В Сбербанке нашлось 20-30 тысяч жертв Android-вируса

Развитие событий: Первый зампред Сбербанка: Гонка за клиента в цифровом пространстве — вопрос жизни и смерти. Сбербанк всё ещё может победить Apple и Google (24 июня 2015)

Источники в МВД рассказали агентству Flashnord о том, что в «Сбербанке» от действий вируса, похищавшего средства со счетов клиентов банка, пострадали 20−30 тысяч человек из разных регионов России.

СМИ оценивают число пользователей мобильных сервсов «Сбера» в 4 млн человек. Пострадавшие пользовались исключительно Android-устройствами, уведомления о списании средств пострадавшие не видели, поскольку SMS блокировались трояном.

По данным агентства, разработчики вируса из Челябинска уже задержаны полицией и дают признательные показания. МВД сообщило, что в преступную группу входило 5 человек.

Описанная в CNews версия трояна начинает ограбление с SMS «баланс» на номер «900». Если на запрос приходит ответ — значит к телефону привязана карточка Сбербанка с управлением через SMS-команды «Мобильного банка». С этого момента злоумышленники начали воровать деньги с тестового телефона-счёта, пока не столкнулись с ограничением на число запросов и недостатком средств на счету.

Жертва не может сразу увидеть кражу, так как троян блокирует SMS-уведомления банка с информацией о списаниях. Для просмотра этих сообщений CNews пришлось пользоваться особыми ухищрениями — рядовой пользователь ничего подобного с SMS не делает и кражу не видит.

CNews обменялся репликами со «Сбером», в банке объяснили:

При использовании незащищенной платформы Android без антивирусной защиты, загружая ПО из непроверенных источников, клиент нарушает опубликованные на сайте услуги требования безопасности и полностью берет на себя соответствующие риски и ответственность за возможный ущерб.

Актуальная с середины марта 2015 года версия приложения «Сбера» с ограничением работает на смартфонах с Root-правами. Дополнительно банк защищает android-пользователя антивирусными технологиями «Касперского». Публикация-исследование CNews, в котором у корреспондента исправно пропадали деньги, вышла 9 апреля.

Лучшие комментарии

  • Контекст комментария

    happywalrus

    В прошлой теме я вроде кому-то отвечал, что надо отключать «Быстрый платёж» (0 на номер 900). Этого более-менее достаточно, тем более, что назад включается через СБОЛ.
    Вот почему он включён по умолчанию — вопрос гораздо лучше. Говорят, что ИБ Сбера предлагала отключение, но маркетинг/коммерсы продавили оставить по умолчанию включённый, у них какие-то KPI и конверсии падают. Кажется в Телеком-Бардаке проскакивала инормация.

Добавить 24 комментария

  • Ответить

    «Мобильный банк» — зло, поскольку он уничтожает двухфакторную авторизацию просто на корню.
    К сожалению, отключить его полностью невозможно, если вы хотите получать sms-уведомления. Почему так сделано — загадка.

  • Ответить

    В прошлой теме я вроде кому-то отвечал, что надо отключать «Быстрый платёж» (0 на номер 900). Этого более-менее достаточно, тем более, что назад включается через СБОЛ.
    Вот почему он включён по умолчанию — вопрос гораздо лучше. Говорят, что ИБ Сбера предлагала отключение, но маркетинг/коммерсы продавили оставить по умолчанию включённый, у них какие-то KPI и конверсии падают. Кажется в Телеком-Бардаке проскакивала инормация.

  • Ответить

    А что остаётся незакрытым?
    Интересно, но нет под рукой карточек Сбера, чтобы проверить.

    Вообще какие-то банки тестируют доставку уведомлений о списаниях через push-уведомления, насколько я знаю. Но тут будут свои косяки, конечно. Зато можно будет отказаться от SMS :)

  • Ответить

    если удалить или остановить приложение, то push не дойдет.
    вероятность доставки смс, я считаю намного выше.
    это банкам жалко 30 коп на смс стало, хотя этот расход покрывается за счет клиентов.

  • Ответить

    Если я правильно читаю сбербанковские описания, то остается возможность платить по шаблонам и пополнять счет привязанного телефона. Впрочем, могу ошибаться — не проверял.

  • Ответить

    Насколько я понимаю, отключение быстрого платежа отключает пополнение произвольных телефонов; пополнение основного номера, привязанного к мобильному банку остается.

  • Ответить

    На свой номер платежи всё-таки не отключаются? Я когда год или полтора назад пробовал, вроде бы всё переставало пополняться.
    Тогда это и правда печаль, и ничего не меняет в целом. Разве что деньги в фродовой схеме мошенникам придётся дополнительно гонять через оператора.

  • Ответить

    Я так, аккуратно скажу: мне кажется, что у меня тогда не получилось.
    Может быть нужно дойти до банка и попросить действительно отключить :), я отключал в интернет-банке естественно.

  • Ответить

    Внимание! в комментарии happywalrus содержится недостоверная информация:
    отправка 0 на номер 900 вообще ничего не отключает, т.к. такой команды нет

    правильно отправлять слово НОЛЬ на номер 900, но и этого не достаточно, т.к. это НЕ отключает возможность пополнения номера, привязанного к мобильному банку

    подробнее об этой проблеме читайте здесь: http://www.banki.ru/blog/KiraSoft/5484.php

  • Ответить

    Внимательный вы наш! Порой не всё так однозначно: http://uploads.ru/uEg4r.png

    Да и про пополнение привязанного номера уже прокомментировали.
    К слову, проверка IMSI у Сбербанка есть, только работает медленно и херово.

    А, кстати, для разжигания: проверка IMSI через сервис агрегатора может давать false positive в ряде случаев. Один зелёный оператор с одним средней руки банком огребли уже за это разок от параноидального абонента.

  • Ответить

    Вообще я говорил не про 200, а про НОЛЬ против 0. А так да, нашёл, проверил, даже при отключенном быстром платеже и правда работает пополнение своего счёта. Мы это как раз уже выше выяснили :)

    Однако и тут есть хорошая сторона, есть лимиты на пополнение в сутки, плюс операторский антифрод может тормознуть часть денег и аккумуляторы. Вывод через операторский канал немного рискованней.

  • Ответить

    Ладно, давайте дальше разжигать о том, как плохо синхронизированы сервисы Сбера:
    у меня все карты там закрыты, однако же вот.
    > Список подключенных карт:
    > VISA7167 (OFF);VISA2158 (NEOPLATA);
    Одной карты нет два месяца, другой больше полугода.

  • Ответить

    да нет никакого антифрода в Сбербанке, об этом говорит многолетняя статистика, собираемая мной на сайте Банки.ру
    даже подбор срока действия карты, когда мошенники только номер карты знают, остановить не могут

    а не типовое поведение пользователя и как раз типичное для мошенников: смена сим-карты, восстановление пароля в Сберонлайн, закрытие вкладов, перевод с кредитной карты, суммы в сотни тысяч и все буквально в течении десятков минут
    вот примеры: http://www.banki.ru/blog/KiraSoft/5278.php
    а 42 перевода с карты на карту (со Сбербанка на Кукурузу) — это что типичное поведение: http://www.banki.ru/services/responses/bank/response/7716545/ ?

    все у Сбербанка на аутсорсинге: банкоматы обслуживает одна фирма, КЦ другая, процессинг пишет третья и т. д. и у каждого свои задачи, безопасность и клиент банка там на последнем месте

  • Ответить

    Мы опять про разное: я не про антифрод Сбербанка, а про операторский.
    При выводе без участия опсоса задействуется только банк/банки/платёжные системы. Если оставить только пополнение своего счёта через быстрый платёж, сразу появляется лимит то ли 9, то ли 15 тысяч в сутки — уже и не помню. Плюс надо вывести на счёт телефона, а оттуда уже на другие счета. Здесь появляется некая дополнительная проблема в лице оператора.

    Вообще, не защищая Сбербанк и их антифрод, он у них есть. Как минимум есть. И что-то всё же делает. Возможно, делает далеко не идеально, но всё же. В этом плане банки старого поколения отстают от QIWI, Тинькова и прочих, потому что те изначально пришли на современную модель и построили хорошие правила в том числе, а старые постепенно переползают и адаптируются к реалиям.

  • Ответить

    >http://www.banki.ru/services/responses/bank/response/7627787/
    единичный случай, больше таких случаев незамеченно, чтобы все случилось без бездействий/действий пользователя, а исключительно по воле 3-х лиц

    в этой истории одна странность — зачем группе имеющий доступ к 3D Secure кодам, присылать фальшивое СМС о блокировке карты, они же и так «как бы» имеют номер карты и доступ к кодам?

    лично мое мнение, что вместо теории заговора, против простого пользователя на 40 т.р. («группа по всей вероятности имеет доступ к комбинации данных карты и подключенному к счету номеру телефона, а также тексту SMS-сообщений, отправляемых абоненту банком.»)
    мама просто не смогла рассказать правду «сотруднику подразделения информационной безопасности крупного банка», о том как сама скомпрометировала код или что-то подобное, о чем недоговаривает или не подозревает эти действия компрометацией

    была бы группа — была бы уже куча отзывов, иногда диву даешься как люди все сами компрометируют: http://www.banki.ru/blog/KiraSoft/6382.php (два случая по 70 000 каждый, а сколько еще постеснялось написать?)

    что там под буквами XYZ скрывается в отзыве и зачем самое интересное было скрывать?
    да, я прочитал, что в детализации нет смс и звонков, что был инструктаж, но позвонить можно и с другого телефона и т. п.

  • Ответить

    > зачем группе имеющий доступ к 3D Secure кодам, присылать фальшивое СМС о блокировке карты, они же и так «как бы» имеют номер карты и доступ к кодам?
    Это банально дороже. Когда встретилась продажа SMS-кода, предлагающие хотели половину выводимой суммы.

    > единичный случай, больше таких случаев незамеченно
    К сожалению нет, по сарафанному радио рассказали о ещё нескольких случаях. Собственно я там в отзыве написал, что предполагаю такой сценарий по той причине, что встречал услугу продажи OTP.

    Я не спорю, могла не рассказать, но пытки у нас запрещены законодательством, и приходиться верить на слово. Впрочем, тогда и придёт ответственность за дачу ложных показаний, потому как дело висит …

    > что там под буквами XYZ скрывается в отзыве?
    Что card2card идёт через сервис одного из банков. Не хотелось бы его озвучивать, это могло бы им навредить. Например потому, что они не смогли сказать внешний IP, с которого производился перевод, он у них логируется некорректно, судя по всему.
    Собственно ради этого скрыты и остальные детали, чтобы в том числе не подставить некоторых коллег, предоставивших информацию для расследования.