Jump to content
Калькуляторы

Какие способы используют мошенники для кражи данных в онлайн-банках

Материал: Мало кто задумывается о том, насколько же сильно мы упрощаем мошенникам доступ в различные аккаунты. В наше время все чаще стали происходить кражи банковских данных клиентов. О том, какие способы используют мошенники для кражи данных в онлайн-банках, рассказал руководитель группы исследований безопасности банковских систем Positive Technologies Максим Костиков. Полный текст

Share this post


Link to post
Share on other sites
Цитата

Второй ошибкой является использование SMS-уведомлений вместо push. Отказ от SMS-уведомлений убережет ваши данные, потому что перехватить SMS гораздо легче.

Затроянить смартфон гораздо легче, нет?

Edited by azhur

Share this post


Link to post
Share on other sites
1 час назад, azhur сказал:

Затроянить смартфон гораздо легче, нет?

 

Так оба варианта паршивы. А токен банки почему-то не дают для авторизации.

Share this post


Link to post
Share on other sites
PS. Какой банк заказал эту фигню? СМС-уведомления стоят банкам денег и подпадают под закон о рекламе. А вот push бесплатны и не подпадают. Выводы делайте сами. Но с СМС - мозг целее, и ходят они везде, а не только там, где есть интернет.

Share this post


Link to post
Share on other sites
7 часов назад, fhunter сказал:

PS. Какой банк заказал эту фигню? СМС-уведомления стоят банкам денег и подпадают под закон о рекламе. А вот push бесплатны и не подпадают. Выводы делайте сами. Но с СМС - мозг целее, и ходят они везде, а не только там, где есть интернет.

(вспоминая свою любимую мозоль)

А генераторы/списки одноразовых кодов работают даже там, где интернета нет. Только непонятно, как именно человек в личный кабинет (а именно это самый частый сценарий использования такого кода) при этом попал.

Ошибка заключается вообще в том, что банк одноразовый код куда-то посылает.

 

9 часов назад, azhur сказал:

Затроянить смартфон гораздо легче, нет?

Если смарт специально для работы с банком предназначен и просто так для хождения по интернету не используется - то, я думаю, не легче.

Share this post


Link to post
Share on other sites
16 минут назад, Sergey Gilfanov сказал:

Если смарт специально для работы с банком предназначен и просто так для хождения по интернету не используется - то, я думаю, не легче.

7 миллиардов жителей нашей планеты Вас не поняли :)

 



Взломщики перехватывают смс, которое приходит на телефон, после чего меняют аутентификационные данные жертвы

 

Статья про какой то вакум в коне.. если взломщик перехватывает СМС, то почему он же не перезватывает пуш ? 

Share this post


Link to post
Share on other sites
1 минуту назад, st_re сказал:

7 миллиардов жителей нашей планеты Вас не поняли :)

Да ладно. Старые вполне брендовые смарты можно найти даже даром. Берем такой, полностью обнуляем, ставим банк-клиент на него и в дальнейшем только этот банк-клиент на этом смарте и запускаем. Когда не пользуемся - выключаем.

Share this post


Link to post
Share on other sites

они вообще вашу мысль не поняли... совсем.. и не будут они искать и тем более таскать с собой второй телефон...(а дальше третий - пятый-десятый.. по 1 на каждый банк которых 2 будет запросто, и на всякие личные кабинеты. а еще и на работу.. и еще кудато, и отдельно на чатики.. ага. ща.. всё будет в одном телефоне. включая сёрф по интернету)

Share this post


Link to post
Share on other sites
4 часа назад, st_re сказал:

Статья про какой то вакум в коне.. если взломщик перехватывает СМС, то почему он же не перезватывает пуш ? 

Потому что товарищ забыл сказать, что СМС должно приходить на другой телефон, не тот, где банк-клиент стоит. Хотя в общем разницы никакой. Если у тебя зловред в телефоне стоит из за

4 часа назад, st_re сказал:

всё будет в одном телефоне. включая сёрф по интернету)

то зловред может и с самим банк-клиентом что-нибудь нехорошее сделать, чтобы деньги увести.

Share this post


Link to post
Share on other sites
10 минут назад, Sergey Gilfanov сказал:

то зловред может и с самим банк-клиентом что-нибудь нехорошее сделать, чтобы деньги увести.

Живого примера я видел.. давно правда, Вот у человека прямо с банк клиента в телефоне и получая СМС на него же деньги прямо на глазах и увели.. (давно было, сейчас кажется СМС получить затруднительно.. хотя если сломали, то и рутануть можно.)

 

насколько я помню он както успел позвонить в банк и стопнуть переводы..

 

зы, и я не вижу разницы в таком раскладе с пуш уведомлениями ну вот совсем.. тем более что СМС на другой телефн я еще представить могу, а вот пуш со 100% вероятностью пойдут на тот же.. в общем отжать телефон и переводи себе. многие из банк клиентов и не выходят, и не все банк клиенты при вызове ранее запущенного приложения переспрашивают пароль. а уж пуш уведомления показывают без пароля все. Себе то я банк клиент заблочил отдельным заявлением, к лешему.. но многим нравится, удобно же..

Share this post


Link to post
Share on other sites
9 часов назад, st_re сказал:

Себе то я банк клиент заблочил отдельным заявлением, к лешему.. но многим нравится, удобно же..

У меня недавно оператор в отделении Альфа-Банка обычный банковский перевод не мог сделать. Который не по номеру карты, не по номеру телефона, а вот просто по банковским атрибутам с одного счета на счет в другом банке. Утверждал, что ему система подсовывала только альтернативные (и, разумеется с большей комиссией) способы. Пришлось прямо в банке на телефоне этот перевод прямо перед ним оформлять. Там, к счастью, пока это не выпилили. Так что, увы, оно не просто удобно, но и приходится иногда.

Share this post


Link to post
Share on other sites
16 часов назад, Sergey Gilfanov сказал:

Старые вполне брендовые смарты можно найти даже даром. Берем такой, полностью обнуляем, ставим банк-клиент на него

Советую попробовать поставить на старый смарт с гигом ОЗУ банк-клиент с маркета. Так сказать, насладиться процессом. :-)

Share this post


Link to post
Share on other sites
1 час назад, Sergey Gilfanov сказал:

У меня недавно оператор в отделении Банка 

ну так какие требования такие и операторы.. требования то подешевше и требовать побольше. умные быстро сваливают с такой работы. это я и в макдачке регулярно рассказываю, что им нажать чтобы мой обед собрался с чуть меньшим кофе, чем оно там по умолчанию...

Share this post


Link to post
Share on other sites
11 часов назад, st_re сказал:

(давно было, сейчас кажется СМС получить затруднительно.. хотя если сломали, то и рутануть можно.)

Сейчас СМС можно уводить вообще не с телефона. https://arstechnica.com/information-technology/2021/03/16-attack-let-hacker-intercept-a-t-mobile-users-text-messages/

 

Share this post


Link to post
Share on other sites
2 часа назад, snvoronkov сказал:

Советую попробовать поставить на старый смарт с гигом ОЗУ банк-клиент с маркета. Так сказать, насладиться процессом

Он не встанет тупо, ибо там древние security strings будут. Сберовский в таких случаях почти все функции отключает, только баланс смотреть.

Share this post


Link to post
Share on other sites
17 минут назад, jffulcrum сказал:

Он не встанет тупо, ибо там древние security strings будут. Сберовский в таких случаях почти все функции отключает, только баланс смотреть.

И не только это. Там еще куча красочных моментов, которые вызывают выплески плохо контролируемых эмоций в виде непроизвольного мата у всех подопытных. ;-)

Share this post


Link to post
Share on other sites

Там и места во встроенном флеше поди кот нассал, а та же альфа под гиг выедает, а на SD поставить нельзя, небжпсздно

Share this post


Link to post
Share on other sites
2 часа назад, snvoronkov сказал:

Советую попробовать поставить на старый смарт с гигом ОЗУ банк-клиент с маркета. Так сказать, насладиться процессом. :-)

У меня стоит. На huawei Y5 lite DRA-LX5. Памяти как раз 1G. И Альфа и Сбер стоят. Оно, конечно, медленно и печально, но вполне работает.

Share this post


Link to post
Share on other sites
1 час назад, Sergey Gilfanov сказал:

У меня стоит. На huawei Y5 lite DRA-LX5.

Это-ж разве старый? 8-ой человеколюб.
5-й или 6-ой - вот это старый.

 

Share this post


Link to post
Share on other sites
2 часа назад, jffulcrum сказал:

та же альфа под гиг выедает

Там что, встроенные порноролики в 4К? Как может сраный банк-клиент занимать гиг? Да какой нафиг гиг, даже 50 мег - это очень много.

Share this post


Link to post
Share on other sites
1 час назад, snvoronkov сказал:

Это-ж разве старый? 8-ой человеколюб.
5-й или 6-ой - вот это старый.

 

Ну стоял на galaxy mini j1  с ведроидом 5.6 клиент от сосите у генерала, не очень и печально было.

Share this post


Link to post
Share on other sites
19 минут назад, straus сказал:

Там что, встроенные порноролики в 4К? Как может сраный банк-клиент занимать гиг? Да какой нафиг гиг, даже 50 мег - это очень много.

Скачал тестом apk-шку, получилось 91 мегабайт.  Распакованная - 258. Не считая кэшей, но ставить эту радость не хочется от слова совсем.

 

Куда столько!?!? После требуемых прав у банковских клиентов - "спасибо, но я как-нибудь через сайт".

Edited by fhunter

Share this post


Link to post
Share on other sites
1 час назад, snvoronkov сказал:

Это-ж разве старый? 8-ой человеколюб.
5-й или 6-ой - вот это старый.

Ну, да. Только аргумент был про то, что проблемы не от объема памяти. на 5-ом и 6-ом ее даже больше будет для приложений. А что касается того, что 8-й еще не старый - так производители смартов считают иначе.

15 минут назад, straus сказал:

Там что, встроенные порноролики в 4К? Как может сраный банк-клиент занимать гиг? Да какой нафиг гиг, даже 50 мег - это очень много.

Есть немалая вероятность, что оно тащит и запускает какой-нибудь эквивалент браузера. И весь рантайм какого-нибудь TypeScript. Можно, кончено, расковырять и посмотреть, но лень.

Share this post


Link to post
Share on other sites
12 минут назад, Sergey Gilfanov сказал:

Есть немалая вероятность, что оно тащит и запускает какой-нибудь эквивалент браузера. И весь рантайм какого-нибудь TypeScript. Можно, кончено, расковырять и посмотреть, но лень. 

~26 мегабайт - libcom.yandex.mapkit и libcom.yandex.runtime
ещё 14 мегабайт - библиотека libjniSmartIdEngine.so (https://ru.wikipedia.org/wiki/Smart_IDReader )

139 мегабайт - код (*.dex файлы, все ли нужны - не знаю).

38 мегабайт - ресурсы и иконки

~7 мегабайт - libjingle (голосовая и peer2peer связь).

8.5 мегабайт - некий bundle_rus_card_barcode_mobile.zip (предположительно модуль чтения штрихкодов с документов).

2.5 мегабайт - предположительно иконки для всяких платёжных точек. 212 штук.

1.5 мегабайта -несжатая картинка 640x1300 с предложением подключить push-и.

1.5 мегабайта - папка intro, с картинками jpeg, до 1440x1264. Подозрительно напоминающими то что показывается при первом запуске.

Получено - скачиванием apk-шки и последующей распаковкой. Декомпиляцию не делал.

Edited by fhunter

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this