Comments 78
После этого, через недобросовестного сотрудника сотовой связи, перевыпускается СИМ-карта.
Запрет действий по доверенности — это первое, что должен сделать человек в России после покупки сим-карты. В Билайне это делается через бумажное заявление. У остальных операторов через отправку SMS. Без этого никакой защиты ваших счетов и данных просто не существует.
Запрет действий по доверенности — это первое, что должен сделать человек в России после покупки сим-карты.Да никакой разницы не делает вообще.
Если предположить что сотрудник добросовестный, то при замене по доверенности он проверит паспорт того кто требует замену и саму доверенность. Получается надо подделать доверенность и палиться со своим паспортом или подделывать и паспорт и доверенность вместе.
Если предположить что сотрудник недобросовестный, то тоже толку нет. Подделают паспорт самого владельца и за симкой какбэ владелец прийдет. Либо он забудет посмотреть в программе что запрещены действий по доверенности. Либо и паспорт забудет спросить.
Если предположить что сотрудник сообщник, то в принципе нет никакой разницы.
Или же вариант — потерять (дать похитить) телефон, желательно с установленным клиентом банка — чтобы долго не искать номер карты.
И как потеря телефона с паролем и pin кодом на симке скомпрометирует мой номер телефона или карту?
Ладно, банк выпуска карты ещё хоть как-то можно узнать, если зайти в spay или applepay, на заблокированном экране можно увидеть лого карты.
Но позвонить с этого телефона куда-то кроме 911 или экстренных номеров (семья например, если настроено в телефоне) не получится
Более того, если у злоумышленника есть доступ к перевыпуску симки, то приложение сбера тут никак не поможет
Работая в мастерской могу сказать одно, до лампочки все ваши пароли, и даже на симке) есть считыватель сим, и программатор, там будет затерт ваш пин, и также на телефоне spay это вообще мусор, а снять пароль с экрана телефона имея специальный программатор вообще пустяк)
Если сильно заморочиться — ПЗУ выпивается и считывается программатором. Вместе с "защищёнными" в данном случае областями, где лежат ключи шифрования )
Или же вариант — потерять (дать похитить) телефон, желательно с установленным клиентом банка — чтобы долго не искать номер карты. Дабл килл!
Если оперировать терминами похищения, тогда уж можно и человека похитить, сделать ему терморектальный анализ и всего делов. Как вы себе представляете защиту со стороны банка от кражи вашего телефона?
После этого, через недобросовестного сотрудника сотовой связи, перевыпускается СИМ-карта.
Многие банки давно отслеживают перевыпуск сим карты, и помечают это как потенциальный фрод. Я не знаю как у сбера обстоят дела, но это точно факт, сталкивался с этим сам.
Вообще в целом статья напомнила давно известную историю «Хакер в столовой»
Тык
помечают это как потенциальный фрод
Мне банк присылал смс после смены оператора (номер тот же), типа «в ближайшие сутки вы ничего не можете с телефона сделать». Если надо, топайте ногами в банк
en.wikipedia.org/wiki/SIM_card
Но это очень приблизительно. В тонкости не вникал.
Таким образом, во-первых, нужно, чтобы этим заморочился оператор, во-вторых, чтобы этим заморочился банк. Т.е. не все случаи покрываются. Банки попроще не парятся. Операторы тоже не все парятся.
Там у разных банков по разному: у одних — реакция на смену или телефона или симки, у других — только если меняются и телефон и симка, а третьим — пофиг.
Альфа паниковала при смене одного из компонентов, помнится, Сбер — когда оба (под новый телефон пришлось менять симку на нано).
Если меняете сим-карту — меняется IMSI.
Если меняете eSIM — насколько знаю, тоже меняется IMSI.
Если меняете телефон или SIM-слот — меняется IMEI.
Как вы себе представляете защиту со стороны банка от кражи вашего телефона?
Не использовать телефон для авторизации. Для этого банковская карта придумана. Которая pin-ом защищена на случай, если и телефон и карту украли.
Правда тем, у кого либо телефон, либо карта NFC не умеют, придется пользоваться специально придуманным для этого ридером.
Так pin же у карты. Для того и придуман.
А как вы авторизовывать пользователя в банковской системе или приложении будете? Просить его ввести пин от карты вместо пароля или логина?
Если и карта и телефон NFC умеют — "приложите карту к телефону и наберите pin".
Если что-то из них этого не умеет — то же самое, но через контактный ридер.
Если на телефоне стоит зловред и он пин перехватил — то ему это мало что дает, т.к. любая операция еще и картой подтверждаться должна. Если же зловред очень злобный и умеет вклиниваться и подменять шифрованный обмен карта<->банк — то это означает, что он приватные ключи банка знает, чтобы MitM для карты устроить и совсем другой уровень проблем.
Если и карта и телефон NFC умеют — «приложите карту к телефону и наберите pin».
Если что-то из них этого не умеет — то же самое, но через контактный ридер.
Что делать тем у кого нет NFC?
Если на телефоне стоит зловред и он пин перехватил — то ему это мало что дает, т.к. любая операция еще и картой подтверждаться должна. Если же зловред очень злобный и умеет вклиниваться и подменять шифрованный обмен карта<->банк — то это означает, что он приватные ключи банка знает, чтобы MitM для карты устроить и совсем другой уровень проблем.
Мы говорили про риск кражи, а не зловредов на телефоне.
Что делать тем у кого нет NFC?
Ну строчкой выше же написано 'то же самое, но через контактный ридер.'
Ридер — он просто ридер. Адаптер интерфейса к чипу карты. Который интерфейс вполне стандартный. С другой стороны — USB. Где я утверждал, что он хоть как-то от кражи защищает — непонятно.
Подключать — к телефону (тут лучше бы, чтобы ридер умел usb host, чтобы otg от смарта не требовать) или компу. Протоколы более высокого уровня, по которому банковское приложение внутри чипа карты с банком общаться будет — это пускай у банка и производителей карты голова болит. Сумели же как-то договориться о протоколах, что в NFC оплате используются.
Предоставлять — как банку хочется. Я бы продавал. Тупой адаптер интерфейса дешевый при массовом производстве.
Этот телефон уже имеет доступ к управлению банковским счетом — на нем приложение банк-клиента стоит. Какой сценарий атаки добавляется, если мы начнем pin карты спрашивать, а не тот pin, что сейчас это приложение использует?
Сейчас единственный способ узнать ПИН — физически подсмотреть его при наборе в банкомате. PIN ни в банке не хранится, ни в банкомат не передаётся. Сами по себе карты вполне неплохо защищены.
Вы предлагаете снизить уровень защиты одного из компонентов на основании того, что у вас есть проблемы с защитой другого несвязанного компонента.
И на всякий случай ещё раз повторю — если всё сделано правильно, то ПИН-код в банке не хранится, но проверяется банком, как вы его проверять будете?
Очевидно, что компрометации PIN-кода. После чего можно сделать клон карты даже не имея самой карты.
Во первых, это вроде бы ничем не отличается от риска утечки CVV, т.е. мы ситуацию не ухудшаем.
Во вторых, как ключики из чипа карты выковыривать?
Если же имеется в виду клон только по магнитной полосе — то использование такого клона моментально оспаривается.
И на всякий случай ещё раз повторю — если всё сделано правильно, то ПИН-код в банке не хранится, как вы его проверять будете?
Приблизительно (этап согласования сессионного ключа для общения с картой опущен, токости протокола — тоже, придумывалось на ходу):
приложение -> карте: Тут пользователь такой пин ввел. OK?
карта->приложению: (увеличивает счетчик неудачных попыток) Нет.
приложение->пользователю: неверный, давай еще раз.
пользователь: повторяет ввод пина.
приложение -> карте: Тут пользователь такой пин ввел. OK?
карта->приложению: Да.
приложение->банку. Тут залогиниться хотят с картой номер..., дай тикет авторизации
банк->приложению: высылает одноразовый тикет
приложение->карте: держи тикет от банка.
карта: проверяет подпись банка, подписывает тикет своим ключем.
карта->приложению: держи подписанный тикет.
Приложение->банку: держи подписанный тикет.
Банк: проверяет подпись карты на тикете и (не)дает доступ к информации о счете.
<через некоторое время, когда пользователь операцию сформировал>
приложение -> карте: Сделай мне подпись на "пакет данных операции"
карта->приложению: подписывает своим ключем и возвращает результат.
приложение->банку: пользователь захотел операцию сделать, вот подписанные данные.
банк: проверяет подпись на операции и (не)делает ее.
Вообще, не понимаю суди возражений. Аппаратные крипто ключи давно и успешно используются в бизнес-вариантах банковских клиентов. Защищаются именно pin-ами. Вот карта — и есть, по сути, такой аппаратный ключ. Который почему-то использовать не хотят.
И вы предлагаете некий свой воображаемый протокол. Там всё не так работает. Теоретически, можно на карту свой отдельный протокол прописать, но зачем? Тогда и ПИН другой прописывайте.
Ну, и вообще в ваш протокол содержит сразу несколько критических уязвимостей, да, и просто плохой. Хотя бы потому, что вы там сначала ПИН проверяете, а потом независимо что-то там от банка подписываете и всё через недоверенную третью сторону.
То что сейчас работает сделано намного лучше и безопаснее.
И вы предлагаете некий свой воображаемый протокол. Там всё не так работает. Теоретически, можно на карту свой отдельный протокол прописать, но зачем?
Ну, и вообще в ваш протокол содержит сразу несколько критических уязвимостей, да, и просто плохой.
Весьма возможно. На ходу же придумывался, без старательных размышлений. Но протоколы, используемые в бизнес-клиентах банков, что с аппаратными токенами работают, уже ведь есть? Они достаточно хорошие?
Почему чип на банковской карте не может делать то же самое, что чип внутри этого токена делает?
а потом независимо что-то там от банка подписываете и всё через недоверенную третью сторону.
В существующией ситуации, когда банк-клиент просто на телефоне стоит, эта непроверенная третья сторона тоже есть. В точности та же самая. Если добавить еще карту, она хотя бы ничего не может сделать, если карты нет поблизости.
Проблема в том, что, во-первых, на данный момент очень малое число пользователей имеют телефоны с NFC. Во-вторых, это требует кастомизации прошивки чипов карт, что достаточного дорого. И, в-третьих, уже выпущенные карты работать в качестве токенов не будут.
В результате в обозримом будущем подавляющие большинство пользователей всё равно не сможет этим функционалом воспользоваться и нужно будет иметь другой способ, авторизации, который будет использоваться в 90+% случаев.
А если у вас всё равно должен быть другой способ, то на черта заморачиваться? Проще добавить поддержку стандартного второго фактора, чтобы желающие могли купить себе ключ и радоваться.
Но это тупо будет отдельный функционал на том же чипе карте.
Да. Именно это и следовало бы сделать. Вон, тут целых полторы новых платежных системы разработали и внедрили (МИР+система быстрых платежей) и нечего, как-то живем.
Проще добавить поддержку стандартного второго фактора, чтобы желающие могли купить себе ключ и радоваться.
Все таки не понял, почему нельзя сделать саму банковскую карту этим самым вторым фактором (с тем же самым стандартным протоколом, что у отдельного ключа). Ну да, поначалу функционал будет не у всех и нужно будет специально просить такую. Или даже таки отдельный ключ покупать. Но постепенно (они же не вечные) карты сменятся, телефоны с NFC подешевеют, люди обзаведутся ридерами и проблема 'есть не у всех' пропадет.
Если у вас несколько лет будут и карты и возможность делать «как раньше», то на фига вам карты? Уязвимость-то вы оставили. А если вы можете устранить уязвимость прямо сейчас без карт, то ключ-карты не нужна. Получается, что они в любом случае ненужны. «Л» — Логика.
Вот потому никто и не делает.
С МИР и прочим сравнивать нельзя, так как это грязные и кривые руки государства, приносящие вреда больше чем пользы. Вы можете заставить банки заменить все карты, добавить к ним ключи и заставить их использовать для авторизации в приложениях. Но вреда от этого будет больше чем пользы, заплатят за это пользователи карт и не мало, а использовать это смогут только 10% пользователей. Отличная идея!
Как я уже сказал — есть другие способы. Например, просто разрешить применять стандартные NFC-токены для авторизации. Или биометрию использовать. Тот же Тинькоф умеет в качестве второго фактора биометрию принимать. Более того, сканер отпечатков есть у гораздо большего количества пользователей чем NFC. И каждый телефон с NFC умеет в отпечатки, но не каждый со сканером отпечатком умеет в NFC. Отсюда мораль — зачем вы топите за какие-то хитрые карты и прочее, если нужно топить за использование отпечатков?
Карту нельзя сделать потому, что вы таким образом компрометируете карту.
А этого не понял. Почему копрометирую? В смысле, почему приложение авторизации в этой же карте сильно опаснее, чем в соседней, только для этого предназначенной.
Если у вас несколько лет будут и карты и возможность делать «как раньше», то на фига вам карты? Уязвимость-то вы оставили. А если вы можете устранить уязвимость прямо сейчас без карт, то ключ-карты не нужна. Получается, что они в любом случае ненужны. «Л» — Логика.
Такое же рассуждение работает и для внедрения чипов в картах. "Если нужно оставить обратную совместимость с магнитной полосой, то зачем вам чип? Уязвимость же останется. Если хочется, давайте отдельную, чисто чипованую карту лучше сделаем"
Одноко этого не произошло, а сами чипы почти повсеместно использовать стали. Правда, мнооого лет прошло.
Как я уже сказал — есть другие способы. Например, просто разрешить применять стандартные NFC-токены для авторизации.
Я, в общем, согласен, но стандартные токены с нужным функционалом как-то сильно отдельно и неудобно покупать надо, а карты — просто банком выдаются.
Отсюда мораль — зачем вы топите за какие-то хитрые карты и прочее, если нужно топить за использование отпечатков?
Я не верю в биометрию для этих целей. Прежде всего, потому что железку можно уничтожить, после чего никто никуда по ней доступа не получит. А биометрию уничтожить нельзя.
Ну и, если уж очень не хочется, чтобы карта какой-то пин помнила, можно весь обмен выше модифицировать так, чтобы переданный карте pin она просто использовала в процессе формирования подписи тикета при авторизации. И пускай уже банк, а не карта, разбирается, правильный он был или нет.
Если и карта и телефон NFC умеют — «приложите карту к телефону и наберите pin».
Только вот телефон не сможет проверить PIN-код банковской карты.
pin от SIM-ки он сам проверить тоже не может. Что не мешает его вводить и пользоваться. Тут точно так же. Спрашиваем и чипу карты отдаем, чтобы она операции над счетом подтвердила.
И всё равно не сработает, так как ПИН банк проверяет, а не карта.
Не совсем. Есть оффлайновый еще, который именно картой проверяться может.
В данном случае речь идет не о протоколе, что при покупке используется, а о том, который следовало бы использовать (по моему мнению) при авторизации банковского клиента. Какой надо пин, такой и будет. Пусть даже другой. Не вижу в этом проблемы.
Если и карта и телефон NFC умеют — «приложите карту к телефону и наберите pin».
Только вот телефон не сможет проверить PIN-код банковской карты.
Многие банки давно отслеживают перевыпуск сим карты, и помечают это как потенциальный фрод. Я не знаю как у сбера обстоят дела, но это точно факт, сталкивался с этим сам.У сбера никак, недавно меняли симку.
Оператор (мтс) на сутки заблокировал смс-ки от банков, о чем при смене сотрудник предупреждал.
Но из всех наших банков (с десяток наберется наверное) на сменку симки отреагировала только альфа, надо было или по телефону кодовое слово назвать или в отделение топать (пришлось топать, т.к. кодовое слово 15 лет назад еще выбирали и не помнили уже). Но и даже она заблокировала не полностью все смс-ки.
И при наличии мобильного клиента уведомления и коды могут приходить не смсками, а пушами.
Почему при смене логина и пароля перестала использоваться двухфакторная авторизация?
И логин был уникальным набором цифр и пароль, изначально выдавался банком на листочке.
И логин был уникальным набором цифр и пароль, изначально выдавался банком на листочке.
И проклинал за это проклятую сберкассу каждый второй. Весь мир мол, на онлайн перешел, а мы все еще лично с пачпортом вынужденны ходить. Сделали, как просилли массы. Опять не то. Оказывается — хотим лично с пачпортом.
Ходить не очень хотим.
Хотим чтобы спросили старый пароль
При кейсе «я забыл свой пароль»? Отличные вариант. Рабочий.
Отдельно радует предложение не хранить пароли в закрытом виде, как полагается, а дать возможность рядовому оператору колл-центра видить их в открытом виде. Это безусловно повысит безопасность.
или секретное слово.
Которое не помнит 90% пользователей? Вот интересу ради, поспрашивайте вокруг себя, помнят ли люди свое «секретное слово». Меня в свое время результат поразил. Оказалось, что большинство даже и не знает, что оно есть.
Или лезть в шкафчик с документами и искать заветный листик.
90% вообще чужда эта ваша безопасность. А в итоге имеем описанную идиотскую ситуацию, когда для получения доступа ко всем моим счетам достаточно иметь мой телефон и номер карты. И эту "фичу" нельзя отключить. Я звонил в банк, узнавал. При этом, банки, которые внедрили эту дырявую систему, отказываются нести отвестсвенность за кражу денег со счетов.
Вообще в целом статья напомнила давно известную историю «Хакер в столовой»Да, кстати, историю про мамкиного хакера советую рассказать в лицо ограбленным людям.
Например тому росгвардейцу, который в новости по ссылке.
Сейчас только выяснилось, что они откатили привязку к онлайн-банку на старый номер телефона. (Как так — другая история, у них вечные проблемы с ИТ и персоналом).
При звонке, чтобы поставить верный номер для СМС подтверждений (пароль логин не менялся) запросили ФИО, дату рождения и секретное слово.
После этого, через недобросовестного сотрудника сотовой связи, перевыпускается СИМ-карта
Почти наверняка это не сработает. Не скажу за сбер, а альфе просто поменял симку как-то (старая была, большая, нсменил телефон, нужна была мелкая). Номер тот же. Но… Фиг. Банковский клиент не работает. Пишет что симка поменялась нужно идти в отделение, там с паспортом обратится к оператору и сказать что поменял симку. После этого через сутки разблокируется и можно будет пользоваться.
Так что не так все просто.
Менял оператора с сохранением номера. Сбер отвязал номер от всех своих сервисов.
получателя информации, направленной оператором по переводу денежных средств и используемой при аутентификации клиента;
отправителя сообщений (кодов) с номера телефона, указанного в договоре с клиентом, на основании которых осуществляется перевод денежных средств.
К указанным признакам может быть отнесена информация о замене SIM-карты клиента, прекращении обслуживания или смене номера телефона, указанного в договоре с клиентом
через недобросовестного сотрудника
Если принимать в расчёт недобросовестного сотрудника (любой компании, в принципе), то можно придумать гораздо более интересные сценарии. А если двух и более, то вообще шпионский боевик получится)
О безопасности Сбербанка Онлайн