Pull to refresh

Логические дыры в безопасности Сбербанк ОнЛ@йн

Information Security *
Recovery mode
Sandbox
image
Так получилось, что будучи часто в разъездах и имея зарплатную карту Сбербанка, мне приходилось пользоваться разными банкоматами, в разных ненадежных местах. Соответственно, был высокий шанс напороться на скиммер. (Скиммер – незаконное устройство для считывания данных с пластикой карты, с целью изготовления дубляжа).

Недолго думая, я решил использовать следующий выход из ситуации. Завести в Сбербанке некий вклад на котором держать деньги, а на карту скидывать наличность в виде небольших порций, по мере необходимости.

Таким образом, даже если карту «отксерят», снимут с нее только тот остаток, который я начислил из вклада. Перевод между картой и счетом вклада беспроцентный, что делало идею еще более заманчивой.

Но не тут-то было.

Первым делом я решил подключить собственно сам Сбербанк ОнЛ@йн.
Подключить его можно очень просто, вставляем карту в банкомат, выбираем Опцию «Интернет Обслуживание», затем «Печать идентификатора и пароля».
Банкомат выплевывает логин и пароль для входа в Сбербанк ОнЛ@йн.
Далее, все операции подтверждаются двумя путями, по смс с привязанного телефона или одноразовыми паролями с еще одного чека. Так как телефона пока не было, напечатал еще чек с одноразовыми паролями.
Имея эти чеки на руках, спокойно залогинился в Онлайн-Банк.
Тут у меня зазвенел первый звоночек. Оказывается, даже если ты ничего не слышал об онлайн обслуживании, оно все равно у тебя есть.

Ладно, изучаю главную страницу и впадаю в легкий ступор. Оказывается у меня есть не только карта Сбербанка, но и некий вклад «Универсальный», на котором уже 3 года как лежат деньги. Долго вспоминал, что же это такое. Вспомнил, это оказывается счет сберкнижки, когда то давно открытый и заброшенный. Зазвенел второй звоночек. Оказывается все вклады, какие открываешь на свое ФИО, доступны по умолчанию, через онлайн.

Попробовал перевести деньги с моего вклада на счет карты, перевелись в момент. Причем, без всяких подтверждений чеком или смс!
Тут я начал метаться по интерфейсу. Очевидно, чтобы осуществить мою задумку, такой реализации защиты недостаточно.
Мошенник, «отксерив» мою карту, напечатает себе Логины и Пароли прямо через банкомат, спокойно зайдет в онлайн банк, выгребет все деньги из вкладов на счет карты, а потом обналичит. Такая ситуация меня категорически не устраивала.

После недолгих метаний, нашел в настройках Безопасности, раздел так называемой видимости продуктов. В нем можно скрывать вклады и счета с экрана как банкомата, так и системы Сбербанк ОнЛ@йн. Было только одно но, доступ к данному разделу осуществлялся только по СМС. Разовый пароль с чека тут не проходил. Уже хорошо!

Радостно потирая руки. Стал читать руководство как подключить оповещения по СМС. Оказывается, для этого надо подключить так называемый «Мобильный банк», и сделать это можно через (угадайте что?), тот же банкомат!

Хорошо, иду к банкомату, вставляю карту, подключаю Мобильный банк – просит ввести номер (?). Ввел свой номер, пришла СМС, что Мобильный банк подключен. Все здорово!

Получил СМС с кодом, настроил видимость продуктов в разделе безопасности. Убрал вклады и счета. Теперь лишнего не видно ни в банкомате, ни онлайн. Вроде все отлично! Но что-то не давало покоя. Возвращаюсь к банкомату, захожу в раздел «Мобильный банк». И что я вижу? Опция добавить номер для подключения «Мобильного банка», по прежнему активна!
В легком недоумении звоню в поддержку, вежливый оператор мне объясняет, что да можно ввести еще номера, и тогда данные на них будут приходить параллельно! Занавес.

Чтобы было более наглядно, я напишу структурно реализованную защиту в Сбербанке и атаку, делающую эту защиту бесполезной, в случае попадания копии карты в руки злоумышленников.

Защита: Держать на карте минимум средств, крупные деньги держать на вкладах, допускающих снятие наличности.
Атака: Злоумышленник переводит все средства со вкладов на карту, после этого обналичивает.

Защита: Сложный пользовательский пароль на вход в онлайн-банк, который можно поставить в настройках безопасности.
Атака: Злоумышленник печатает чек с новыми Логином и Паролем, пользовательский пароль при этом блокируется.

Защита: Сокрытие видимости пользователем своих вкладов с крупными суммами в Банкоматах и Онлайн-банке. Сокрытие производится только по коду СМС.
Атака: Злоумышленник через банкомат регистрирует свой телефон, оперативно получает код СМС на открытие видимости вкладов, с появившихся вкладов, оперативно переводит все деньги на карту и обналичивает.

Это основное.
Еще одна мелочь, это стандартный, неизменяемый шаблон интерфейса, который позволяет нашлепать кучу фейковых сайтов и обманывать пользователей.

И немного о том, как было бы хорошо, всех этих неприятностей избежать.

1. Привязывать к мобильному банку и онлайн-банку, только проверенные телефоны. С подтверждением личности держателя телефона. Например, по звонку в колл-центр, через кодовое слово или лично в филиалах сбербанка с паспортом. Автоматом привязывать только телефон, который содержится в договоре на получение карты или открытие счета.
2. Более гибкие настройки безопасности авторизации — дать возможность отключить использование паролей выдаваемых банкоматом.
3. Дать возможность устанавливать свой IP адрес в настройках безопасности, чтобы разрешать доступ к Онлайн-Банку только с личных IP адресов.
4. С целью борьбы с фальшивыми фишинговыми сайтами, дать возможность загружать свою уникальную картинку на главную страницу Онлайн-Банка. Если я не вижу свою картинку, значит это левый сайт! Так сделано например в Yahoo.
Tags:
Hubs:
Total votes 119: ↑106 and ↓13 +93
Views 5K
Comments Comments 204

Please pay attention