит ожидаемую сумму на балансе и не видит мошеннической транзакции. Таким образом он сразу не бьет тревогу.
Re[2]: СМС с одноразовым паролем -- варианты атаки
Здравствуйте, мыщъх, Вы писали:
М>правда секретный номер приходит только на телефон, но некоторые магазины (типа амазона) его не требуют. а имя и срок истечения перехватывается вебом. так что виртульные карты довольно опасны.
Речь о CVV2? Это касается не только виртуальных карт. Обычные классические визы или мастеры тоже могут быть использованы для оплаты без ввода CVV2. Но тут зависит от политики банка.
Re[6]: СМС с одноразовым паролем -- варианты атаки
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Совсем грамотный — чтобы пользователь дозванивался на голосовой сервис и вводил полученный пароль в тональном режиме.
Нет уж, спасибо. ИБ все-таки должна учитывать удобство пользования сервисом.
Re[6]: СМС с одноразовым паролем -- варианты атаки
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Совсем грамотный — чтобы пользователь дозванивался на голосовой сервис и вводил полученный пароль в тональном режиме.
Re[2]: СМС с одноразовым паролем -- варианты атаки
Здравствуйте, Eugeny__, Вы писали:
E__>Мошенники приходили в офис оператора, по поддельному паспорту и "восстанавливали потерянную симку". Ну а дальше все понятно...
А что, поддельный паспорт это так просто сейчас? В офисе оператора, наверняка их засняли камеры безопасности. Дальше тоже не все понятно, что делали с деньгами, можно уточнить?
Есть подозрение, что подловить владельца, засунуть ему паяльник в задницу и попросить перевести все деньги куда надо — несколько менее рискованно в плане поимки.
Re[3]: СМС с одноразовым паролем -- варианты атаки
E__>>Мошенники приходили в офис оператора, по поддельному паспорту и "восстанавливали потерянную симку". Ну а дальше все понятно...
Z>А что, поддельный паспорт это так просто сейчас? В офисе оператора, наверняка их засняли камеры безопасности. Дальше тоже не все понятно, что делали с деньгами, можно уточнить?
Z>Есть подозрение, что подловить владельца, засунуть ему паяльник в задницу и попросить перевести все деньги куда надо — несколько менее рискованно в плане поимки.
Здесь где-то была ветка. Я тоже говорил, что очень уж рискованно. Но таки не пойчали.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Re[7]: СМС с одноразовым паролем -- варианты атаки
Здравствуйте, Ziaw, Вы писали: Z>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Совсем грамотный — чтобы пользователь дозванивался на голосовой сервис и вводил полученный пароль в тональном режиме. Z>
Один TCP/IP второй TCP поверх голубиной почты?
. Правда для второго адреса он не подходит и приходится ставить исключение безопасности.
