Банк "Точка", позволяющий получать код двухфакторной авторизации голосовым звонком, а точнее его клиенты, стали жертвой хищений средств со счетов.
Сценарий хищений был прост:
Пользователям, у которых пароль для личного кабинета "Билайна" совпадал с паролем для личного кабинета банка "Точка", злоумышленники устанавливали переадресацию голосовых вызовов на контролируемый мошенниками номер.
После авторизации в банке "Точка" с логином и паролем "Билайна" система выдавала секретный код голосовым звонком на номер телефона мошенников. В банке "Точка" столкнулись с 10 такими случаями.
Стоит заметить, что установление соответствий между клиентами банка "Точка" и опубликованной базой "Билайна", а также проверка совпадения паролей, не являлось бы простой задачей, если бы такой вариант атаки был предусмотрен IT-службой банка.
Редакция Roem.ru ещё раз призывает никогда и нигде не использовать одинаковые пароли.
Добавить 11 комментариев
Странный банк — обычно авторизация происходит через sms ( причем такие которые даже во всяких сераисах типа sp телефонии не проходят.
Ну тут сделали и голосовой канал, чтоб удобно было
не предусмотрели что такая фигня будет.
Интересен другой вопрос: когда Билайн хотя бы смэтчит утекшую базу с базой живых абонентов и потребует от тех, чьи данные скомпрометированы, сменить пароль.
(их это не защитит от взлома на других сервисах тем же паролем, но Билайн хотя бы сделает то, что может сделать на своей стороне)
странный комментарий. код в смс гораздо проще перехватить и обработать, чем код голосом
Ну нет
SMS надо уметь перехватывать, а тут только логин-пароль от личного кабинета знать надо, уметь ничего не надо
мы сравниваем отправку кода авторизации по смс или голосом.
а) нужно установить переадресацию
б) принять и обработать код.
рискну предположить, что обработать смс проще, чем распознать голос.
с переадресацией смс вопрос, раньше у мегафона можно было установить через личный кабинет, сейчас возможность убрали. у мтс вроде жива, и даже доступен архив смс в личном кабинете
https://moskva.mts.ru/personal/mobilnaya-svyaz/uslugi/mobilnaya-svyaz/sms-pro
но существуют методы и без привлечения оператора.
>>рискну предположить, что обработать смс проще, чем распознать голос.
Если я правильно понимаю «банковские» смс-ки просто не будут иди через «переадресацию», всякие sip-программы от операторов ( вот например на сайте МТС написано что не работает переадресация sms для коротких номеров ). Так что в этом смысле SMS более надежнее .
вы можете объяснить что такое «банковские смс» и чем они отличаются от обычных физически?
Я так негде не увидел подтверждений, что в базе были логины и пароли.
по ссылке выше написано что нельзя редиректить сообщения от коротких номеров. Вот вам и защита.
Верно я понимаю, кто-то перебирал все телефонные номера из утекшей старой базы Билайн — как логины для Точки. И пароли из этой утекшей базы Билайн как пароли для точки?
А что в базе Билайна были не только логины но и пароли? Что про эту базУ вообще известно? Странно, что если утекли и пароли, Билайн не кричал об этом на каждом углу.
А у банка Точка не оказалось внятной защиты от перебора логинов паролей?
Вот у меня насчёт перебора те же самые вопросы, да.