В даркнете продают базу данных на 3 ТБ, по словам продавца, данные получены после взлома двух российских СМС-агрегаторов

[Popadanec]

СМС-агрегатор, это я так понимаю не ОПСОС, а какой то центр сбора и пересылки? Вроде нонейм сервисов для рассылки сообщений или отправки смс чеков.

[anticyclope]

Ну не то, чтобы нонейм, особенно с учетом того, что нонеймов вытесняют сами опсосы своими площадками агрегации типа МТС OmniChannel или Мегафон Хаб.

[savagebk]

Каким образом база, содержащая старые коды 2FA, поможет перехватывать новые коды?

[RoasterToaster]

Вот мы и узнаем. Некоторые источники трубят о конце смс авторизации после такого, но пока реально кажется что это ерунда какая то, подумаешь старые коды. Интересно, что за имена агрегаторов там замазаны.

[SukhovPro]

"Некоторые источники трубят о конце смс авторизации"
А там дальше не было приписки переходите на 2FA на основании некого мессенджера? :)

[0vZ]

Разве что мошенники по телефону будут представляться сотрудниками банка и доказывать это знанием прошлых отправленных кодов: "Здравствуйте, это служба безопасности ДеньгиБанка. Понимаем, сейчас очень много мошенников, которые представляются так же, но мы можем доказать, что мы настоящие. Вы нам ничего не говорите, наоборот, мы вам сами скажем, что присылали вам 31 февраля в 25:76 код проверки "12345", можете открыть сейчас сообщения и проверить. Если бы мы были мошенниками, откуда бы мы могли это знать?"

[Rikimortuy]

Отличный пример, который стоит показывать всем своим родственникам, особенно пожилым. Нужно донести мысль о том, что даже если звонящий знает о вас все, это не повод ему доверять. Настоящий сотрудник никогда не будет просить назвать код или продиктовать данные

[RTFM13]

Настоящий сотрудник никогда не будет просить назвать код или продиктовать данные

Вы давно в отделении банка были? Там любая операция требует назвать код сотруднику (как минимум в синем банке).

[axion-1]

В отделении да, но по телефону или в мессенджере ни разу не спрашивали. У меня правда другой банк.

[RTFM13]

В приведённой мной цитате написано "никогда". А по факту выходит "когда". Мало того, в банке у меня спрашивали код и ровно над головой сотрудника, который спрашивал код, висел экран где крутился ролик по безопасности где тоже четко было написано "никогда не сообщайте" без всяких оговорок.

Мало того все эти уточнения являются плавающими. Нет простого алгоритма который бы гарантировал результат.

[axion-1]

"Никогда" адресовано прежде всего пенсионерам и прочим частым жертвам мошенников. Сложная формулировка с прописанными исключениями их скорее запутает. А более прошаренные и сами разберутся с нюансами. Вы же разобрались.

[RTFM13]

А завтра этот пенсионер прийдёт ногами в банк, и?

Я условно разобрался. Как разобраться с перевыпуском симки? Нет, лично я и с этим тоже разобрался, но это решение (aviasales) физически невозможно для большинства.

Кроме того, не сообщать коды это же не закрывает утечку даже от клиента. Надо же еще (к примеру, но не только) не давать левым (а в рф они все левые) приложениям права доступа к экрану и смс. А есть еще предустановленные с предвыданными правами.

Мошенник всегда будет компетентнее медианного пользователя. Пока государство исходит из соображений - "раз ты сам код сообщил, то я никаких мошенников ловить не буду и вообще нихера делать не буду - это мошенники кого надо мошенники", в относительной безопасности могут быть только пользователи более компетентные чем мошенники.

[AVX]

Ходил в ВТБ - никаких кодов не просили называть. Максимум действий, что просили - в личном кабинете на сайте подписать документы, туда сам заходил. Но при желании можно телефон дать и они сами зайдут и нажмут что надо.

[Maccimo]

Но при желании можно телефон дать и они сами зайдут и нажмут что надо.

Кнопочная Nokia 3330 из 2001 года подойдёт?

[AVX]

Да. Они зайдут на своëм компе да и всë. Главное смску чтоб было куда получить. Пенсионеры там прямо так и говорят "я не понимаю, сделайте уж как там надо", сами отдают телефон. И почти всë то же самое можно даже с банкомата сделать, но там надо ещë карточку и пин код от неë.

[vikarti]

У меня был как минимум один случай когда в отделении сказали что нет, на бумаге - нельзя, надо именно подтвердить в приложении. Иначе никак. Правда это было бывшее отделение Открытия.

[microtheft]

Если бы мы были мошенниками, откуда бы мы могли это знать?"

А откуда Вы узнали, что я храню старые коды проверки?

Я, может, один из миллиона такой...

[Russllann]

Ключевое правило: реальные сотрудники никогда не будут спрашивать кодов

[SukhovPro]

Но с другой стороны это показатель слабости их инфраструктуры и намек, что можем повторить уже на живых данных. Именно эта выгрузка может и бесполезна, но в целом инцидент плохо влияет на доверие к 2FA SMS. Хотя дубликатами sim оно давно подорвано.

[Rikimortuy]

Это шантаж в чистом виде) Выкидывается порция старых данных, чтобы показать серьезность намерений и подтолкнуть скомпрометированные компании к переговорам, или чтобы продать доступ другим желающим

[lgorSL]

Хорошо влияет - 2FA SMS доверять и не надо. Телефонный номер человеку не принадлежит, его может отобрать оператор связи за неиспользование, сим карта может выйти из строя, злоумышленник может зарегистрировать новую сим-карту или вообще сделать атаку с роумингом в какой-нибудь африканской стране и смс уйдёт туда. И вообще это получается единая точка отказа - при потере номера резко станет недоступным всё, что на него завязано.

[savagebk]

У меня долгое время ЛК Сбера был привязан к корпоративной СИМ-карте. По началу даже пришло пару кодов 2FA предыдущего пользователя сим-карты.

[rombell]

У меня знакомый лет 15 работал в Сбере, и корпоративный номер был его основным, со всеми регистрациями, банками и госуслугами.

А потом уволился...

"Его пример - другим наука"

[Heggi]

А разве Сбер не позволяет корпоративный номер унести с собой? Тот же МТС позволяет.

[cl0wn312]

Cisoclub пишет о доступе к утилитам для перехвата 2FA, якобы, в совокупности продается не только 3 ТБ строк

Тоже не могу понять как со старыми строками можно вообще куда-то войти)

Это либо сами агрегаторы ничего делать не станут и не пофиксят вулны, а доступ у злоумышленника(-ов) останется, что, в случае подтверждения, маловероятно из-за поджопника от ФСБ и ФСТЭКА, либо кроме массированной фишинг-атаки ничего ужасно страшного не ждёт.

Может есть ещё что-то, но такими глубокими знаниями не обладаю

[Shaman_RSHU]

Это не вотчина ФСБ и ФСТЭК, эти агрегаторы же к ГОССОПКе не подключены

[antdantd]

А где сказано, что коды именно старые?

[KbRadar]

Они обычно устаревают за минуты.

[antdantd]

То есть пула заранее сгенеренных свеженьких и готовых для высылки кодов даже теоретически быть не может?

[BugM]

Конечно нет. Зачем их вообще генерировать заранее? Секур_рандом() в вашем любимом языке достаточно быстр чтобы делать код по запросу клиента.

[KbRadar]

Да и полезнее включить в параметры текущее время.

[savagebk]

Вспомните про полный перечень всех пин-кодов всех карт

[Maccimo]

Вы предлагаете при игре в кости вместо того, чтобы выкидывать на стол реальные кубики, брать заранее подготовленные неизвестно кем и как значения?

Hidden text

[nerudo]

Есть сервисы, которые высылают тупо новый пароль по смс. Срок действия - пока новый не запросишь. Напрямую там денег, наверное, не спишешь, но что-нибудь интересное придумать можно.

[evil_raider]

плюсую!

сам столкнулся с такой ситуацией на сайте какой-то аптеки\аптечного агрегатора (уже не помню, что-то вроде apteka.ru, или stolichki.ru)-там вход в личный кабинет по коду из СМС. Прикол в том, что этот код является паролем и его можно переиспользовать любое количество раз и у него нет срока действия (в рамках моих тестов). А в коде всего 4 цифры.

[Houl]

Бредовый взлом какой-то. Он бы ещё все пинкоды от карт МИР бы слил :)

[SukhovPro]

Ну почему, сами коды не интересны, а вот список выверенных номеров телефонов, людей пользующихся определенными услугами всегда в цене. А еще и подкрепляющая информация когда пользовались, а если там еще кроме кода и доп. информация, типа "Вы переводите xxx в yyy" то кладезь для социальной инженерии. Обзванивать и говорить "Против вас заведено уголовное дело, 25 января вы совершили платеж на сумму xxx в пользу террористической организации, не кладите трубку мы сейчас вам поможем до суда спасти ваши средства"

[Houl]

Судя по текущим историям развода, там и так имеется доступ к чувствительным данным чуть ли не напрямую из банков и различных агентств.

[Ikobolok]

[Rikimortuy]

Сами по себе старые СМС коды это мусор, но связка ФИО + номер телефона + IP-адрес + банк, от которого приходило СМС - уже готовый набор для высококлассной социальной инженерии. Ценность не в кодах, а в метаданных вокруг них. Три терабайта - скорее всего тупо маркетинговый ход, большая часть там логи и дубликаты

[aprezi]

ip-сессионый же те почти такой же временный/мусор как старые-смс - особенно в мобильной среде тк там нет даже внутререгиональной их привязки

...

фио&номер телефона не являются данными для атаками - знания о банке только в моменте тк почти аналогично можно рандом назвать из топ-5 (ну десять) по количеству клиентов а те что не из них не поведутся на что-то тк региональные&etc в этом плане более защищены: хотя любым банком можно развести человека на участие - как и звонком про замену счётчиков

= есть прикол-видос где чел людей из очереди в мфц в три фразы уже уболтал открыть сбербанк-онлайн и рефлекс/реакция что это моешенник (там что-то вроде: вы в мфц стоите + зачем вы меня на камеру снимаете + а ну удаляй и покажи что нет = открываем сбербанк-онлайн)

[gorod0k]

Специфический у вас стиль изложения - трудно понять, о чем речь

[Grad6]

по метаданным, например, если кому то приходят смски из криптобиржи, то можно ему позвонить и поразводить по теме конкретной биржи

[Maccimo]

Сами по себе старые СМС коды это мусор

При условии, что они действительно случайны.

[Heggi]

IP адрес скорее всего бека, а не клиента. Ну не будет же мобильное приложение само себе смс слать?