Мошенники придумали способ монетизации старой базы «Билайна» — авторизация в финансовых сервисах через голосовой «второй фактор»

Банк «Точка», позволяющий получать код двухфакторной авторизации голосовым звонком, а точнее его клиенты, стали жертвой хищений средств со счетов.

Сценарий хищений был прост:

Пользователям, у которых пароль для личного кабинета «Билайна» совпадал с паролем для личного кабинета банка «Точка», злоумышленники устанавливали переадресацию голосовых вызовов на контролируемый мошенниками номер.

После авторизации в банке «Точка» с логином и паролем «Билайна» система выдавала секретный код голосовым звонком на номер телефона мошенников. В банке «Точка» столкнулись с 10 такими случаями.

Стоит заметить, что установление соответствий между клиентами банка «Точка» и опубликованной базой «Билайна», а также проверка совпадения паролей, не являлось бы простой задачей, если бы такой вариант атаки был предусмотрен IT-службой банка.

Редакция Roem.ru ещё раз призывает никогда и нигде не использовать одинаковые пароли.

Добавить 11 комментариев

  • Ответить

    Ну тут сделали и голосовой канал, чтоб удобно было
    не предусмотрели что такая фигня будет.

    Интересен другой вопрос: когда Билайн хотя бы смэтчит утекшую базу с базой живых абонентов и потребует от тех, чьи данные скомпрометированы, сменить пароль.

    (их это не защитит от взлома на других сервисах тем же паролем, но Билайн хотя бы сделает то, что может сделать на своей стороне)

  • Ответить

    мы сравниваем отправку кода авторизации по смс или голосом.

    а) нужно установить переадресацию
    б) принять и обработать код.

    рискну предположить, что обработать смс проще, чем распознать голос.
    с переадресацией смс вопрос, раньше у мегафона можно было установить через личный кабинет, сейчас возможность убрали. у мтс вроде жива, и даже доступен архив смс в личном кабинете
    https://moskva.mts.ru/personal/mobilnaya-svyaz/uslugi/mobilnaya-svyaz/sms-pro
    но существуют методы и без привлечения оператора.

  • Ответить

    >>рискну предположить, что обработать смс проще, чем распознать голос.

    Если я правильно понимаю «банковские» смс-ки просто не будут иди через «переадресацию», всякие sip-программы от операторов (вот например на сайте МТС написано что не работает переадресация sms для коротких номеров). Так что в этом смысле SMS более надежнее .

  • Ответить

    Верно я понимаю, кто-то перебирал все телефонные номера из утекшей старой базы Билайн — как логины для Точки. И пароли из этой утекшей базы Билайн как пароли для точки?
    А что в базе Билайна были не только логины, но и пароли? Что про эту базУ вообще известно? Странно, что если утекли и пароли, Билайн не кричал об этом на каждом углу.
    А у банка Точка не оказалось внятной защиты от перебора логинов паролей?