Embed Size (px)
DESCRIPTION
Описание мошеннических сценариев, связанных с отсутствием валидации отправителя сообщения в SMS-банкинге. Примеры эксплуатации с использованием социальной инженерии и возможные пути устранения проблем.
Citation preview
Мошенничество в SMS-банкинге
Денис Горчаков Ольга КочетоваИсследовательский центр
Positive Technologies
Positive Hack Days 2013
Что такое SMS-банкинг
― возможность проверять баланс и получать информацию о произведенных транзакциях
― возможность совершать базовые операции
bull пополнение счета мобильного телефона
bull оплата различных услуг
bull перевод средств
bull экстренная блокировка карты при утере
3
Популярная проблемапривязка карты к чужому номеру
4
От ВасилийКому SMS-банкSEND 100 89161234567
От Мой банкПлатеж на номер 89161234567 на 100 рублей принят
От Мой банкДля подтверждения платежа введите код 974365
От ВасилийКому SMS-банкSEND 9999 89161234567
От Мой банкДля подтверждения платежа необходимо указать последние 4 цифры Вашей карты
От ВасилийКому SMS-банкSEND 9999 89161234567 0890
От Мой банкПлатеж на номер 89161234567 на 9999 рублей принят
Отсутствие подтверждения операций или слабая защита подтверждения
5
Сбор данных злоумышленником
― случайность привязка к чужому номеру
bull Минимальный вред ndash чтение чужой финансовой информации
bull Максимальный вред ndash управление чужим счетомhttppravorunewsview83503
bull Последствия ndash уголовная и административная ответственность
― целенаправленный сбор данных
bull корзины для чеков у терминалов и банкоматов в людных местах
bull продавцы магазинов ndash копия кассовой ленты
bull сотрудники операторов связиhttpwwwsecuritylabrunews377745php
6
― Зная только номер
bull платеж на номер телефона (свой или подтвержденный)банки уже озабочены httpwwwfinsbrumapnovostiviewtx_ttnews[tt_news]=1428
bull социальная инженерияВариация стандартной схемы с laquoошибочным платежом на чужой номерraquo когда имитируется сообщение об оплате от оператораплатежной системы
bull хулиганство блокировка карты
Дополнительно
― атаки на OTP (длительный срок действия)
― ненадежные методы проверки (по частичному номеру карты)
Эксплуатация
7
$$$
От номер ВасилияКому SMS-банкSEND 500 89261234567
Злоумышленник Семен
От Оператор мобильной связиБаланс лицевого счета Вашего телефона пополнен на 500 рублей
От СеменКому ВасилийБратан ошибся номером кинь мне бабки назад будь другом1
От СеменБратан ошибся номером кинь мне бабки назад будь другом1
SMS-шлюз
От SMS-банкВасилий Петрович с Вашей карты списано 500 рублей на пополнение счета телефона
REAL
REAL
От SMS-банкОшибочное списание средств с Вашей карты отменено Средства будут возвращены на карту в установленный срок
FAKE
От номер SMS-банкаКому ВасилийОшибочное списание средств с Вашей карты отменено Средства будут возвращены на карту в установленный срок
SMS-шлюз
Социальная инженерия
8
$$$
От номер Василия
Кому SMS-банк
SEND 3000 89261234567
Злоумышленник Семен
От Оператор мобильной связи
Баланс лицевого счета Вашего телефона
пополнен на 3000 рублей
SMS-шлюз
От SMS-банк
Василий Петрович с Вашей карты списано
3000 рублей на пополнение счета
телефона
REAL
REAL
От Служба безопасности банка
Зафиксирована ошибочная операция по
Вашей карте Для немедленной отмены
операции отправьте на номер службы
безопасности 9900 команду отмены
CANCEL 79161235476
FAKE
От laquoСлужба безопасности банкаraquo
Кому Василий
Зафиксирована ошибочная операция
по Вашей карте Для немедленной
отмены операции отправьте на номер
службы безопасности 9900 команду
отмены
CANCEL 79161235476
SMS-шлюз
Электронный кошелекSMS-агрегатор
Социальная инженерия в2
9
От номер ВасилияКому SMS-банкSEND CUTEKITTENS 99999
Злоумышленник Семен
От SMS-банкВасилий Петрович спасибоВаше пожертвование в фонд поддержки котят в размере 99999 рублей принято
Спасибо
hellip разумеется и не только это ведь злоумышленники уже в курсеинформация есть на общедоступных ресурсах1 httpwwwbankiruforumindexphpPAGE_NAME=readampFID=34ampTID=1547882 httpwwwbankiruforumindexphpPAGE_NAME=readampFID=34ampTID=154785
SMS-шлюз
Хулиганство
10
Проверки
― без проверки (только по номеру отправителя)
― просто и удобно но небезопасно
― проверка по 4 цифрам карты ненадежно
― проверка по одноразовому коду лучше но есть нюансы в безопасности
― правильные банки помимо ОТР - проверка IMSI привязка IMSI к номеру счета
IMSI (International Mobile Subscriber Identity) mdash международный идентификатор мобильного абонента (индивидуальный номер абонента) ассоциированный с каждым пользователем мобильной связи стандарта GSM UMTS или CDMA При регистрации в сети аппарат абонента передаёт IMSI по которому происходит его идентификация
Номер laquoзашитraquo на SIM-карте пользователя
11
От номер ВасилияКому SMS-банкSEND CUTEKITTENS 99999 0890
Злоумышленник Семен
SMS-шлюз
Проверка IMSIотправителя
(привязан к счету) ОТКАЗI
II
От SMS-банкПодтвердите операцию отправив код 754387 ответом на это сообщение
ОТКАЗWTF
Как правильно
12
Другие векторы
bull GSM-сигнализации с паролями по умолчанию
bull laquoумные домаraquo - таргетированные атаки
Как защититься пользователю
bull не отключать OTP и оповещения на операции по карте
bull внимательность и бдительность
bull использовать банк-клиент для смартфона
13
Конец рассказаСпасибо за внимание
Денис Горчаков Ольга Кочетова
dgorchakovptsecurityru okochetovaptsecurityru
Исследовательский центр
Positive Technologies
Что такое SMS-банкинг
― возможность проверять баланс и получать информацию о произведенных транзакциях
― возможность совершать базовые операции
bull пополнение счета мобильного телефона
bull оплата различных услуг
bull перевод средств
bull экстренная блокировка карты при утере
3
Популярная проблемапривязка карты к чужому номеру
4
От ВасилийКому SMS-банкSEND 100 89161234567
От Мой банкПлатеж на номер 89161234567 на 100 рублей принят
От Мой банкДля подтверждения платежа введите код 974365
От ВасилийКому SMS-банкSEND 9999 89161234567
От Мой банкДля подтверждения платежа необходимо указать последние 4 цифры Вашей карты
От ВасилийКому SMS-банкSEND 9999 89161234567 0890
От Мой банкПлатеж на номер 89161234567 на 9999 рублей принят
Отсутствие подтверждения операций или слабая защита подтверждения
5
Сбор данных злоумышленником
― случайность привязка к чужому номеру
bull Минимальный вред ndash чтение чужой финансовой информации
bull Максимальный вред ndash управление чужим счетомhttppravorunewsview83503
bull Последствия ndash уголовная и административная ответственность
― целенаправленный сбор данных
bull корзины для чеков у терминалов и банкоматов в людных местах
bull продавцы магазинов ndash копия кассовой ленты
bull сотрудники операторов связиhttpwwwsecuritylabrunews377745php
6
― Зная только номер
bull платеж на номер телефона (свой или подтвержденный)банки уже озабочены httpwwwfinsbrumapnovostiviewtx_ttnews[tt_news]=1428
bull социальная инженерияВариация стандартной схемы с laquoошибочным платежом на чужой номерraquo когда имитируется сообщение об оплате от оператораплатежной системы
bull хулиганство блокировка карты
Дополнительно
― атаки на OTP (длительный срок действия)
― ненадежные методы проверки (по частичному номеру карты)
Эксплуатация
7
$$$
От номер ВасилияКому SMS-банкSEND 500 89261234567
Злоумышленник Семен
От Оператор мобильной связиБаланс лицевого счета Вашего телефона пополнен на 500 рублей
От СеменКому ВасилийБратан ошибся номером кинь мне бабки назад будь другом1
От СеменБратан ошибся номером кинь мне бабки назад будь другом1
SMS-шлюз
От SMS-банкВасилий Петрович с Вашей карты списано 500 рублей на пополнение счета телефона
REAL
REAL
От SMS-банкОшибочное списание средств с Вашей карты отменено Средства будут возвращены на карту в установленный срок
FAKE
От номер SMS-банкаКому ВасилийОшибочное списание средств с Вашей карты отменено Средства будут возвращены на карту в установленный срок
SMS-шлюз
Социальная инженерия
8
$$$
От номер Василия
Кому SMS-банк
SEND 3000 89261234567
Злоумышленник Семен
От Оператор мобильной связи
Баланс лицевого счета Вашего телефона
пополнен на 3000 рублей
SMS-шлюз
От SMS-банк
Василий Петрович с Вашей карты списано
3000 рублей на пополнение счета
телефона
REAL
REAL
От Служба безопасности банка
Зафиксирована ошибочная операция по
Вашей карте Для немедленной отмены
операции отправьте на номер службы
безопасности 9900 команду отмены
CANCEL 79161235476
FAKE
От laquoСлужба безопасности банкаraquo
Кому Василий
Зафиксирована ошибочная операция
по Вашей карте Для немедленной
отмены операции отправьте на номер
службы безопасности 9900 команду
отмены
CANCEL 79161235476
SMS-шлюз
Электронный кошелекSMS-агрегатор
Социальная инженерия в2
9
От номер ВасилияКому SMS-банкSEND CUTEKITTENS 99999
Злоумышленник Семен
От SMS-банкВасилий Петрович спасибоВаше пожертвование в фонд поддержки котят в размере 99999 рублей принято
Спасибо
hellip разумеется и не только это ведь злоумышленники уже в курсеинформация есть на общедоступных ресурсах1 httpwwwbankiruforumindexphpPAGE_NAME=readampFID=34ampTID=1547882 httpwwwbankiruforumindexphpPAGE_NAME=readampFID=34ampTID=154785
SMS-шлюз
Хулиганство
10
Проверки
― без проверки (только по номеру отправителя)
― просто и удобно но небезопасно
― проверка по 4 цифрам карты ненадежно
― проверка по одноразовому коду лучше но есть нюансы в безопасности
― правильные банки помимо ОТР - проверка IMSI привязка IMSI к номеру счета
IMSI (International Mobile Subscriber Identity) mdash международный идентификатор мобильного абонента (индивидуальный номер абонента) ассоциированный с каждым пользователем мобильной связи стандарта GSM UMTS или CDMA При регистрации в сети аппарат абонента передаёт IMSI по которому происходит его идентификация
Номер laquoзашитraquo на SIM-карте пользователя
11
От номер ВасилияКому SMS-банкSEND CUTEKITTENS 99999 0890
Злоумышленник Семен
SMS-шлюз
Проверка IMSIотправителя
(привязан к счету) ОТКАЗI
II
От SMS-банкПодтвердите операцию отправив код 754387 ответом на это сообщение
ОТКАЗWTF
Как правильно
12
Другие векторы
bull GSM-сигнализации с паролями по умолчанию
bull laquoумные домаraquo - таргетированные атаки
Как защититься пользователю
bull не отключать OTP и оповещения на операции по карте
bull внимательность и бдительность
bull использовать банк-клиент для смартфона
13
Конец рассказаСпасибо за внимание
Денис Горчаков Ольга Кочетова
dgorchakovptsecurityru okochetovaptsecurityru
Исследовательский центр
Positive Technologies
Популярная проблемапривязка карты к чужому номеру
4
От ВасилийКому SMS-банкSEND 100 89161234567
От Мой банкПлатеж на номер 89161234567 на 100 рублей принят
От Мой банкДля подтверждения платежа введите код 974365
От ВасилийКому SMS-банкSEND 9999 89161234567
От Мой банкДля подтверждения платежа необходимо указать последние 4 цифры Вашей карты
От ВасилийКому SMS-банкSEND 9999 89161234567 0890
От Мой банкПлатеж на номер 89161234567 на 9999 рублей принят
Отсутствие подтверждения операций или слабая защита подтверждения
5
Сбор данных злоумышленником
― случайность привязка к чужому номеру
bull Минимальный вред ndash чтение чужой финансовой информации
bull Максимальный вред ndash управление чужим счетомhttppravorunewsview83503
bull Последствия ndash уголовная и административная ответственность
― целенаправленный сбор данных
bull корзины для чеков у терминалов и банкоматов в людных местах
bull продавцы магазинов ndash копия кассовой ленты
bull сотрудники операторов связиhttpwwwsecuritylabrunews377745php
6
― Зная только номер
bull платеж на номер телефона (свой или подтвержденный)банки уже озабочены httpwwwfinsbrumapnovostiviewtx_ttnews[tt_news]=1428
bull социальная инженерияВариация стандартной схемы с laquoошибочным платежом на чужой номерraquo когда имитируется сообщение об оплате от оператораплатежной системы
bull хулиганство блокировка карты
Дополнительно
― атаки на OTP (длительный срок действия)
― ненадежные методы проверки (по частичному номеру карты)
Эксплуатация
7
$$$
От номер ВасилияКому SMS-банкSEND 500 89261234567
Злоумышленник Семен
От Оператор мобильной связиБаланс лицевого счета Вашего телефона пополнен на 500 рублей
От СеменКому ВасилийБратан ошибся номером кинь мне бабки назад будь другом1
От СеменБратан ошибся номером кинь мне бабки назад будь другом1
SMS-шлюз
От SMS-банкВасилий Петрович с Вашей карты списано 500 рублей на пополнение счета телефона
REAL
REAL
От SMS-банкОшибочное списание средств с Вашей карты отменено Средства будут возвращены на карту в установленный срок
FAKE
От номер SMS-банкаКому ВасилийОшибочное списание средств с Вашей карты отменено Средства будут возвращены на карту в установленный срок
SMS-шлюз
Социальная инженерия
8
$$$
От номер Василия
Кому SMS-банк
SEND 3000 89261234567
Злоумышленник Семен
От Оператор мобильной связи
Баланс лицевого счета Вашего телефона
пополнен на 3000 рублей
SMS-шлюз
От SMS-банк
Василий Петрович с Вашей карты списано
3000 рублей на пополнение счета
телефона
REAL
REAL
От Служба безопасности банка
Зафиксирована ошибочная операция по
Вашей карте Для немедленной отмены
операции отправьте на номер службы
безопасности 9900 команду отмены
CANCEL 79161235476
FAKE
От laquoСлужба безопасности банкаraquo
Кому Василий
Зафиксирована ошибочная операция
по Вашей карте Для немедленной
отмены операции отправьте на номер
службы безопасности 9900 команду
отмены
CANCEL 79161235476
SMS-шлюз
Электронный кошелекSMS-агрегатор
Социальная инженерия в2
9
От номер ВасилияКому SMS-банкSEND CUTEKITTENS 99999
Злоумышленник Семен
От SMS-банкВасилий Петрович спасибоВаше пожертвование в фонд поддержки котят в размере 99999 рублей принято
Спасибо
hellip разумеется и не только это ведь злоумышленники уже в курсеинформация есть на общедоступных ресурсах1 httpwwwbankiruforumindexphpPAGE_NAME=readampFID=34ampTID=1547882 httpwwwbankiruforumindexphpPAGE_NAME=readampFID=34ampTID=154785
SMS-шлюз
Хулиганство
10
Проверки
― без проверки (только по номеру отправителя)
― просто и удобно но небезопасно
― проверка по 4 цифрам карты ненадежно
― проверка по одноразовому коду лучше но есть нюансы в безопасности
― правильные банки помимо ОТР - проверка IMSI привязка IMSI к номеру счета
IMSI (International Mobile Subscriber Identity) mdash международный идентификатор мобильного абонента (индивидуальный номер абонента) ассоциированный с каждым пользователем мобильной связи стандарта GSM UMTS или CDMA При регистрации в сети аппарат абонента передаёт IMSI по которому происходит его идентификация
Номер laquoзашитraquo на SIM-карте пользователя
11
От номер ВасилияКому SMS-банкSEND CUTEKITTENS 99999 0890
Злоумышленник Семен
SMS-шлюз
Проверка IMSIотправителя
(привязан к счету) ОТКАЗI
II
От SMS-банкПодтвердите операцию отправив код 754387 ответом на это сообщение
ОТКАЗWTF
Как правильно
12
Другие векторы
bull GSM-сигнализации с паролями по умолчанию
bull laquoумные домаraquo - таргетированные атаки
Как защититься пользователю
bull не отключать OTP и оповещения на операции по карте
bull внимательность и бдительность
bull использовать банк-клиент для смартфона
13
Конец рассказаСпасибо за внимание
Денис Горчаков Ольга Кочетова
dgorchakovptsecurityru okochetovaptsecurityru
Исследовательский центр
Positive Technologies
От ВасилийКому SMS-банкSEND 100 89161234567
От Мой банкПлатеж на номер 89161234567 на 100 рублей принят
От Мой банкДля подтверждения платежа введите код 974365
От ВасилийКому SMS-банкSEND 9999 89161234567
От Мой банкДля подтверждения платежа необходимо указать последние 4 цифры Вашей карты
От ВасилийКому SMS-банкSEND 9999 89161234567 0890
От Мой банкПлатеж на номер 89161234567 на 9999 рублей принят
Отсутствие подтверждения операций или слабая защита подтверждения
5
Сбор данных злоумышленником
― случайность привязка к чужому номеру
bull Минимальный вред ndash чтение чужой финансовой информации
bull Максимальный вред ndash управление чужим счетомhttppravorunewsview83503
bull Последствия ndash уголовная и административная ответственность
― целенаправленный сбор данных
bull корзины для чеков у терминалов и банкоматов в людных местах
bull продавцы магазинов ndash копия кассовой ленты
bull сотрудники операторов связиhttpwwwsecuritylabrunews377745php
6
― Зная только номер
bull платеж на номер телефона (свой или подтвержденный)банки уже озабочены httpwwwfinsbrumapnovostiviewtx_ttnews[tt_news]=1428
bull социальная инженерияВариация стандартной схемы с laquoошибочным платежом на чужой номерraquo когда имитируется сообщение об оплате от оператораплатежной системы
bull хулиганство блокировка карты
Дополнительно
― атаки на OTP (длительный срок действия)
― ненадежные методы проверки (по частичному номеру карты)
Эксплуатация
7
$$$
От номер ВасилияКому SMS-банкSEND 500 89261234567
Злоумышленник Семен
От Оператор мобильной связиБаланс лицевого счета Вашего телефона пополнен на 500 рублей
От СеменКому ВасилийБратан ошибся номером кинь мне бабки назад будь другом1
От СеменБратан ошибся номером кинь мне бабки назад будь другом1
SMS-шлюз
От SMS-банкВасилий Петрович с Вашей карты списано 500 рублей на пополнение счета телефона
REAL
REAL
От SMS-банкОшибочное списание средств с Вашей карты отменено Средства будут возвращены на карту в установленный срок
FAKE
От номер SMS-банкаКому ВасилийОшибочное списание средств с Вашей карты отменено Средства будут возвращены на карту в установленный срок
SMS-шлюз
Социальная инженерия
8
$$$
От номер Василия
Кому SMS-банк
SEND 3000 89261234567
Злоумышленник Семен
От Оператор мобильной связи
Баланс лицевого счета Вашего телефона
пополнен на 3000 рублей
SMS-шлюз
От SMS-банк
Василий Петрович с Вашей карты списано
3000 рублей на пополнение счета
телефона
REAL
REAL
От Служба безопасности банка
Зафиксирована ошибочная операция по
Вашей карте Для немедленной отмены
операции отправьте на номер службы
безопасности 9900 команду отмены
CANCEL 79161235476
FAKE
От laquoСлужба безопасности банкаraquo
Кому Василий
Зафиксирована ошибочная операция
по Вашей карте Для немедленной
отмены операции отправьте на номер
службы безопасности 9900 команду
отмены
CANCEL 79161235476
SMS-шлюз
Электронный кошелекSMS-агрегатор
Социальная инженерия в2
9
От номер ВасилияКому SMS-банкSEND CUTEKITTENS 99999
Злоумышленник Семен
От SMS-банкВасилий Петрович спасибоВаше пожертвование в фонд поддержки котят в размере 99999 рублей принято
Спасибо
hellip разумеется и не только это ведь злоумышленники уже в курсеинформация есть на общедоступных ресурсах1 httpwwwbankiruforumindexphpPAGE_NAME=readampFID=34ampTID=1547882 httpwwwbankiruforumindexphpPAGE_NAME=readampFID=34ampTID=154785
SMS-шлюз
Хулиганство
10
Проверки
― без проверки (только по номеру отправителя)
― просто и удобно но небезопасно
― проверка по 4 цифрам карты ненадежно
― проверка по одноразовому коду лучше но есть нюансы в безопасности
― правильные банки помимо ОТР - проверка IMSI привязка IMSI к номеру счета
IMSI (International Mobile Subscriber Identity) mdash международный идентификатор мобильного абонента (индивидуальный номер абонента) ассоциированный с каждым пользователем мобильной связи стандарта GSM UMTS или CDMA При регистрации в сети аппарат абонента передаёт IMSI по которому происходит его идентификация
Номер laquoзашитraquo на SIM-карте пользователя
11
От номер ВасилияКому SMS-банкSEND CUTEKITTENS 99999 0890
Злоумышленник Семен
SMS-шлюз
Проверка IMSIотправителя
(привязан к счету) ОТКАЗI
II
От SMS-банкПодтвердите операцию отправив код 754387 ответом на это сообщение
ОТКАЗWTF
Как правильно
12
Другие векторы
bull GSM-сигнализации с паролями по умолчанию
bull laquoумные домаraquo - таргетированные атаки
Как защититься пользователю
bull не отключать OTP и оповещения на операции по карте
bull внимательность и бдительность
bull использовать банк-клиент для смартфона
13
Конец рассказаСпасибо за внимание
Денис Горчаков Ольга Кочетова
dgorchakovptsecurityru okochetovaptsecurityru
Исследовательский центр
Positive Technologies
Сбор данных злоумышленником
― случайность привязка к чужому номеру
bull Минимальный вред ndash чтение чужой финансовой информации
bull Максимальный вред ndash управление чужим счетомhttppravorunewsview83503
bull Последствия ndash уголовная и административная ответственность
― целенаправленный сбор данных
bull корзины для чеков у терминалов и банкоматов в людных местах
bull продавцы магазинов ndash копия кассовой ленты
bull сотрудники операторов связиhttpwwwsecuritylabrunews377745php
6
― Зная только номер
bull платеж на номер телефона (свой или подтвержденный)банки уже озабочены httpwwwfinsbrumapnovostiviewtx_ttnews[tt_news]=1428
bull социальная инженерияВариация стандартной схемы с laquoошибочным платежом на чужой номерraquo когда имитируется сообщение об оплате от оператораплатежной системы
bull хулиганство блокировка карты
Дополнительно
― атаки на OTP (длительный срок действия)
― ненадежные методы проверки (по частичному номеру карты)
Эксплуатация
7
$$$
От номер ВасилияКому SMS-банкSEND 500 89261234567
Злоумышленник Семен
От Оператор мобильной связиБаланс лицевого счета Вашего телефона пополнен на 500 рублей
От СеменКому ВасилийБратан ошибся номером кинь мне бабки назад будь другом1
От СеменБратан ошибся номером кинь мне бабки назад будь другом1
SMS-шлюз
От SMS-банкВасилий Петрович с Вашей карты списано 500 рублей на пополнение счета телефона
REAL
REAL
От SMS-банкОшибочное списание средств с Вашей карты отменено Средства будут возвращены на карту в установленный срок
FAKE
От номер SMS-банкаКому ВасилийОшибочное списание средств с Вашей карты отменено Средства будут возвращены на карту в установленный срок
SMS-шлюз
Социальная инженерия
8
$$$
От номер Василия
Кому SMS-банк
SEND 3000 89261234567
Злоумышленник Семен
От Оператор мобильной связи
Баланс лицевого счета Вашего телефона
пополнен на 3000 рублей
SMS-шлюз
От SMS-банк
Василий Петрович с Вашей карты списано
3000 рублей на пополнение счета
телефона
REAL
REAL
От Служба безопасности банка
Зафиксирована ошибочная операция по
Вашей карте Для немедленной отмены
операции отправьте на номер службы
безопасности 9900 команду отмены
CANCEL 79161235476
FAKE
От laquoСлужба безопасности банкаraquo
Кому Василий
Зафиксирована ошибочная операция
по Вашей карте Для немедленной
отмены операции отправьте на номер
службы безопасности 9900 команду
отмены
CANCEL 79161235476
SMS-шлюз
Электронный кошелекSMS-агрегатор
Социальная инженерия в2
9
От номер ВасилияКому SMS-банкSEND CUTEKITTENS 99999
Злоумышленник Семен
От SMS-банкВасилий Петрович спасибоВаше пожертвование в фонд поддержки котят в размере 99999 рублей принято
Спасибо
hellip разумеется и не только это ведь злоумышленники уже в курсеинформация есть на общедоступных ресурсах1 httpwwwbankiruforumindexphpPAGE_NAME=readampFID=34ampTID=1547882 httpwwwbankiruforumindexphpPAGE_NAME=readampFID=34ampTID=154785
SMS-шлюз
Хулиганство
10
Проверки
― без проверки (только по номеру отправителя)
― просто и удобно но небезопасно
― проверка по 4 цифрам карты ненадежно
― проверка по одноразовому коду лучше но есть нюансы в безопасности
― правильные банки помимо ОТР - проверка IMSI привязка IMSI к номеру счета
IMSI (International Mobile Subscriber Identity) mdash международный идентификатор мобильного абонента (индивидуальный номер абонента) ассоциированный с каждым пользователем мобильной связи стандарта GSM UMTS или CDMA При регистрации в сети аппарат абонента передаёт IMSI по которому происходит его идентификация
Номер laquoзашитraquo на SIM-карте пользователя
11
От номер ВасилияКому SMS-банкSEND CUTEKITTENS 99999 0890
Злоумышленник Семен
SMS-шлюз
Проверка IMSIотправителя
(привязан к счету) ОТКАЗI
II
От SMS-банкПодтвердите операцию отправив код 754387 ответом на это сообщение
ОТКАЗWTF
Как правильно
12
Другие векторы
bull GSM-сигнализации с паролями по умолчанию
bull laquoумные домаraquo - таргетированные атаки
Как защититься пользователю
bull не отключать OTP и оповещения на операции по карте
bull внимательность и бдительность
bull использовать банк-клиент для смартфона
13
Конец рассказаСпасибо за внимание
Денис Горчаков Ольга Кочетова
dgorchakovptsecurityru okochetovaptsecurityru
Исследовательский центр
Positive Technologies
― Зная только номер
bull платеж на номер телефона (свой или подтвержденный)банки уже озабочены httpwwwfinsbrumapnovostiviewtx_ttnews[tt_news]=1428
bull социальная инженерияВариация стандартной схемы с laquoошибочным платежом на чужой номерraquo когда имитируется сообщение об оплате от оператораплатежной системы
bull хулиганство блокировка карты
Дополнительно
― атаки на OTP (длительный срок действия)
― ненадежные методы проверки (по частичному номеру карты)
Эксплуатация
7
$$$
От номер ВасилияКому SMS-банкSEND 500 89261234567
Злоумышленник Семен
От Оператор мобильной связиБаланс лицевого счета Вашего телефона пополнен на 500 рублей
От СеменКому ВасилийБратан ошибся номером кинь мне бабки назад будь другом1
От СеменБратан ошибся номером кинь мне бабки назад будь другом1
SMS-шлюз
От SMS-банкВасилий Петрович с Вашей карты списано 500 рублей на пополнение счета телефона
REAL
REAL
От SMS-банкОшибочное списание средств с Вашей карты отменено Средства будут возвращены на карту в установленный срок
FAKE
От номер SMS-банкаКому ВасилийОшибочное списание средств с Вашей карты отменено Средства будут возвращены на карту в установленный срок
SMS-шлюз
Социальная инженерия
8
$$$
От номер Василия
Кому SMS-банк
SEND 3000 89261234567
Злоумышленник Семен
От Оператор мобильной связи
Баланс лицевого счета Вашего телефона
пополнен на 3000 рублей
SMS-шлюз
От SMS-банк
Василий Петрович с Вашей карты списано
3000 рублей на пополнение счета
телефона
REAL
REAL
От Служба безопасности банка
Зафиксирована ошибочная операция по
Вашей карте Для немедленной отмены
операции отправьте на номер службы
безопасности 9900 команду отмены
CANCEL 79161235476
FAKE
От laquoСлужба безопасности банкаraquo
Кому Василий
Зафиксирована ошибочная операция
по Вашей карте Для немедленной
отмены операции отправьте на номер
службы безопасности 9900 команду
отмены
CANCEL 79161235476
SMS-шлюз
Электронный кошелекSMS-агрегатор
Социальная инженерия в2
9
От номер ВасилияКому SMS-банкSEND CUTEKITTENS 99999
Злоумышленник Семен
От SMS-банкВасилий Петрович спасибоВаше пожертвование в фонд поддержки котят в размере 99999 рублей принято
Спасибо
hellip разумеется и не только это ведь злоумышленники уже в курсеинформация есть на общедоступных ресурсах1 httpwwwbankiruforumindexphpPAGE_NAME=readampFID=34ampTID=1547882 httpwwwbankiruforumindexphpPAGE_NAME=readampFID=34ampTID=154785
SMS-шлюз
Хулиганство
10
Проверки
― без проверки (только по номеру отправителя)
― просто и удобно но небезопасно
― проверка по 4 цифрам карты ненадежно
― проверка по одноразовому коду лучше но есть нюансы в безопасности
― правильные банки помимо ОТР - проверка IMSI привязка IMSI к номеру счета
IMSI (International Mobile Subscriber Identity) mdash международный идентификатор мобильного абонента (индивидуальный номер абонента) ассоциированный с каждым пользователем мобильной связи стандарта GSM UMTS или CDMA При регистрации в сети аппарат абонента передаёт IMSI по которому происходит его идентификация
Номер laquoзашитraquo на SIM-карте пользователя
11
От номер ВасилияКому SMS-банкSEND CUTEKITTENS 99999 0890
Злоумышленник Семен
SMS-шлюз
Проверка IMSIотправителя
(привязан к счету) ОТКАЗI
II
От SMS-банкПодтвердите операцию отправив код 754387 ответом на это сообщение
ОТКАЗWTF
Как правильно
12
Другие векторы
bull GSM-сигнализации с паролями по умолчанию
bull laquoумные домаraquo - таргетированные атаки
Как защититься пользователю
bull не отключать OTP и оповещения на операции по карте
bull внимательность и бдительность
bull использовать банк-клиент для смартфона
13
Конец рассказаСпасибо за внимание
Денис Горчаков Ольга Кочетова
dgorchakovptsecurityru okochetovaptsecurityru
Исследовательский центр
Positive Technologies
$$$
От номер ВасилияКому SMS-банкSEND 500 89261234567
Злоумышленник Семен
От Оператор мобильной связиБаланс лицевого счета Вашего телефона пополнен на 500 рублей
От СеменКому ВасилийБратан ошибся номером кинь мне бабки назад будь другом1
От СеменБратан ошибся номером кинь мне бабки назад будь другом1
SMS-шлюз
От SMS-банкВасилий Петрович с Вашей карты списано 500 рублей на пополнение счета телефона
REAL
REAL
От SMS-банкОшибочное списание средств с Вашей карты отменено Средства будут возвращены на карту в установленный срок
FAKE
От номер SMS-банкаКому ВасилийОшибочное списание средств с Вашей карты отменено Средства будут возвращены на карту в установленный срок
SMS-шлюз
Социальная инженерия
8
$$$
От номер Василия
Кому SMS-банк
SEND 3000 89261234567
Злоумышленник Семен
От Оператор мобильной связи
Баланс лицевого счета Вашего телефона
пополнен на 3000 рублей
SMS-шлюз
От SMS-банк
Василий Петрович с Вашей карты списано
3000 рублей на пополнение счета
телефона
REAL
REAL
От Служба безопасности банка
Зафиксирована ошибочная операция по
Вашей карте Для немедленной отмены
операции отправьте на номер службы
безопасности 9900 команду отмены
CANCEL 79161235476
FAKE
От laquoСлужба безопасности банкаraquo
Кому Василий
Зафиксирована ошибочная операция
по Вашей карте Для немедленной
отмены операции отправьте на номер
службы безопасности 9900 команду
отмены
CANCEL 79161235476
SMS-шлюз
Электронный кошелекSMS-агрегатор
Социальная инженерия в2
9
От номер ВасилияКому SMS-банкSEND CUTEKITTENS 99999
Злоумышленник Семен
От SMS-банкВасилий Петрович спасибоВаше пожертвование в фонд поддержки котят в размере 99999 рублей принято
Спасибо
hellip разумеется и не только это ведь злоумышленники уже в курсеинформация есть на общедоступных ресурсах1 httpwwwbankiruforumindexphpPAGE_NAME=readampFID=34ampTID=1547882 httpwwwbankiruforumindexphpPAGE_NAME=readampFID=34ampTID=154785
SMS-шлюз
Хулиганство
10
Проверки
― без проверки (только по номеру отправителя)
― просто и удобно но небезопасно
― проверка по 4 цифрам карты ненадежно
― проверка по одноразовому коду лучше но есть нюансы в безопасности
― правильные банки помимо ОТР - проверка IMSI привязка IMSI к номеру счета
IMSI (International Mobile Subscriber Identity) mdash международный идентификатор мобильного абонента (индивидуальный номер абонента) ассоциированный с каждым пользователем мобильной связи стандарта GSM UMTS или CDMA При регистрации в сети аппарат абонента передаёт IMSI по которому происходит его идентификация
Номер laquoзашитraquo на SIM-карте пользователя
11
От номер ВасилияКому SMS-банкSEND CUTEKITTENS 99999 0890
Злоумышленник Семен
SMS-шлюз
Проверка IMSIотправителя
(привязан к счету) ОТКАЗI
II
От SMS-банкПодтвердите операцию отправив код 754387 ответом на это сообщение
ОТКАЗWTF
Как правильно
12
Другие векторы
bull GSM-сигнализации с паролями по умолчанию
bull laquoумные домаraquo - таргетированные атаки
Как защититься пользователю
bull не отключать OTP и оповещения на операции по карте
bull внимательность и бдительность
bull использовать банк-клиент для смартфона
13
Конец рассказаСпасибо за внимание
Денис Горчаков Ольга Кочетова
dgorchakovptsecurityru okochetovaptsecurityru
Исследовательский центр
Positive Technologies
$$$
От номер Василия
Кому SMS-банк
SEND 3000 89261234567
Злоумышленник Семен
От Оператор мобильной связи
Баланс лицевого счета Вашего телефона
пополнен на 3000 рублей
SMS-шлюз
От SMS-банк
Василий Петрович с Вашей карты списано
3000 рублей на пополнение счета
телефона
REAL
REAL
От Служба безопасности банка
Зафиксирована ошибочная операция по
Вашей карте Для немедленной отмены
операции отправьте на номер службы
безопасности 9900 команду отмены
CANCEL 79161235476
FAKE
От laquoСлужба безопасности банкаraquo
Кому Василий
Зафиксирована ошибочная операция
по Вашей карте Для немедленной
отмены операции отправьте на номер
службы безопасности 9900 команду
отмены
CANCEL 79161235476
SMS-шлюз
Электронный кошелекSMS-агрегатор
Социальная инженерия в2
9
От номер ВасилияКому SMS-банкSEND CUTEKITTENS 99999
Злоумышленник Семен
От SMS-банкВасилий Петрович спасибоВаше пожертвование в фонд поддержки котят в размере 99999 рублей принято
Спасибо
hellip разумеется и не только это ведь злоумышленники уже в курсеинформация есть на общедоступных ресурсах1 httpwwwbankiruforumindexphpPAGE_NAME=readampFID=34ampTID=1547882 httpwwwbankiruforumindexphpPAGE_NAME=readampFID=34ampTID=154785
SMS-шлюз
Хулиганство
10
Проверки
― без проверки (только по номеру отправителя)
― просто и удобно но небезопасно
― проверка по 4 цифрам карты ненадежно
― проверка по одноразовому коду лучше но есть нюансы в безопасности
― правильные банки помимо ОТР - проверка IMSI привязка IMSI к номеру счета
IMSI (International Mobile Subscriber Identity) mdash международный идентификатор мобильного абонента (индивидуальный номер абонента) ассоциированный с каждым пользователем мобильной связи стандарта GSM UMTS или CDMA При регистрации в сети аппарат абонента передаёт IMSI по которому происходит его идентификация
Номер laquoзашитraquo на SIM-карте пользователя
11
От номер ВасилияКому SMS-банкSEND CUTEKITTENS 99999 0890
Злоумышленник Семен
SMS-шлюз
Проверка IMSIотправителя
(привязан к счету) ОТКАЗI
II
От SMS-банкПодтвердите операцию отправив код 754387 ответом на это сообщение
ОТКАЗWTF
Как правильно
12
Другие векторы
bull GSM-сигнализации с паролями по умолчанию
bull laquoумные домаraquo - таргетированные атаки
Как защититься пользователю
bull не отключать OTP и оповещения на операции по карте
bull внимательность и бдительность
bull использовать банк-клиент для смартфона
13
Конец рассказаСпасибо за внимание
Денис Горчаков Ольга Кочетова
dgorchakovptsecurityru okochetovaptsecurityru
Исследовательский центр
Positive Technologies
От номер ВасилияКому SMS-банкSEND CUTEKITTENS 99999
Злоумышленник Семен
От SMS-банкВасилий Петрович спасибоВаше пожертвование в фонд поддержки котят в размере 99999 рублей принято
Спасибо
hellip разумеется и не только это ведь злоумышленники уже в курсеинформация есть на общедоступных ресурсах1 httpwwwbankiruforumindexphpPAGE_NAME=readampFID=34ampTID=1547882 httpwwwbankiruforumindexphpPAGE_NAME=readampFID=34ampTID=154785
SMS-шлюз
Хулиганство
10
Проверки
― без проверки (только по номеру отправителя)
― просто и удобно но небезопасно
― проверка по 4 цифрам карты ненадежно
― проверка по одноразовому коду лучше но есть нюансы в безопасности
― правильные банки помимо ОТР - проверка IMSI привязка IMSI к номеру счета
IMSI (International Mobile Subscriber Identity) mdash международный идентификатор мобильного абонента (индивидуальный номер абонента) ассоциированный с каждым пользователем мобильной связи стандарта GSM UMTS или CDMA При регистрации в сети аппарат абонента передаёт IMSI по которому происходит его идентификация
Номер laquoзашитraquo на SIM-карте пользователя
11
От номер ВасилияКому SMS-банкSEND CUTEKITTENS 99999 0890
Злоумышленник Семен
SMS-шлюз
Проверка IMSIотправителя
(привязан к счету) ОТКАЗI
II
От SMS-банкПодтвердите операцию отправив код 754387 ответом на это сообщение
ОТКАЗWTF
Как правильно
12
Другие векторы
bull GSM-сигнализации с паролями по умолчанию
bull laquoумные домаraquo - таргетированные атаки
Как защититься пользователю
bull не отключать OTP и оповещения на операции по карте
bull внимательность и бдительность
bull использовать банк-клиент для смартфона
13
Конец рассказаСпасибо за внимание
Денис Горчаков Ольга Кочетова
dgorchakovptsecurityru okochetovaptsecurityru
Исследовательский центр
Positive Technologies
Проверки
― без проверки (только по номеру отправителя)
― просто и удобно но небезопасно
― проверка по 4 цифрам карты ненадежно
― проверка по одноразовому коду лучше но есть нюансы в безопасности
― правильные банки помимо ОТР - проверка IMSI привязка IMSI к номеру счета
IMSI (International Mobile Subscriber Identity) mdash международный идентификатор мобильного абонента (индивидуальный номер абонента) ассоциированный с каждым пользователем мобильной связи стандарта GSM UMTS или CDMA При регистрации в сети аппарат абонента передаёт IMSI по которому происходит его идентификация
Номер laquoзашитraquo на SIM-карте пользователя
11
От номер ВасилияКому SMS-банкSEND CUTEKITTENS 99999 0890
Злоумышленник Семен
SMS-шлюз
Проверка IMSIотправителя
(привязан к счету) ОТКАЗI
II
От SMS-банкПодтвердите операцию отправив код 754387 ответом на это сообщение
ОТКАЗWTF
Как правильно
12
Другие векторы
bull GSM-сигнализации с паролями по умолчанию
bull laquoумные домаraquo - таргетированные атаки
Как защититься пользователю
bull не отключать OTP и оповещения на операции по карте
bull внимательность и бдительность
bull использовать банк-клиент для смартфона
13
Конец рассказаСпасибо за внимание
Денис Горчаков Ольга Кочетова
dgorchakovptsecurityru okochetovaptsecurityru
Исследовательский центр
Positive Technologies
От номер ВасилияКому SMS-банкSEND CUTEKITTENS 99999 0890
Злоумышленник Семен
SMS-шлюз
Проверка IMSIотправителя
(привязан к счету) ОТКАЗI
II
От SMS-банкПодтвердите операцию отправив код 754387 ответом на это сообщение
ОТКАЗWTF
Как правильно
12
Другие векторы
bull GSM-сигнализации с паролями по умолчанию
bull laquoумные домаraquo - таргетированные атаки
Как защититься пользователю
bull не отключать OTP и оповещения на операции по карте
bull внимательность и бдительность
bull использовать банк-клиент для смартфона
13
Конец рассказаСпасибо за внимание
Денис Горчаков Ольга Кочетова
dgorchakovptsecurityru okochetovaptsecurityru
Исследовательский центр
Positive Technologies
Другие векторы
bull GSM-сигнализации с паролями по умолчанию
bull laquoумные домаraquo - таргетированные атаки
Как защититься пользователю
bull не отключать OTP и оповещения на операции по карте
bull внимательность и бдительность
bull использовать банк-клиент для смартфона
13
Конец рассказаСпасибо за внимание
Денис Горчаков Ольга Кочетова
dgorchakovptsecurityru okochetovaptsecurityru
Исследовательский центр
Positive Technologies
Конец рассказаСпасибо за внимание
Денис Горчаков Ольга Кочетова
dgorchakovptsecurityru okochetovaptsecurityru
Исследовательский центр
Positive Technologies
