Перейти к содержимому
Калькуляторы

Какие способы используют мошенники для кражи данных в онлайн-банках

Материал: Мало кто задумывается о том, насколько же сильно мы упрощаем мошенникам доступ в различные аккаунты. В наше время все чаще стали происходить кражи банковских данных клиентов. О том, какие способы используют мошенники для кражи данных в онлайн-банках, рассказал руководитель группы исследований безопасности банковских систем Positive Technologies Максим Костиков. Полный текст

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Цитата

Второй ошибкой является использование SMS-уведомлений вместо push. Отказ от SMS-уведомлений убережет ваши данные, потому что перехватить SMS гораздо легче.

Затроянить смартфон гораздо легче, нет?

Изменено пользователем azhur

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, azhur сказал:

Затроянить смартфон гораздо легче, нет?

 

Так оба варианта паршивы. А токен банки почему-то не дают для авторизации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

PS. Какой банк заказал эту фигню? СМС-уведомления стоят банкам денег и подпадают под закон о рекламе. А вот push бесплатны и не подпадают. Выводы делайте сами. Но с СМС - мозг целее, и ходят они везде, а не только там, где есть интернет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 часов назад, fhunter сказал:

PS. Какой банк заказал эту фигню? СМС-уведомления стоят банкам денег и подпадают под закон о рекламе. А вот push бесплатны и не подпадают. Выводы делайте сами. Но с СМС - мозг целее, и ходят они везде, а не только там, где есть интернет.

(вспоминая свою любимую мозоль)

А генераторы/списки одноразовых кодов работают даже там, где интернета нет. Только непонятно, как именно человек в личный кабинет (а именно это самый частый сценарий использования такого кода) при этом попал.

Ошибка заключается вообще в том, что банк одноразовый код куда-то посылает.

 

9 часов назад, azhur сказал:

Затроянить смартфон гораздо легче, нет?

Если смарт специально для работы с банком предназначен и просто так для хождения по интернету не используется - то, я думаю, не легче.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 минут назад, Sergey Gilfanov сказал:

Если смарт специально для работы с банком предназначен и просто так для хождения по интернету не используется - то, я думаю, не легче.

7 миллиардов жителей нашей планеты Вас не поняли :)

 



Взломщики перехватывают смс, которое приходит на телефон, после чего меняют аутентификационные данные жертвы

 

Статья про какой то вакум в коне.. если взломщик перехватывает СМС, то почему он же не перезватывает пуш ? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, st_re сказал:

7 миллиардов жителей нашей планеты Вас не поняли :)

Да ладно. Старые вполне брендовые смарты можно найти даже даром. Берем такой, полностью обнуляем, ставим банк-клиент на него и в дальнейшем только этот банк-клиент на этом смарте и запускаем. Когда не пользуемся - выключаем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

они вообще вашу мысль не поняли... совсем.. и не будут они искать и тем более таскать с собой второй телефон...(а дальше третий - пятый-десятый.. по 1 на каждый банк которых 2 будет запросто, и на всякие личные кабинеты. а еще и на работу.. и еще кудато, и отдельно на чатики.. ага. ща.. всё будет в одном телефоне. включая сёрф по интернету)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, st_re сказал:

Статья про какой то вакум в коне.. если взломщик перехватывает СМС, то почему он же не перезватывает пуш ? 

Потому что товарищ забыл сказать, что СМС должно приходить на другой телефон, не тот, где банк-клиент стоит. Хотя в общем разницы никакой. Если у тебя зловред в телефоне стоит из за

4 часа назад, st_re сказал:

всё будет в одном телефоне. включая сёрф по интернету)

то зловред может и с самим банк-клиентом что-нибудь нехорошее сделать, чтобы деньги увести.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 минут назад, Sergey Gilfanov сказал:

то зловред может и с самим банк-клиентом что-нибудь нехорошее сделать, чтобы деньги увести.

Живого примера я видел.. давно правда, Вот у человека прямо с банк клиента в телефоне и получая СМС на него же деньги прямо на глазах и увели.. (давно было, сейчас кажется СМС получить затруднительно.. хотя если сломали, то и рутануть можно.)

 

насколько я помню он както успел позвонить в банк и стопнуть переводы..

 

зы, и я не вижу разницы в таком раскладе с пуш уведомлениями ну вот совсем.. тем более что СМС на другой телефн я еще представить могу, а вот пуш со 100% вероятностью пойдут на тот же.. в общем отжать телефон и переводи себе. многие из банк клиентов и не выходят, и не все банк клиенты при вызове ранее запущенного приложения переспрашивают пароль. а уж пуш уведомления показывают без пароля все. Себе то я банк клиент заблочил отдельным заявлением, к лешему.. но многим нравится, удобно же..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 часов назад, st_re сказал:

Себе то я банк клиент заблочил отдельным заявлением, к лешему.. но многим нравится, удобно же..

У меня недавно оператор в отделении Альфа-Банка обычный банковский перевод не мог сделать. Который не по номеру карты, не по номеру телефона, а вот просто по банковским атрибутам с одного счета на счет в другом банке. Утверждал, что ему система подсовывала только альтернативные (и, разумеется с большей комиссией) способы. Пришлось прямо в банке на телефоне этот перевод прямо перед ним оформлять. Там, к счастью, пока это не выпилили. Так что, увы, оно не просто удобно, но и приходится иногда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 часов назад, Sergey Gilfanov сказал:

Старые вполне брендовые смарты можно найти даже даром. Берем такой, полностью обнуляем, ставим банк-клиент на него

Советую попробовать поставить на старый смарт с гигом ОЗУ банк-клиент с маркета. Так сказать, насладиться процессом. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Sergey Gilfanov сказал:

У меня недавно оператор в отделении Банка 

ну так какие требования такие и операторы.. требования то подешевше и требовать побольше. умные быстро сваливают с такой работы. это я и в макдачке регулярно рассказываю, что им нажать чтобы мой обед собрался с чуть меньшим кофе, чем оно там по умолчанию...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 часов назад, st_re сказал:

(давно было, сейчас кажется СМС получить затруднительно.. хотя если сломали, то и рутануть можно.)

Сейчас СМС можно уводить вообще не с телефона. https://arstechnica.com/information-technology/2021/03/16-attack-let-hacker-intercept-a-t-mobile-users-text-messages/

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, snvoronkov сказал:

Советую попробовать поставить на старый смарт с гигом ОЗУ банк-клиент с маркета. Так сказать, насладиться процессом

Он не встанет тупо, ибо там древние security strings будут. Сберовский в таких случаях почти все функции отключает, только баланс смотреть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

17 минут назад, jffulcrum сказал:

Он не встанет тупо, ибо там древние security strings будут. Сберовский в таких случаях почти все функции отключает, только баланс смотреть.

И не только это. Там еще куча красочных моментов, которые вызывают выплески плохо контролируемых эмоций в виде непроизвольного мата у всех подопытных. ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Там и места во встроенном флеше поди кот нассал, а та же альфа под гиг выедает, а на SD поставить нельзя, небжпсздно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, snvoronkov сказал:

Советую попробовать поставить на старый смарт с гигом ОЗУ банк-клиент с маркета. Так сказать, насладиться процессом. :-)

У меня стоит. На huawei Y5 lite DRA-LX5. Памяти как раз 1G. И Альфа и Сбер стоят. Оно, конечно, медленно и печально, но вполне работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Sergey Gilfanov сказал:

У меня стоит. На huawei Y5 lite DRA-LX5.

Это-ж разве старый? 8-ой человеколюб.
5-й или 6-ой - вот это старый.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, jffulcrum сказал:

та же альфа под гиг выедает

Там что, встроенные порноролики в 4К? Как может сраный банк-клиент занимать гиг? Да какой нафиг гиг, даже 50 мег - это очень много.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, snvoronkov сказал:

Это-ж разве старый? 8-ой человеколюб.
5-й или 6-ой - вот это старый.

 

Ну стоял на galaxy mini j1  с ведроидом 5.6 клиент от сосите у генерала, не очень и печально было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

19 минут назад, straus сказал:

Там что, встроенные порноролики в 4К? Как может сраный банк-клиент занимать гиг? Да какой нафиг гиг, даже 50 мег - это очень много.

Скачал тестом apk-шку, получилось 91 мегабайт.  Распакованная - 258. Не считая кэшей, но ставить эту радость не хочется от слова совсем.

 

Куда столько!?!? После требуемых прав у банковских клиентов - "спасибо, но я как-нибудь через сайт".

Изменено пользователем fhunter

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, snvoronkov сказал:

Это-ж разве старый? 8-ой человеколюб.
5-й или 6-ой - вот это старый.

Ну, да. Только аргумент был про то, что проблемы не от объема памяти. на 5-ом и 6-ом ее даже больше будет для приложений. А что касается того, что 8-й еще не старый - так производители смартов считают иначе.

15 минут назад, straus сказал:

Там что, встроенные порноролики в 4К? Как может сраный банк-клиент занимать гиг? Да какой нафиг гиг, даже 50 мег - это очень много.

Есть немалая вероятность, что оно тащит и запускает какой-нибудь эквивалент браузера. И весь рантайм какого-нибудь TypeScript. Можно, кончено, расковырять и посмотреть, но лень.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 минут назад, Sergey Gilfanov сказал:

Есть немалая вероятность, что оно тащит и запускает какой-нибудь эквивалент браузера. И весь рантайм какого-нибудь TypeScript. Можно, кончено, расковырять и посмотреть, но лень. 

~26 мегабайт - libcom.yandex.mapkit и libcom.yandex.runtime
ещё 14 мегабайт - библиотека libjniSmartIdEngine.so (https://ru.wikipedia.org/wiki/Smart_IDReader )

139 мегабайт - код (*.dex файлы, все ли нужны - не знаю).

38 мегабайт - ресурсы и иконки

~7 мегабайт - libjingle (голосовая и peer2peer связь).

8.5 мегабайт - некий bundle_rus_card_barcode_mobile.zip (предположительно модуль чтения штрихкодов с документов).

2.5 мегабайт - предположительно иконки для всяких платёжных точек. 212 штук.

1.5 мегабайта -несжатая картинка 640x1300 с предложением подключить push-и.

1.5 мегабайта - папка intro, с картинками jpeg, до 1440x1264. Подозрительно напоминающими то что показывается при первом запуске.

Получено - скачиванием apk-шки и последующей распаковкой. Декомпиляцию не делал.

Изменено пользователем fhunter

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.