СМС с одноразовым паролем -- варианты атаки
От: 0K Ниоткуда  
Дата: 26.01.11 03:22
Оценка:
Сейчас многие платежные системы/онайн-банкинги переходят на СМС-авторизацию. Те же WebMoney -- уже без СМС не работают.

Преимущества очевидны:

1. Телефон есть у 90% людей.
2. Телефон не нуждается в настройке или установке ПО.
3. В отличии от простого генератора ОТП, телефон выполняет еще и функцию "экстренного оповещателя" (если будут попытки взлома -- клиент моментально об этом узнает).

В свете растущей популярности данного способа защиты, хотелось бы обсудить возможные атаки: как заполучить доступ к управлению счетом, защищенным СМС-авторизацией?

Приходят такие идеи:

1. Украсть телефон. Но не решает проблему, т.к. есть еще и обычный пароль + SIM-карту можно заблокировать звонком оператору.
2. Фишинговый сайт с подменой получателя средств. Работает только на невнимательных жертвах, т.к. СМС-ка содержит данные о настоящем получателе средств.
3. Перехват СМС-сообщения. Видимо, нужно жить по соседству с жертвой. Хотя кроме самого СМС, нужно иметь данные интернет-сессии. Т.е. атака должна быть двух-уровневой: и перехват трафика (либо доступ к компу жертвы), и перехват СМС-сообщений.

Какие еще есть идеи?
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.