Комментарии 46
Когда эти чудаки задумаются что что-то глобально не так в самой системе "доступ к счетам с миллионами" через смс?
Проблема с подобными тезисами та же, что и у пары комментаторов ниже - нет лучшей альтернативы.
В контексте доступа к счетам - есть. В каждой банковской карточке теперь стоит.
Нужен только более-менее копеечный ридер и немного софта, чтобы что-то с со счетом мог сделать только тот, у кого карточка на руках.
Конечно, варианты, когда мошенники уболтали жертву самостоятельно деньги перевести - останутся. Но с этим вообще в принципе невозможно нормально бороться.
В большинстве смартфонов этот ридер уже лет 10 как предустановлен, даже в айфонах.
В большинстве смартфонов этот ридер уже лет 10 как предустановлен, даже в айфонах.
Однако каждый раз, когда я описываю схему "Для регистрации банковского приложения приложите карту к телефону и введите предоставленный PIN" - прилетает аргумент "А если NFC в телефоне нет?"
Так что в том числе и ридером. Контактным. Маленькая и дешевая (осторожно, aliexpress),если жадность производителей средств авторизации удавить, USB коробочка, которая ридер smart card интерфейса.
Это просто дополнительный фактор и не более. Фундаментально проблему никак не решает.
..
Так с смс проблема того же плана: уболтали сообщить код. А если с "уболтали" невозможно бороться нормально - тезисы вида "борются плохо" целиком и полностью несостоятельны.
Тут же две сценария. Первый - это когда уболтали перевести. А вот второй - когда уболтали сообщить токен доступа и потом мошенник уже сам все что хочет делает. Вот со вторым сценарием можно эффективно бороться.
Распиши подробно схему целиком.
Вторая схема - после получения доступа к кабинету злодеи, условно, снимают деньги со всех счетов, берут кредиты, пишут электронные доверенности идт
А если причина одна, каким образом противодействие одному случаю может отличаться от противодействия другому случаю?
Тем что защита от второго случая защищает сразу от всего, о чем человек не догадывается, а оно в удаленном доступе есть и мошенник может этим воспользоваться уже без его ведома. Ну и вообще говоря 'уболтали' - это же спектр возможностей. Если убалтывать надо каждое действие, а не одно ("сообщите мне код .."). - это задачу мошенников осложняет.
Потому что тут не одна, а две причины. (и две отдельные, хоть и сильно накладывающийся проблемы-сценария) Одна - что человека можно уболтать. Это решить полностью практически нельзя.
Вторая - что системы позволяют что-то делать (мошенникам) мимо владельца счета. Вот вторую причину - можно устранить.
Нет, не позволяет. Нет логина в кабинет
Который и добывается мошенниками посредством тех самых SMS. Иначе с чего бы они настолько хотят что вон даже Министерство зашевелилось.
Ну и про схему с ридером я что-то не увидел подробностей/полного описания.
Уж прошу прощения, но схему использования хардварного токена для подтверждения разных операций я еще раз описывать не буду. Тут в окрестностях уже достаточно моих сообщений, чтобы понять, чего именно мне хочется. Не говоря уж об общих рефлексов по применению этих токенов и банковских карт.
Коротко - у параноиков любое движение чего-то ценного должно подтверждаться им. Привязка/логин приложения - у всех, а не только у параноиков.
Я не просто так просил детальное описание. Для того, чтобы разрешить что-то делать с деньгами, банк/кто-либо ещё должны проверить, что инициатор этих действий - владелец денег. Как это можно проверить? - каким-либо секретом. Как можно запретить разглашение этого секрета владельцем(и не зарезая возможности на манер "все операции только при личном присутствии с паспортом")? - никак.
Да рядом же в других сообщениях написано - "приложите карту к телефону для..." (ну или эквиваленты с контактным ридером)
Запрет разглашения делается тем, что владелец не знает этого секрета - он внутри физического артефакта живет (и простыми способами не извлекается) и нужно этот артефакт на руках иметь, чтобы секретом воспользоваться.
А тут вдруг какая-то схема с ридером, которая по заявлениям подобную проблему решает.
Решает. Не абсолютно, но сильно. Много ли секретов, что внутри SIM карты живет, утекло? Или из банковских карт? В смысле - много ли сейчас карт клонируется именно вытаскиванием секрета из чипа?
Додумал схему за тебя. Если правильно додумал - предлагается приложить карту к тому же устройству, с которого будешь логиниться/подтверждать операцию(и никак иначе).
Ну да. Как все эти аппаратные токены и используются.
Из проблем - персонажи, которые за прайс будут бегать с ридерами и сливать считанное.
Мы как бы телефонное мошенничество обсуждаем.
И проблема с ридерами надуманная. Способов делать так, что все подслушивающие товарищи (в данном случае - с ридерами) не увидели в обмене ничего, кроме случайного шума - уже давно придумана масса.
Подслушивать не нужно, нужно обычное чтение ридером. Карта не знает, каким ридерам можно сообщать секрет, а каким нет.
В общем случае токен не сообщает секрет ридеру. И вообще секрет не сообщает никому и никогда.
Так что пользы от прочитанного бегающим с ридерам - никакого. Чтобы польза была - нужно сложный MitM устраивать с подменой того, что пользователь у себя в приложении видит.
И, вообще говоря - ну серьёзно, что ли? Миф о бегающих злодяях с ридерами всплывает в контексте NFC карт постоянно. Вот только самих этих злодеев как-то не очень наблюдается.
Если уж совсем человек параноик - то заведет контактный ридер и карту без NFC.
Это не может работать.
Эмм... Я понимаю что тут треп ради трепа, но так развлекательность уже никакая получается. Утверждать, что те же современные SIM-ки не могут работать - это немного перебор. Или выше формулировка была очень кривая.
Потому что
The SIM card is designed to prevent someone from getting the Ki by using the smart-card interface. Instead, the SIM card provides a function, Run GSM Algorithm, that the phone uses to pass data to the SIM card to be signed with the Ki. This, by design, makes using the SIM card mandatory unless the Ki can be extracted from the SIM card, or the carrier is willing to reveal the Ki.
Буквально недавно была статья, где говорилось про взлом смс-гейта, ставшего доступным злоумышленникам. В условиях, когда смс позволяет восстановить доступ мимо ввода пароля - это катастрофа. Я уж не говорю про умников, которые могут запустить свою базовую станцию.
Это уже минусы подобного подхода. Что мне делать на улице, если перевод нужен - таскать с собой ридер?
Да. Сценарий, когда на улице вдруг захотелось сделать именно перевод (не покупку), причем с собой нет телефона, в который ридер встроен - ну так себе краевой случай.
Сценарий, когда на улице вдруг захотелось сделать именно перевод (не покупку), причем с собой нет телефона, в который ридер встроен - ну так себе краевой случай.
Зашёл за шаурмой, а там и говорят: "терминала нет, но можно переводом". Вот и случай.
"терминала нет, но можно переводом"
Перевод-то чем делается? Телефоном? Ну вот и замечательно. Заходим в банк-клиент, нажимаем кнопочки, прикладываем банковскую карту. Готово. Это для параноиков.
Остальным - даже этого не надо. Сразу банковским приложением пользуемся.
Прикладывать карту нужно требовать только в момент привязки банковского приложения к счету. И тогда мошенникам просто не получится какой-то так код из SMS просить т.к. просить нечего.
Эти надмозги ни разу не сталкивались при звонках в техподдержку банков или брокеров с необходимостью получить смску во время звонка и продиктовать код для идентификации?
Хм, я вот тоже не сталкивался. Это что за поддержка такая, которая доступа не имеет куда надо?
Код для идентификации обычно вводится либо строго на том же устройстве, на котором он получен, либо на устройстве того же владельца, которое в руках владельца, рядом с устройством, получившим код. Иначе это огромная дыра в безопасности.
Хм, я вот тоже не сталкивался.
Попробуйте стать клиентом второго по размеру активов банка в стране, начать пользоваться их брокерскими услугами и позвонить в техподдержку.
Я понял. Но это офигеть какая дыра в безопасности, если у них смс-коды хоть на что-то ещё другое приходят (доступ в приложение).
Хорошо, техподдержка меня идентифицировала, а как я их идентифицирую?
в СМС должно быть тогда два кода. Один они видят и называют мне. Другой я им. Не могут назвать — не поддержка.
Ну да, вместо борьбы с телефонными мошенниками, будем бороться с телефонами!!! - план, надежный, как швейцарские часы!
А самое главное - видно, что Минцифры занимается чем-то полезным.
P.S. можно просто не давать звонить никуда, и смски отправлять тоже и главное - никакого инета! - только по предъявлению паспорта обоих сторон надежное соединение будет осуществляться в специально отведенных для этого помещениях.
вместо борьбы с телефонными мошенниками, будем бороться с телефонами!!! - план, надежный, как швейцарские часы!
Ловкость рук и сплошное мошенничество: новый бестселлер, руководство "1001 способ ухудшить жизнь законопослушного гражданина при лёгкости обхода преступником".
Надо что-то предпологать? По-моему это очевидно.
никак не пытаться решить проблему иными путями
Так решайте, вам разве кто-то не дает?)
Смысл "удивительной позиции" в том, чтобы подсветить для других, кто не в теме - что это так не работает и работать не будет. Ибо борятся со следствем, а не с проблемой. Ну и посетовать конечно)
Ваш кэп (c)
Ходят вокруг да около. Внедрите на уровне федерального закона zero liability и вопрос решён.
О, вчера с конкретного номера номера +7 996 031-72-24 позвонили соседу 63 лет. И под видом энерго компании уверяли что у него проблемы с электро счетчиком, и надо оставить заявку на замену.
Сделать это можно только через приложение, в личном кабинете.
Но приложение в сторах/маркетах глючит, и их специалисты прямо сейчас могут через Ватсапп ему установить приложение...
Так и живем... А уж сколько мне звонили, и ни на одну мою жалобу оператор ни разу на заблокировал номер как жуликов. Только предлагает услуги "анти спам" за деньги, или отмазывается что номер принадлежит не им, и они ничего сделать не могут...
Учитывая дороговизну реализации и беспроблемность обхода смысла не имеет.
По делу нужно мошенников ловить, доставать из-под земли и сажать с конфискацией имущества в пользу общей медицины и ловцов. А заодно информировать и обучать граждан немного думать или хотя бы отрабатывать паттерны защиты.
Минцифры обсуждает с операторами связи запрет на отправку СМС во время звонка