Comments 38
А еще есть способ через покупку SIMок со старыми, уже бывшими в употреблении, номерами. На некоторых из них всё еще бывает подключен мобильный банк.
В нормальных банках при смене симки блокируется возможность что-либо сделать до повторной проверки всех данных. Примеры — Альфа и ТКС.
Интересно, как в таком случае обстоит дело с операциями, которые можно произвести через банальную отправку смс.
А как банки узнают о смене симки?
Ниже уже прочитал.
не совсем так. банк подключается к оператору как «оператор связи». и при запросе от абонента он дергает опсоса на предмет информации по абоненту, и если имси отличается — то просит подтвердить замену симкарты. smsc.ru/hlr/ — вот, например, такая услуга.
В альфе. При установке симки с другим номером всё работает в штатном режиме. При замене симки с тем же номером отваливается альфа-ключ.
При замене сим-карты в телефоне на новую (номер оставался тот же) у меня неожиданно оказался заблокирован мобильный банкинг. Пришлось с паспортом идти в отделение для разблокировки.
Вопрос автору поста: Как они это делают?
Вопрос автору поста: Как они это делают?
Скорее всего из-за того что банк использовал привязку к IMSI.
А вот как банки получают IMSI? Он же между абонентами не передается. Специально договариваются с операторами сотовой связи? Или может банки даже не получают сам IMSI, а просто просят оператора уведомлять о его деактивации? Насколько я понимаю, сообщать кому-то стороннему номер IMSI небезопасно, его должен знать только оператор.
Приложение может запросить значение IMSI у системы. Например, в Android есть функция getSubscriberId() в классе TelephonyManager.
Менял тут sim на micro-sim. Интернет не телефоне не подключен. Через 15 минут понадобился банк-клиент ТСК (на десктопе). Получил отлуп с ошибкой о смене симы. Начал разбираться, и, по словам саппорта — МТС сами стучат им о смене симы (сливая им IMSI или просто хук на смену — не знаю). Восстановили доступ минут за 10, правда данных колл-центр запрашивал много, и ФИО-рождение-т.п., и паспорт с пропиской и кодом подразделения (благо что рядом была сия книжица), и кодовое слово, хорошо хоть «релфи» с паспортом не просили прислать. Хотя порадовало, что перевыпуск симы зловредам не поможет в отъеме у меня условных единиц.
> Деобфускация кода встречается в Android приложениях, пусть и нечасто
Наверно наоборот, обфускация кода?
Наверно наоборот, обфускация кода?
Кажется, не все проблемы нужно решать инженерными способами. Ведь есть и административные варианты решения задачи. Думаю, МБ должен быть подключен к неважной карточке, которая имеет небольшой баланс, не имеет доступа к основному счёту, а также не позволяет брать кредиты. Тогда взлом — это не трагедия, а потеря денег «на кофе».
Я тут, кстати, столкнулся с забавным идиотизмом. Жена переводила деньги из мобильного банкинга, пришла смс с кодом, а через некоторое время на этот же телефон позвонили и спросили подтверждает ли она платеж. Забавно, все проверки на одном телефоне, какой смысл? Я понимаю если бы они спросили кодовое слово, допустим, но нет, ничего, просто вопрос подтверждаете или нет и попрощались…
Я слышал о технологиях записи для последующего сопоставления «характера речи» в банковских антифрод-системах.
В двух разных банках, где мне поступал такой звонок во время совершения перевода, меня просили назвать полностью Ф.И.О. и дату рождения.
Как минимум чтобы убедится что это делает не троян. Да и образец голоса ваш у них наверняка уже есть.
Почему-то прямого ответа на заголовок в тексте нет. Хотя он краток и понятен: «да».
Еще в прошлом году одно из таких приложений отказывалось работать на «дискредитированном» устройстве, но уже в этом году ПО просто вносит определенный лимит на проводимые операции.
Почему сразу «дискредитированном»? Может наоборот «более защищенном»? :)
PS. Я в основном про root-доступ.
И как же установка root привилегий повышает безопасность?
Нарпимер, без рутовых привелегий нельзя заменить прошивку Андроидов на самосборную, из которой выборошены некоторые ненужные корневые сертификаты, установлен и настроен фаерволл; невозможно поставить некоторый софт, более или менее успешно изолирующий приложения друг от друга и от бесполезных для их работы данных о самом телефоне. Но рациональное зерно в статье всё же есть: большинство любителе «зарутить трубу» делают это исключительно для понтов и установки ломанных программ со стрёмных форумов, за которые иначе пришлось бы отвалить целых 3$.
В моем случае — после получения рута ставится фаервол и XPrivacy.
Возможностью отобрать у «плохих» приложений ненужные разрешение
Firewall на уровне системы.
Масса способов улучшить защиту системы, имя root
Firewall на уровне системы.
Масса способов улучшить защиту системы, имя root
Я рутил свой телефон под Android не из-за халявы и рюшек, а потому что без root'а им просто невозможно пользоваться. Например, не избавиться от неотключаемых ненужных предустановленных приложений (больше всего меня бесили неотключаемые напоминания во встроенном календаре Lenovo).
Только под root'ом можно решать проблемы со шрифтами (у меня в белом русифицированном телефоне очень криво отображался текст на русском во многих программах), переразметить внутреннее хранилище (из-за монстров типа facebook, пухнущих на несколько Мб каждую неделю, оно заполнилось до предела за пару месяцев), и множество других причин.
Только под root'ом можно решать проблемы со шрифтами (у меня в белом русифицированном телефоне очень криво отображался текст на русском во многих программах), переразметить внутреннее хранилище (из-за монстров типа facebook, пухнущих на несколько Мб каждую неделю, оно заполнилось до предела за пару месяцев), и множество других причин.
проблему (с точки зрения пользователя это — именно проблема) с банками… можно решить тем же RootCloak/RootCloak+ (если человеку реально рут нужен — поставить не сложно)…
не потому ли Еще в прошлом году одно из таких приложений отказывалось работать на «дискредитированном» устройстве, но уже в этом году ПО просто вносит определенный лимит на проводимые операции. а то вспоминается одна тема на banki.ru где как раз банк ругали за то что не дают под рутом запускатся… только вот сейчас этот МБ просто матерится на старте но запускается.
не потому ли Еще в прошлом году одно из таких приложений отказывалось работать на «дискредитированном» устройстве, но уже в этом году ПО просто вносит определенный лимит на проводимые операции. а то вспоминается одна тема на banki.ru где как раз банк ругали за то что не дают под рутом запускатся… только вот сейчас этот МБ просто матерится на старте но запускается.
9). Проблема защиты от человека с паяльником.
Купить для смс-подтверждений отдельный копеечный телефон-звонилку и отдельную симку. Да и вероятость того, что такое убожество украдут, снизится.
Есть схема фрауда через замену симки. Злоумышленник идет в салон связи, и просит заменить «вышедшую из строя» симку с таким-то номером (допустим по поддельному паспорту с нужными данными или сговором с сотрудником салона). Или просто покупает номер предыдущего владельца.
Потом, нехитрыми манипуляциями через мобильный банк снимает все средства. Например в сбербанке. Факт того, что для успешного совершения операций достаточно нехитрых действий, и на это никак не влияет защита приложений и всего такого, ибо оно там не используется.
Автор, ваша компания не проводила аудит на предмет таких атак?
Потом, нехитрыми манипуляциями через мобильный банк снимает все средства. Например в сбербанке. Факт того, что для успешного совершения операций достаточно нехитрых действий, и на это никак не влияет защита приложений и всего такого, ибо оно там не используется.
Автор, ваша компания не проводила аудит на предмет таких атак?
Кроме владения телефоном, нужно ещё знать логин и пароль от системы. Данный вектор атаки абсолютно не технический — здесь чисто социальная инженерия. Мы ей тоже занимаемся. Но при анализе безопасности МБ, как правило заказчики не включают данную модель нарушителя (сговор с сотрудником салона) в перечень работ.
Sign up to leave a comment.
Можно ли украсть деньги из мобильного банкинга? Часть 1