Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 35
Попробуйте залейте троян на мой телефон стоимостью 500 рублей,
на который приходят смски. А на андроидо-фоне с каких-то пор,
почему-то перестала работать установка из google-store:
причем стор говорит, что все ок и программы установлены
— но программы от этого на телефоне что-то не появляются. :)
Так что, может быть, все не так плохо?
на который приходят смски. А на андроидо-фоне с каких-то пор,
почему-то перестала работать установка из google-store:
причем стор говорит, что все ок и программы установлены
— но программы от этого на телефоне что-то не появляются. :)
Так что, может быть, все не так плохо?
Надо бы прикупить фонарик с смсками…
А не проводили исследования по поводу одноразовых паролей с брелоков? Что то типа Battle.Net Mobile Authenticator и тому подобных?
А не проводили исследования по поводу одноразовых паролей с брелоков? Что то типа Battle.Net Mobile Authenticator и тому подобных?
Хардварный брелок видится более безопасным в програмном плане — на него не поставишь постороннюю программу, у него нет связи с интернетом. Но в плане физического воровства он более уязвим — цифры высвечиваются прямо на экране (на телефон можно поставить пароль + оперативно заблокировать в случае кражи).
К сожалению, есть более простой способ получить доступ к телефону — через переоформление/перевыпуск SIM-карты по поддельной доверенности (или вообще без неё, через знакомого или коррумпированного сотрудника) — примеров много.
Согласен, поддельные доверенности — представляют большую опасность, причем не только для средств в банке. Мной описан скорее «еще один способ», не думаю, что он сейчас широко применяется.
Не совсем так. Поддельную доверенность на продажу квартиры раздобыть тяжело, её будут проверять. А поддельную доверенность на смену симкарты или даже паспорт никто в «ларьке» оператора проверять не будет, к тому же не исключён сговор с сотрудниками этого же ларька (т.к. ему грозит максимум увольнение).
От этого вроде есть защита. Альфа банк проверяет IMSI симкарты, если не ничего не будет работать (даже если сами её сменили).
Троян пересылает считанные с помощью кейлоггера логин и пароль на email злоумышленника
нужно при входе в интернет-банк использовать экранную клавиатуру
У меня для Вас плохая новость — уважающие себя трояны-кейлоггеры уже давно научились делать скриншот области вокруг точки, где вы щёлкнули мышью.
Графический пароль в этом случае поможет.
спасибо за уточнение
я имел в виду неуважающего себя трояна-кейлогера, который логирует нажатия клавиш на клавиатуре
я имел в виду неуважающего себя трояна-кейлогера, который логирует нажатия клавиш на клавиатуре
У одного банка была экранная клавиатура, считывавшая «задержки» курсора над нужной кнопкой. Клики не обрабатывались вообще. Но набирать пароль на пк было крайне утомительно, а на планшете и вовсе невозможно.
Простите, но об этом давно известно и неоднократно публиковались отчёты о Zeus, использующий такой способ кражи средств с банковской карты.
А разве банковское ПО не запрещает две активные сессии (в нашем случае клиента и злоумышленника)?
545-рублей (+-100р. в разных регионах). Самый дешевый новый телефон с возможностью принимать СМС, вводить пин-код и код разблокировки телефона. Ваш %operatorname% с тарифом без абонентки и балансом 1$.
На время банкинга телефон включается, потом хранится выключенным.
Ах, ну да:
1. Эт чо, мне надо отдельный телефон покупать? это НЕУДОБНО!
2. Эт ж надо опять в банк переться с паспортом чтоб новый номер зарегать! НЕУДОБНО!
3. Эт мне, чо — каждый раз пинкод вводить — НЕУДОБНО!
На время банкинга телефон включается, потом хранится выключенным.
Ах, ну да:
1. Эт чо, мне надо отдельный телефон покупать? это НЕУДОБНО!
2. Эт ж надо опять в банк переться с паспортом чтоб новый номер зарегать! НЕУДОБНО!
3. Эт мне, чо — каждый раз пинкод вводить — НЕУДОБНО!
ну честно говоря, отдельный, простой телефон для «только разговоров/смс» — вещь крайне удобная: На него можно поставить тарифный план, заточенный под разговоры(с дорогим интернетом), как правило они долго держат заряд (по сравнению со смартфонами), и да, на нём не боишься зловредных программ
Как правило, «ваш %operatorname%» в одностороннем порядке разрывает контракт, по которому долгое время не было списаний. То есть
4. Эт мне чо, каждый месяц с него звонить на пять копеек или отправлять смс самому себе?!!! НЕУДОБНО!
4. Эт мне чо, каждый месяц с него звонить на пять копеек или отправлять смс самому себе?!!! НЕУДОБНО!
Все это частников только касается или мелких контор. В нормальных конторах для ДБО выделенные машины, на которых в инете не сидят, доступ строго куда надо и больше никуда, повышенный контроль, мониторинг аномалий, нет постороннего софта, жетско отключена вся лишняя перефирия.
Сразу оговоримся о схеме доступа к банкингу. В статье рассматривается следующая защита, предлагаемая банками:
* Пара логин/пароль для доступа к сайту банкинга
* Разовый пароль (чаще всего цифровой), отправляемый по SMS на телефон клиента для подтверждения каждой операции
Хмм, на мой взгляд первый пункт уже давно многими банками пройден. Давно уже вместо первого применяют ключи с флешки,
что существенно затрудняет задачу злоумышленника…
* Пара логин/пароль для доступа к сайту банкинга
* Разовый пароль (чаще всего цифровой), отправляемый по SMS на телефон клиента для подтверждения каждой операции
Хмм, на мой взгляд первый пункт уже давно многими банками пройден. Давно уже вместо первого применяют ключи с флешки,
что существенно затрудняет задачу злоумышленника…
У меня у нескольких знакомых для двухфакторной авторизации как раз используется тупая звонилка класса нокиа 1100, которая только и умеет звонить и смски туда/сюда и про её существование знает ограниченное количество человек — т.к это не основной телефон. Ну и утащить с него данные сложно, т.к. он в принципе не может быть подключен к компу.
Ещё вариант — ходить на банковские сайты из виртуалки, из которой ходят только на них и службу обновления винды и антивируса.
Ещё вариант — ходить на банковские сайты из виртуалки, из которой ходят только на них и службу обновления винды и антивируса.
Бизнес-идея:
Двухсимочный телефон, одна из симок привязана с «смарт»-функциональности, другая — к «тупой звонилке с смс».
Двухсимочный телефон, одна из симок привязана с «смарт»-функциональности, другая — к «тупой звонилке с смс».
Разделение функциональности будет программное? Что тогда мешает трояну точно так же работать со второй cимкой?
Или отдельный процессор, GSM-модуль и прошивка на «тупозвонилочную» часть?
Или отдельный процессор, GSM-модуль и прошивка на «тупозвонилочную» часть?
С программной смысла не очень много. Двухсимочные-то андроиды вполне существуют во множестве.
Скорее, программно-аппаратное (или «микропрограммное»). Без доступа программам к апи переключения симок. Отдельное железо — лишнее. Разве что для совсем параноиков.
Кстати, это любопытно, как сейчас сделано в двухсимочных андроидах. Впролне возможно, что оно уже процентов на 90 так и есть или можно сделать настройками.
Скорее, программно-аппаратное (или «микропрограммное»). Без доступа программам к апи переключения симок. Отдельное железо — лишнее. Разве что для совсем параноиков.
Кстати, это любопытно, как сейчас сделано в двухсимочных андроидах. Впролне возможно, что оно уже процентов на 90 так и есть или можно сделать настройками.
Думаю, даже двух симок не потребуется.
Берем искходники Android, дописываем секьюрный функционал: сокрытие смсок от определенных номеров (список редактируемый). При этом меняем код так, чтобы скрываемые смс-ки даже не попадали в обычное хранилище. Доступ к сокрытым смс через специальный API (и по доп. паролю).
Получаем очередную кастомную прошивку. Конечно ее тоже можно будет сломать, но уровень защиты существенно вырастет.
Берем искходники Android, дописываем секьюрный функционал: сокрытие смсок от определенных номеров (список редактируемый). При этом меняем код так, чтобы скрываемые смс-ки даже не попадали в обычное хранилище. Доступ к сокрытым смс через специальный API (и по доп. паролю).
Получаем очередную кастомную прошивку. Конечно ее тоже можно будет сломать, но уровень защиты существенно вырастет.
Спасибо =) Узнал про то, что можно можно пушить приложения на телефон ;)
Да, это до меня дошло ещё давным давно.
С тех пор все смски идут на старую нокию, а специальное Android-приложение от goole для двухфакторной защиты снесено к чертям, ибо стало понятно, что потеряв телефон, потеряю и почту и деньги и много чего ещё.
С тех пор все смски идут на старую нокию, а специальное Android-приложение от goole для двухфакторной защиты снесено к чертям, ибо стало понятно, что потеряв телефон, потеряю и почту и деньги и много чего ещё.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Однофакторная двухфакторная аутентификация