Robot_NagNews Опубликовано 27 апреля, 2021 · Жалоба Материал: Мало кто задумывается о том, насколько же сильно мы упрощаем мошенникам доступ в различные аккаунты. В наше время все чаще стали происходить кражи банковских данных клиентов. О том, какие способы используют мошенники для кражи данных в онлайн-банках, рассказал руководитель группы исследований безопасности банковских систем Positive Technologies Максим Костиков. Полный текст Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 27 апреля, 2021 (изменено) · Жалоба Цитата Второй ошибкой является использование SMS-уведомлений вместо push. Отказ от SMS-уведомлений убережет ваши данные, потому что перехватить SMS гораздо легче. Затроянить смартфон гораздо легче, нет? Изменено 27 апреля, 2021 пользователем azhur Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fhunter Опубликовано 27 апреля, 2021 · Жалоба 1 час назад, azhur сказал: Затроянить смартфон гораздо легче, нет? Так оба варианта паршивы. А токен банки почему-то не дают для авторизации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fhunter Опубликовано 27 апреля, 2021 · Жалоба PS. Какой банк заказал эту фигню? СМС-уведомления стоят банкам денег и подпадают под закон о рекламе. А вот push бесплатны и не подпадают. Выводы делайте сами. Но с СМС - мозг целее, и ходят они везде, а не только там, где есть интернет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 27 апреля, 2021 · Жалоба 7 часов назад, fhunter сказал: PS. Какой банк заказал эту фигню? СМС-уведомления стоят банкам денег и подпадают под закон о рекламе. А вот push бесплатны и не подпадают. Выводы делайте сами. Но с СМС - мозг целее, и ходят они везде, а не только там, где есть интернет. (вспоминая свою любимую мозоль) А генераторы/списки одноразовых кодов работают даже там, где интернета нет. Только непонятно, как именно человек в личный кабинет (а именно это самый частый сценарий использования такого кода) при этом попал. Ошибка заключается вообще в том, что банк одноразовый код куда-то посылает. 9 часов назад, azhur сказал: Затроянить смартфон гораздо легче, нет? Если смарт специально для работы с банком предназначен и просто так для хождения по интернету не используется - то, я думаю, не легче. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 27 апреля, 2021 · Жалоба 16 минут назад, Sergey Gilfanov сказал: Если смарт специально для работы с банком предназначен и просто так для хождения по интернету не используется - то, я думаю, не легче. 7 миллиардов жителей нашей планеты Вас не поняли :) Взломщики перехватывают смс, которое приходит на телефон, после чего меняют аутентификационные данные жертвы Статья про какой то вакум в коне.. если взломщик перехватывает СМС, то почему он же не перезватывает пуш ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 27 апреля, 2021 · Жалоба 1 минуту назад, st_re сказал: 7 миллиардов жителей нашей планеты Вас не поняли :) Да ладно. Старые вполне брендовые смарты можно найти даже даром. Берем такой, полностью обнуляем, ставим банк-клиент на него и в дальнейшем только этот банк-клиент на этом смарте и запускаем. Когда не пользуемся - выключаем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 27 апреля, 2021 · Жалоба они вообще вашу мысль не поняли... совсем.. и не будут они искать и тем более таскать с собой второй телефон...(а дальше третий - пятый-десятый.. по 1 на каждый банк которых 2 будет запросто, и на всякие личные кабинеты. а еще и на работу.. и еще кудато, и отдельно на чатики.. ага. ща.. всё будет в одном телефоне. включая сёрф по интернету) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 27 апреля, 2021 · Жалоба 4 часа назад, st_re сказал: Статья про какой то вакум в коне.. если взломщик перехватывает СМС, то почему он же не перезватывает пуш ? Потому что товарищ забыл сказать, что СМС должно приходить на другой телефон, не тот, где банк-клиент стоит. Хотя в общем разницы никакой. Если у тебя зловред в телефоне стоит из за 4 часа назад, st_re сказал: всё будет в одном телефоне. включая сёрф по интернету) то зловред может и с самим банк-клиентом что-нибудь нехорошее сделать, чтобы деньги увести. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 27 апреля, 2021 · Жалоба 10 минут назад, Sergey Gilfanov сказал: то зловред может и с самим банк-клиентом что-нибудь нехорошее сделать, чтобы деньги увести. Живого примера я видел.. давно правда, Вот у человека прямо с банк клиента в телефоне и получая СМС на него же деньги прямо на глазах и увели.. (давно было, сейчас кажется СМС получить затруднительно.. хотя если сломали, то и рутануть можно.) насколько я помню он както успел позвонить в банк и стопнуть переводы.. зы, и я не вижу разницы в таком раскладе с пуш уведомлениями ну вот совсем.. тем более что СМС на другой телефн я еще представить могу, а вот пуш со 100% вероятностью пойдут на тот же.. в общем отжать телефон и переводи себе. многие из банк клиентов и не выходят, и не все банк клиенты при вызове ранее запущенного приложения переспрашивают пароль. а уж пуш уведомления показывают без пароля все. Себе то я банк клиент заблочил отдельным заявлением, к лешему.. но многим нравится, удобно же.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 28 апреля, 2021 · Жалоба 9 часов назад, st_re сказал: Себе то я банк клиент заблочил отдельным заявлением, к лешему.. но многим нравится, удобно же.. У меня недавно оператор в отделении Альфа-Банка обычный банковский перевод не мог сделать. Который не по номеру карты, не по номеру телефона, а вот просто по банковским атрибутам с одного счета на счет в другом банке. Утверждал, что ему система подсовывала только альтернативные (и, разумеется с большей комиссией) способы. Пришлось прямо в банке на телефоне этот перевод прямо перед ним оформлять. Там, к счастью, пока это не выпилили. Так что, увы, оно не просто удобно, но и приходится иногда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 28 апреля, 2021 · Жалоба 16 часов назад, Sergey Gilfanov сказал: Старые вполне брендовые смарты можно найти даже даром. Берем такой, полностью обнуляем, ставим банк-клиент на него Советую попробовать поставить на старый смарт с гигом ОЗУ банк-клиент с маркета. Так сказать, насладиться процессом. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 28 апреля, 2021 · Жалоба 1 час назад, Sergey Gilfanov сказал: У меня недавно оператор в отделении Банка ну так какие требования такие и операторы.. требования то подешевше и требовать побольше. умные быстро сваливают с такой работы. это я и в макдачке регулярно рассказываю, что им нажать чтобы мой обед собрался с чуть меньшим кофе, чем оно там по умолчанию... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fhunter Опубликовано 28 апреля, 2021 · Жалоба 11 часов назад, st_re сказал: (давно было, сейчас кажется СМС получить затруднительно.. хотя если сломали, то и рутануть можно.) Сейчас СМС можно уводить вообще не с телефона. https://arstechnica.com/information-technology/2021/03/16-attack-let-hacker-intercept-a-t-mobile-users-text-messages/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 28 апреля, 2021 · Жалоба 2 часа назад, snvoronkov сказал: Советую попробовать поставить на старый смарт с гигом ОЗУ банк-клиент с маркета. Так сказать, насладиться процессом Он не встанет тупо, ибо там древние security strings будут. Сберовский в таких случаях почти все функции отключает, только баланс смотреть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 28 апреля, 2021 · Жалоба 17 минут назад, jffulcrum сказал: Он не встанет тупо, ибо там древние security strings будут. Сберовский в таких случаях почти все функции отключает, только баланс смотреть. И не только это. Там еще куча красочных моментов, которые вызывают выплески плохо контролируемых эмоций в виде непроизвольного мата у всех подопытных. ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 28 апреля, 2021 · Жалоба Там и места во встроенном флеше поди кот нассал, а та же альфа под гиг выедает, а на SD поставить нельзя, небжпсздно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 28 апреля, 2021 · Жалоба 2 часа назад, snvoronkov сказал: Советую попробовать поставить на старый смарт с гигом ОЗУ банк-клиент с маркета. Так сказать, насладиться процессом. :-) У меня стоит. На huawei Y5 lite DRA-LX5. Памяти как раз 1G. И Альфа и Сбер стоят. Оно, конечно, медленно и печально, но вполне работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 28 апреля, 2021 · Жалоба 1 час назад, Sergey Gilfanov сказал: У меня стоит. На huawei Y5 lite DRA-LX5. Это-ж разве старый? 8-ой человеколюб. 5-й или 6-ой - вот это старый. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 28 апреля, 2021 · Жалоба 2 часа назад, jffulcrum сказал: та же альфа под гиг выедает Там что, встроенные порноролики в 4К? Как может сраный банк-клиент занимать гиг? Да какой нафиг гиг, даже 50 мег - это очень много. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 28 апреля, 2021 · Жалоба девляпсы, сэр.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 28 апреля, 2021 · Жалоба 1 час назад, snvoronkov сказал: Это-ж разве старый? 8-ой человеколюб. 5-й или 6-ой - вот это старый. Ну стоял на galaxy mini j1 с ведроидом 5.6 клиент от сосите у генерала, не очень и печально было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fhunter Опубликовано 28 апреля, 2021 (изменено) · Жалоба 19 минут назад, straus сказал: Там что, встроенные порноролики в 4К? Как может сраный банк-клиент занимать гиг? Да какой нафиг гиг, даже 50 мег - это очень много. Скачал тестом apk-шку, получилось 91 мегабайт. Распакованная - 258. Не считая кэшей, но ставить эту радость не хочется от слова совсем. Куда столько!?!? После требуемых прав у банковских клиентов - "спасибо, но я как-нибудь через сайт". Изменено 28 апреля, 2021 пользователем fhunter Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 28 апреля, 2021 · Жалоба 1 час назад, snvoronkov сказал: Это-ж разве старый? 8-ой человеколюб. 5-й или 6-ой - вот это старый. Ну, да. Только аргумент был про то, что проблемы не от объема памяти. на 5-ом и 6-ом ее даже больше будет для приложений. А что касается того, что 8-й еще не старый - так производители смартов считают иначе. 15 минут назад, straus сказал: Там что, встроенные порноролики в 4К? Как может сраный банк-клиент занимать гиг? Да какой нафиг гиг, даже 50 мег - это очень много. Есть немалая вероятность, что оно тащит и запускает какой-нибудь эквивалент браузера. И весь рантайм какого-нибудь TypeScript. Можно, кончено, расковырять и посмотреть, но лень. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fhunter Опубликовано 28 апреля, 2021 (изменено) · Жалоба 12 минут назад, Sergey Gilfanov сказал: Есть немалая вероятность, что оно тащит и запускает какой-нибудь эквивалент браузера. И весь рантайм какого-нибудь TypeScript. Можно, кончено, расковырять и посмотреть, но лень. ~26 мегабайт - libcom.yandex.mapkit и libcom.yandex.runtime ещё 14 мегабайт - библиотека libjniSmartIdEngine.so (https://ru.wikipedia.org/wiki/Smart_IDReader ) 139 мегабайт - код (*.dex файлы, все ли нужны - не знаю). 38 мегабайт - ресурсы и иконки ~7 мегабайт - libjingle (голосовая и peer2peer связь). 8.5 мегабайт - некий bundle_rus_card_barcode_mobile.zip (предположительно модуль чтения штрихкодов с документов). 2.5 мегабайт - предположительно иконки для всяких платёжных точек. 212 штук. 1.5 мегабайта -несжатая картинка 640x1300 с предложением подключить push-и. 1.5 мегабайта - папка intro, с картинками jpeg, до 1440x1264. Подозрительно напоминающими то что показывается при первом запуске. Получено - скачиванием apk-шки и последующей распаковкой. Декомпиляцию не делал. Изменено 28 апреля, 2021 пользователем fhunter Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...