SlideShare ist ein Scribd-Unternehmen logo
1 von 15
Sms bank
Мошенничество в SMS-банкинге
Денис Горчаков, Ольга Кочетова
Исследовательский центр
Positive Technologies
Positive Hack Days 2013
Что такое SMS-банкинг
― возможность проверять баланс и получать информацию о произведенных
транзакциях
― возможность совершать базовые операции:
• пополнение счета мобильного телефона
• оплата различных услуг
• перевод средств
• экстренная блокировка карты при утере
3
Популярная проблема:
привязка карты к чужому номеру
4
От: Василий
Кому: SMS-банк
SEND 100 89161234567
От: Мой банк
Платеж на номер 89161234567 на
100 рублей принят
От: Мой банк
Для подтверждения платежа
введите код 974365
От: Василий
Кому: SMS-банк
SEND 9999 89161234567
От: Мой банк
Для подтверждения платежа
необходимо указать последние 4
цифры Вашей карты
От: Василий
Кому: SMS-банк
SEND 9999 89161234567 0890
От: Мой банк
Платеж на номер 89161234567 на 9999
рублей принят
Отсутствие подтверждения операций или слабая
защита подтверждения
5
Сбор данных злоумышленником
― случайность: привязка к чужому номеру
• Минимальный вред – чтение чужой финансовой информации
• Максимальный вред – управление чужим счетом:
http://pravo.ru/news/view/83503/
• Последствия – уголовная и административная ответственность
― целенаправленный сбор данных:
• корзины для чеков у терминалов и банкоматов в людных местах
• продавцы магазинов – копия кассовой ленты
• сотрудники операторов связи:
http://www.securitylab.ru/news/377745.php
6
― Зная только номер:
• платеж на номер телефона (свой или подтвержденный)
банки уже озабочены: http://www.finsb.ru/map/novosti/view/?tx_ttnews[tt_news]=1428
• социальная инженерия
Вариация стандартной схемы с «ошибочным платежом на чужой номер», когда
имитируется сообщение об оплате от оператора/платежной системы.
• хулиганство, блокировка карты
Дополнительно:
― атаки на OTP (длительный срок действия)
― ненадежные методы проверки (по частичному номеру карты)
Эксплуатация
7
$$$
От: номер Василия
Кому: SMS-банк
SEND 500 89261234567
Злоумышленник Семен:
От: Оператор мобильной связи
Баланс лицевого счета Вашего телефона
пополнен на 500 рублей.
От: Семен
Кому: Василий
Братан, ошибся номером, кинь мне
бабки назад, будь другом!!1
От: Семен
Братан, ошибся номером, кинь мне бабки
назад, будь другом!!1
SMS-шлюз
От: SMS-банк
Василий Петрович, с Вашей карты списано
500 рублей на пополнение счета телефона
REAL
REAL
От: SMS-банк
Ошибочное списание средств с Вашей карты
отменено. Средства будут возвращены на
карту в установленный срок
FAKE
От: номер SMS-банка
Кому: Василий
Ошибочное списание средств с Вашей
карты отменено. Средства будут
возвращены на карту в установленный
срок
SMS-шлюз
Социальная инженерия
8
$$$
От: номер Василия
Кому: SMS-банк
SEND 3000 89261234567
Злоумышленник Семен:
От: Оператор мобильной связи
Баланс лицевого счета Вашего телефона
пополнен на 3000 рублей.
SMS-шлюз
От: SMS-банк
Василий Петрович, с Вашей карты списано
3000 рублей на пополнение счета
телефона
REAL
REAL
От: Служба безопасности банка
Зафиксирована ошибочная операция по
Вашей карте. Для немедленной отмены
операции отправьте на номер службы
безопасности 9900 команду отмены:
CANCEL 79161235476
FAKE
От: «Служба безопасности банка»
Кому: Василий
Зафиксирована ошибочная операция
по Вашей карте. Для немедленной
отмены операции отправьте на номер
службы безопасности 9900 команду
отмены:
CANCEL 79161235476
SMS-шлюз
Электронный кошелек
SMS-агрегатор
Социальная инженерия в.2
9
От: номер Василия
Кому: SMS-банк
SEND CUTEKITTENS 99999
Злоумышленник Семен:
От: SMS-банк
Василий Петрович, спасибо!
Ваше пожертвование в фонд
поддержки котят в размере
99999 рублей принято!
Спасибо!
… разумеется, и не только это, ведь злоумышленники уже в курсе,
информация есть на общедоступных ресурсах:
1. http://www.banki.ru/forum/index.php?PAGE_NAME=read&FID=34&TID=154788
2. http://www.banki.ru/forum/index.php?PAGE_NAME=read&FID=34&TID=154785
SMS-шлюз
Хулиганство
10
Проверки
― без проверки (только по номеру отправителя):
― просто и удобно, но небезопасно;
― проверка по 4 цифрам карты: ненадежно;
― проверка по одноразовому коду: лучше, но есть нюансы в безопасности;
― правильные банки: помимо ОТР - проверка IMSI*, привязка IMSI к номеру
счета;
* IMSI (International Mobile Subscriber Identity) — международный идентификатор мобильного
абонента (индивидуальный номер абонента), ассоциированный с каждым пользователем
мобильной связи стандарта GSM, UMTS или CDMA. При регистрации в сети аппарат абонента
передаѐт IMSI, по которому происходит его идентификация.
Номер «зашит» на SIM-карте пользователя.
11
От: номер Василия
Кому: SMS-банк
SEND CUTEKITTENS 99999 0890
Злоумышленник Семен:
SMS-шлюз
Проверка IMSI
отправителя
(привязан к счету) ОТКАЗI.
II.
От: SMS-банк
Подтвердите операцию, отправив
код 754387 ответом на это
сообщение
ОТКАЗ
WTF?
Как правильно?
12
Другие векторы?
• GSM-сигнализации с паролями по умолчанию
• «умные дома» - таргетированные атаки
Как защититься пользователю?
• не отключать OTP и оповещения на операции по
карте
• внимательность и бдительность
• использовать банк-клиент для смартфона
13
Конец рассказа
Спасибо за внимание
Денис Горчаков, Ольга Кочетова
dgorchakov@ptsecurity.ru, okochetova@ptsecurity.ru
Исследовательский центр
Positive Technologies
Sms bank

Weitere ähnliche Inhalte

Ähnlich wie Sms bank

Мошенничество в SMS-банкинге
Мошенничество в SMS-банкингеМошенничество в SMS-банкинге
Мошенничество в SMS-банкингеDenis Gorchakov
 
Юрий Божор_Открытие
Юрий Божор_ОткрытиеЮрий Божор_Открытие
Юрий Божор_ОткрытиеAleksandrs Baranovs
 
Мобильное мошенничество: итоги 2012
Мобильное мошенничество: итоги 2012Мобильное мошенничество: итоги 2012
Мобильное мошенничество: итоги 2012MegaFonCorp
 
Получи больше от своей карты
Получи больше от своей картыПолучи больше от своей карты
Получи больше от своей картыnizhgma.ru
 

Ähnlich wie Sms bank (8)

Мошенничество в SMS-банкинге
Мошенничество в SMS-банкингеМошенничество в SMS-банкинге
Мошенничество в SMS-банкинге
 
Mob bank
Mob bankMob bank
Mob bank
 
Юрий Божор_Открытие
Юрий Божор_ОткрытиеЮрий Божор_Открытие
Юрий Божор_Открытие
 
Мобильное мошенничество: итоги 2012
Мобильное мошенничество: итоги 2012Мобильное мошенничество: итоги 2012
Мобильное мошенничество: итоги 2012
 
Help line mts.pdf
Help line mts.pdfHelp line mts.pdf
Help line mts.pdf
 
Получи больше от своей карты
Получи больше от своей картыПолучи больше от своей карты
Получи больше от своей карты
 
интернет 11 класс
интернет 11 классинтернет 11 класс
интернет 11 класс
 
Евгений Калинин. Изменения в УК и УПК РФ 3
Евгений Калинин. Изменения в УК и УПК РФ 3Евгений Калинин. Изменения в УК и УПК РФ 3
Евгений Калинин. Изменения в УК и УПК РФ 3
 

Mehr von Positive Hack Days

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikPositive Hack Days
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQubePositive Hack Days
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityPositive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Positive Hack Days
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Positive Hack Days
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложенийPositive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application SecurityPositive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке СиPositive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CorePositive Hack Days
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опытPositive Hack Days
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterPositive Hack Days
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиPositive Hack Days
 

Mehr von Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 

Sms bank

  • 2. Мошенничество в SMS-банкинге Денис Горчаков, Ольга Кочетова Исследовательский центр Positive Technologies Positive Hack Days 2013
  • 3. Что такое SMS-банкинг ― возможность проверять баланс и получать информацию о произведенных транзакциях ― возможность совершать базовые операции: • пополнение счета мобильного телефона • оплата различных услуг • перевод средств • экстренная блокировка карты при утере 3
  • 5. От: Василий Кому: SMS-банк SEND 100 89161234567 От: Мой банк Платеж на номер 89161234567 на 100 рублей принят От: Мой банк Для подтверждения платежа введите код 974365 От: Василий Кому: SMS-банк SEND 9999 89161234567 От: Мой банк Для подтверждения платежа необходимо указать последние 4 цифры Вашей карты От: Василий Кому: SMS-банк SEND 9999 89161234567 0890 От: Мой банк Платеж на номер 89161234567 на 9999 рублей принят Отсутствие подтверждения операций или слабая защита подтверждения 5
  • 6. Сбор данных злоумышленником ― случайность: привязка к чужому номеру • Минимальный вред – чтение чужой финансовой информации • Максимальный вред – управление чужим счетом: http://pravo.ru/news/view/83503/ • Последствия – уголовная и административная ответственность ― целенаправленный сбор данных: • корзины для чеков у терминалов и банкоматов в людных местах • продавцы магазинов – копия кассовой ленты • сотрудники операторов связи: http://www.securitylab.ru/news/377745.php 6
  • 7. ― Зная только номер: • платеж на номер телефона (свой или подтвержденный) банки уже озабочены: http://www.finsb.ru/map/novosti/view/?tx_ttnews[tt_news]=1428 • социальная инженерия Вариация стандартной схемы с «ошибочным платежом на чужой номер», когда имитируется сообщение об оплате от оператора/платежной системы. • хулиганство, блокировка карты Дополнительно: ― атаки на OTP (длительный срок действия) ― ненадежные методы проверки (по частичному номеру карты) Эксплуатация 7
  • 8. $$$ От: номер Василия Кому: SMS-банк SEND 500 89261234567 Злоумышленник Семен: От: Оператор мобильной связи Баланс лицевого счета Вашего телефона пополнен на 500 рублей. От: Семен Кому: Василий Братан, ошибся номером, кинь мне бабки назад, будь другом!!1 От: Семен Братан, ошибся номером, кинь мне бабки назад, будь другом!!1 SMS-шлюз От: SMS-банк Василий Петрович, с Вашей карты списано 500 рублей на пополнение счета телефона REAL REAL От: SMS-банк Ошибочное списание средств с Вашей карты отменено. Средства будут возвращены на карту в установленный срок FAKE От: номер SMS-банка Кому: Василий Ошибочное списание средств с Вашей карты отменено. Средства будут возвращены на карту в установленный срок SMS-шлюз Социальная инженерия 8
  • 9. $$$ От: номер Василия Кому: SMS-банк SEND 3000 89261234567 Злоумышленник Семен: От: Оператор мобильной связи Баланс лицевого счета Вашего телефона пополнен на 3000 рублей. SMS-шлюз От: SMS-банк Василий Петрович, с Вашей карты списано 3000 рублей на пополнение счета телефона REAL REAL От: Служба безопасности банка Зафиксирована ошибочная операция по Вашей карте. Для немедленной отмены операции отправьте на номер службы безопасности 9900 команду отмены: CANCEL 79161235476 FAKE От: «Служба безопасности банка» Кому: Василий Зафиксирована ошибочная операция по Вашей карте. Для немедленной отмены операции отправьте на номер службы безопасности 9900 команду отмены: CANCEL 79161235476 SMS-шлюз Электронный кошелек SMS-агрегатор Социальная инженерия в.2 9
  • 10. От: номер Василия Кому: SMS-банк SEND CUTEKITTENS 99999 Злоумышленник Семен: От: SMS-банк Василий Петрович, спасибо! Ваше пожертвование в фонд поддержки котят в размере 99999 рублей принято! Спасибо! … разумеется, и не только это, ведь злоумышленники уже в курсе, информация есть на общедоступных ресурсах: 1. http://www.banki.ru/forum/index.php?PAGE_NAME=read&FID=34&TID=154788 2. http://www.banki.ru/forum/index.php?PAGE_NAME=read&FID=34&TID=154785 SMS-шлюз Хулиганство 10
  • 11. Проверки ― без проверки (только по номеру отправителя): ― просто и удобно, но небезопасно; ― проверка по 4 цифрам карты: ненадежно; ― проверка по одноразовому коду: лучше, но есть нюансы в безопасности; ― правильные банки: помимо ОТР - проверка IMSI*, привязка IMSI к номеру счета; * IMSI (International Mobile Subscriber Identity) — международный идентификатор мобильного абонента (индивидуальный номер абонента), ассоциированный с каждым пользователем мобильной связи стандарта GSM, UMTS или CDMA. При регистрации в сети аппарат абонента передаѐт IMSI, по которому происходит его идентификация. Номер «зашит» на SIM-карте пользователя. 11
  • 12. От: номер Василия Кому: SMS-банк SEND CUTEKITTENS 99999 0890 Злоумышленник Семен: SMS-шлюз Проверка IMSI отправителя (привязан к счету) ОТКАЗI. II. От: SMS-банк Подтвердите операцию, отправив код 754387 ответом на это сообщение ОТКАЗ WTF? Как правильно? 12
  • 13. Другие векторы? • GSM-сигнализации с паролями по умолчанию • «умные дома» - таргетированные атаки Как защититься пользователю? • не отключать OTP и оповещения на операции по карте • внимательность и бдительность • использовать банк-клиент для смартфона 13
  • 14. Конец рассказа Спасибо за внимание Денис Горчаков, Ольга Кочетова dgorchakov@ptsecurity.ru, okochetova@ptsecurity.ru Исследовательский центр Positive Technologies