Мошенники придумали способ монетизации старой базы «Билайна» — авторизация в финансовых сервисах через голосовой «второй фактор»

Банк «Точка», позволяющий получать код двухфакторной авторизации голосовым звонком, а точнее его клиенты, стали жертвой хищений средств со счетов.

Сценарий хищений был прост:

Пользователям, у которых пароль для личного кабинета «Билайна» совпадал с паролем для личного кабинета банка «Точка», злоумышленники устанавливали переадресацию голосовых вызовов на контролируемый мошенниками номер.

После авторизации в банке «Точка» с логином и паролем «Билайна» система выдавала секретный код голосовым звонком на номер телефона мошенников. В банке «Точка» столкнулись с 10 такими случаями

Стоит заметить, что установление соответствий между клиентами банка «Точка» и опубликованной базой «Билайна», а также проверка совпадения паролей, не являлось бы простой задачей, если бы такой вариант атаки был предусмотрен IT-службой банка.

Редакция Roem.ru ещё раз призывает никогда и нигде не использовать одинаковые пароли.

Добавить 9 комментариев

  • Ответить

    Ну тут сделали и голосовой канал, чтоб удобно было
    не предусмотрели что такая фигня будет.

    Интересен другой вопрос: когда Билайн хотя бы смэтчит утекшую базу с базой живых абонентов и потребует от тех, чьи данные скомпрометированы, сменить пароль.

    (их это не защитит от взлома на других сервисах тем же паролем, но Билайн хотя бы сделает то, что может сделать на своей стороне)

  • Ответить

    мы сравниваем отправку кода авторизации по смс или голосом.

    а) нужно установить переадресацию
    б) принять и обработать код.

    рискну предположить, что обработать смс проще, чем распознать голос.
    с переадресацией смс вопрос, раньше у мегафона можно было установить через личный кабинет, сейчас возможность убрали. у мтс вроде жива, и даже доступен архив смс в личном кабинете
    https://moskva.mts.ru/personal/mobilnaya-svyaz/uslugi/mobilnaya-svyaz/sms-pro
    но существуют методы и без привлечения оператора.

  • Ответить

    >>рискну предположить, что обработать смс проще, чем распознать голос.

    Если я правильно понимаю «банковские» смс-ки просто не будут иди через «переадресацию», всякие sip-программы от операторов (вот например на сайте МТС написано что не работает переадресация sms для коротких номеров). Так что в этом смысле SMS более надежнее .

Для добавления комментария войдите или зарегистрируйтесь.