Robot_NagNews Posted April 27, 2021 Posted April 27, 2021 Материал: Мало кто задумывается о том, насколько же сильно мы упрощаем мошенникам доступ в различные аккаунты. В наше время все чаще стали происходить кражи банковских данных клиентов. О том, какие способы используют мошенники для кражи данных в онлайн-банках, рассказал руководитель группы исследований безопасности банковских систем Positive Technologies Максим Костиков. Полный текст Вставить ник Quote
azhur Posted April 27, 2021 Posted April 27, 2021 (edited) Цитата Второй ошибкой является использование SMS-уведомлений вместо push. Отказ от SMS-уведомлений убережет ваши данные, потому что перехватить SMS гораздо легче. Затроянить смартфон гораздо легче, нет? Edited April 27, 2021 by azhur Вставить ник Quote
fhunter Posted April 27, 2021 Posted April 27, 2021 1 час назад, azhur сказал: Затроянить смартфон гораздо легче, нет? Так оба варианта паршивы. А токен банки почему-то не дают для авторизации. Вставить ник Quote
fhunter Posted April 27, 2021 Posted April 27, 2021 PS. Какой банк заказал эту фигню? СМС-уведомления стоят банкам денег и подпадают под закон о рекламе. А вот push бесплатны и не подпадают. Выводы делайте сами. Но с СМС - мозг целее, и ходят они везде, а не только там, где есть интернет. Вставить ник Quote
Sergey Gilfanov Posted April 27, 2021 Posted April 27, 2021 7 часов назад, fhunter сказал: PS. Какой банк заказал эту фигню? СМС-уведомления стоят банкам денег и подпадают под закон о рекламе. А вот push бесплатны и не подпадают. Выводы делайте сами. Но с СМС - мозг целее, и ходят они везде, а не только там, где есть интернет. (вспоминая свою любимую мозоль) А генераторы/списки одноразовых кодов работают даже там, где интернета нет. Только непонятно, как именно человек в личный кабинет (а именно это самый частый сценарий использования такого кода) при этом попал. Ошибка заключается вообще в том, что банк одноразовый код куда-то посылает. 9 часов назад, azhur сказал: Затроянить смартфон гораздо легче, нет? Если смарт специально для работы с банком предназначен и просто так для хождения по интернету не используется - то, я думаю, не легче. Вставить ник Quote
st_re Posted April 27, 2021 Posted April 27, 2021 16 минут назад, Sergey Gilfanov сказал: Если смарт специально для работы с банком предназначен и просто так для хождения по интернету не используется - то, я думаю, не легче. 7 миллиардов жителей нашей планеты Вас не поняли :) Взломщики перехватывают смс, которое приходит на телефон, после чего меняют аутентификационные данные жертвы Статья про какой то вакум в коне.. если взломщик перехватывает СМС, то почему он же не перезватывает пуш ? Вставить ник Quote
Sergey Gilfanov Posted April 27, 2021 Posted April 27, 2021 1 минуту назад, st_re сказал: 7 миллиардов жителей нашей планеты Вас не поняли :) Да ладно. Старые вполне брендовые смарты можно найти даже даром. Берем такой, полностью обнуляем, ставим банк-клиент на него и в дальнейшем только этот банк-клиент на этом смарте и запускаем. Когда не пользуемся - выключаем. Вставить ник Quote
st_re Posted April 27, 2021 Posted April 27, 2021 они вообще вашу мысль не поняли... совсем.. и не будут они искать и тем более таскать с собой второй телефон...(а дальше третий - пятый-десятый.. по 1 на каждый банк которых 2 будет запросто, и на всякие личные кабинеты. а еще и на работу.. и еще кудато, и отдельно на чатики.. ага. ща.. всё будет в одном телефоне. включая сёрф по интернету) Вставить ник Quote
Sergey Gilfanov Posted April 27, 2021 Posted April 27, 2021 4 часа назад, st_re сказал: Статья про какой то вакум в коне.. если взломщик перехватывает СМС, то почему он же не перезватывает пуш ? Потому что товарищ забыл сказать, что СМС должно приходить на другой телефон, не тот, где банк-клиент стоит. Хотя в общем разницы никакой. Если у тебя зловред в телефоне стоит из за 4 часа назад, st_re сказал: всё будет в одном телефоне. включая сёрф по интернету) то зловред может и с самим банк-клиентом что-нибудь нехорошее сделать, чтобы деньги увести. Вставить ник Quote
st_re Posted April 27, 2021 Posted April 27, 2021 10 минут назад, Sergey Gilfanov сказал: то зловред может и с самим банк-клиентом что-нибудь нехорошее сделать, чтобы деньги увести. Живого примера я видел.. давно правда, Вот у человека прямо с банк клиента в телефоне и получая СМС на него же деньги прямо на глазах и увели.. (давно было, сейчас кажется СМС получить затруднительно.. хотя если сломали, то и рутануть можно.) насколько я помню он както успел позвонить в банк и стопнуть переводы.. зы, и я не вижу разницы в таком раскладе с пуш уведомлениями ну вот совсем.. тем более что СМС на другой телефн я еще представить могу, а вот пуш со 100% вероятностью пойдут на тот же.. в общем отжать телефон и переводи себе. многие из банк клиентов и не выходят, и не все банк клиенты при вызове ранее запущенного приложения переспрашивают пароль. а уж пуш уведомления показывают без пароля все. Себе то я банк клиент заблочил отдельным заявлением, к лешему.. но многим нравится, удобно же.. Вставить ник Quote
Sergey Gilfanov Posted April 28, 2021 Posted April 28, 2021 9 часов назад, st_re сказал: Себе то я банк клиент заблочил отдельным заявлением, к лешему.. но многим нравится, удобно же.. У меня недавно оператор в отделении Альфа-Банка обычный банковский перевод не мог сделать. Который не по номеру карты, не по номеру телефона, а вот просто по банковским атрибутам с одного счета на счет в другом банке. Утверждал, что ему система подсовывала только альтернативные (и, разумеется с большей комиссией) способы. Пришлось прямо в банке на телефоне этот перевод прямо перед ним оформлять. Там, к счастью, пока это не выпилили. Так что, увы, оно не просто удобно, но и приходится иногда. Вставить ник Quote
snvoronkov Posted April 28, 2021 Posted April 28, 2021 16 часов назад, Sergey Gilfanov сказал: Старые вполне брендовые смарты можно найти даже даром. Берем такой, полностью обнуляем, ставим банк-клиент на него Советую попробовать поставить на старый смарт с гигом ОЗУ банк-клиент с маркета. Так сказать, насладиться процессом. :-) Вставить ник Quote
st_re Posted April 28, 2021 Posted April 28, 2021 1 час назад, Sergey Gilfanov сказал: У меня недавно оператор в отделении Банка ну так какие требования такие и операторы.. требования то подешевше и требовать побольше. умные быстро сваливают с такой работы. это я и в макдачке регулярно рассказываю, что им нажать чтобы мой обед собрался с чуть меньшим кофе, чем оно там по умолчанию... Вставить ник Quote
fhunter Posted April 28, 2021 Posted April 28, 2021 11 часов назад, st_re сказал: (давно было, сейчас кажется СМС получить затруднительно.. хотя если сломали, то и рутануть можно.) Сейчас СМС можно уводить вообще не с телефона. https://arstechnica.com/information-technology/2021/03/16-attack-let-hacker-intercept-a-t-mobile-users-text-messages/ Вставить ник Quote
jffulcrum Posted April 28, 2021 Posted April 28, 2021 2 часа назад, snvoronkov сказал: Советую попробовать поставить на старый смарт с гигом ОЗУ банк-клиент с маркета. Так сказать, насладиться процессом Он не встанет тупо, ибо там древние security strings будут. Сберовский в таких случаях почти все функции отключает, только баланс смотреть. Вставить ник Quote
snvoronkov Posted April 28, 2021 Posted April 28, 2021 17 минут назад, jffulcrum сказал: Он не встанет тупо, ибо там древние security strings будут. Сберовский в таких случаях почти все функции отключает, только баланс смотреть. И не только это. Там еще куча красочных моментов, которые вызывают выплески плохо контролируемых эмоций в виде непроизвольного мата у всех подопытных. ;-) Вставить ник Quote
jffulcrum Posted April 28, 2021 Posted April 28, 2021 Там и места во встроенном флеше поди кот нассал, а та же альфа под гиг выедает, а на SD поставить нельзя, небжпсздно Вставить ник Quote
Sergey Gilfanov Posted April 28, 2021 Posted April 28, 2021 2 часа назад, snvoronkov сказал: Советую попробовать поставить на старый смарт с гигом ОЗУ банк-клиент с маркета. Так сказать, насладиться процессом. :-) У меня стоит. На huawei Y5 lite DRA-LX5. Памяти как раз 1G. И Альфа и Сбер стоят. Оно, конечно, медленно и печально, но вполне работает. Вставить ник Quote
snvoronkov Posted April 28, 2021 Posted April 28, 2021 1 час назад, Sergey Gilfanov сказал: У меня стоит. На huawei Y5 lite DRA-LX5. Это-ж разве старый? 8-ой человеколюб. 5-й или 6-ой - вот это старый. Вставить ник Quote
straus Posted April 28, 2021 Posted April 28, 2021 2 часа назад, jffulcrum сказал: та же альфа под гиг выедает Там что, встроенные порноролики в 4К? Как может сраный банк-клиент занимать гиг? Да какой нафиг гиг, даже 50 мег - это очень много. Вставить ник Quote
YuryD Posted April 28, 2021 Posted April 28, 2021 1 час назад, snvoronkov сказал: Это-ж разве старый? 8-ой человеколюб. 5-й или 6-ой - вот это старый. Ну стоял на galaxy mini j1 с ведроидом 5.6 клиент от сосите у генерала, не очень и печально было. Вставить ник Quote
fhunter Posted April 28, 2021 Posted April 28, 2021 (edited) 19 минут назад, straus сказал: Там что, встроенные порноролики в 4К? Как может сраный банк-клиент занимать гиг? Да какой нафиг гиг, даже 50 мег - это очень много. Скачал тестом apk-шку, получилось 91 мегабайт. Распакованная - 258. Не считая кэшей, но ставить эту радость не хочется от слова совсем. Куда столько!?!? После требуемых прав у банковских клиентов - "спасибо, но я как-нибудь через сайт". Edited April 28, 2021 by fhunter Вставить ник Quote
Sergey Gilfanov Posted April 28, 2021 Posted April 28, 2021 1 час назад, snvoronkov сказал: Это-ж разве старый? 8-ой человеколюб. 5-й или 6-ой - вот это старый. Ну, да. Только аргумент был про то, что проблемы не от объема памяти. на 5-ом и 6-ом ее даже больше будет для приложений. А что касается того, что 8-й еще не старый - так производители смартов считают иначе. 15 минут назад, straus сказал: Там что, встроенные порноролики в 4К? Как может сраный банк-клиент занимать гиг? Да какой нафиг гиг, даже 50 мег - это очень много. Есть немалая вероятность, что оно тащит и запускает какой-нибудь эквивалент браузера. И весь рантайм какого-нибудь TypeScript. Можно, кончено, расковырять и посмотреть, но лень. Вставить ник Quote
fhunter Posted April 28, 2021 Posted April 28, 2021 (edited) 12 минут назад, Sergey Gilfanov сказал: Есть немалая вероятность, что оно тащит и запускает какой-нибудь эквивалент браузера. И весь рантайм какого-нибудь TypeScript. Можно, кончено, расковырять и посмотреть, но лень. ~26 мегабайт - libcom.yandex.mapkit и libcom.yandex.runtime ещё 14 мегабайт - библиотека libjniSmartIdEngine.so (https://ru.wikipedia.org/wiki/Smart_IDReader ) 139 мегабайт - код (*.dex файлы, все ли нужны - не знаю). 38 мегабайт - ресурсы и иконки ~7 мегабайт - libjingle (голосовая и peer2peer связь). 8.5 мегабайт - некий bundle_rus_card_barcode_mobile.zip (предположительно модуль чтения штрихкодов с документов). 2.5 мегабайт - предположительно иконки для всяких платёжных точек. 212 штук. 1.5 мегабайта -несжатая картинка 640x1300 с предложением подключить push-и. 1.5 мегабайта - папка intro, с картинками jpeg, до 1440x1264. Подозрительно напоминающими то что показывается при первом запуске. Получено - скачиванием apk-шки и последующей распаковкой. Декомпиляцию не делал. Edited April 28, 2021 by fhunter Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.