pkf-krepost.ruНовости

Главная Новости

Перенос номера и атака на пользователей интернет-банкинга  

Опубликовано: 23.06.2023

Перенос номера и атака на пользователей интернет-банкинга  

В связи с недавним опубликованная атака в клиент интернет-банкинга Commonwealth Bank of Australia, который он использовал для доступа к своему счету двухфакторная аутентификация,нас, понятно, интересовало, как произошло нападение и мог ли кто-то осуществить его и здесь, в Чехии. Атака была по сути очень примитивной и заключалась в том, что злоумышленник запросил от имени жертвы передать номер телефона от Vodafone другому оператору, у которого он для этого создал аккаунт цель. После проверки запроса номер телефона был передан через 30 минут и номер был активирован в сети другого оператора.

Затем злоумышленник вошел в интернет-банкинг (учетные данные он получил через вредоносное ПО, которое было на ноутбуке жертвы), а затем совершил транзакцию на сумму 45 000 австралийских долларов, которую подтвердил с помощью одноразового кода, отправленного ему банком на мобильный телефон.. Поскольку это была относительно большая сумма, в то же время был сгенерирован сигнал тревоги. система обнаружения мошенничества (Fraud Detection System, сокращенно FDS) и после трех безуспешных попыток связаться с клиентом по телефону счет был заблокирован в превентивных целях, и дальнейшие операции больше не могли осуществляться.

В этом случае создается впечатление, что банк выполнил все, что рекомендуется в добавка к руководство Аутентификация в среде интернет-банкинга, опубликованная FFIEC. Однако из опубликованного отчета неясно, с какого мобильного номера банк пытался дозвониться до клиента, был ли это тот же номер, на который ранее было отправлено авторизационное SMS, или другой. В том случае, если это был номер, на который клиенту было отправлено авторизационное SMS, эта проверка была бы несколько бессмысленной, поскольку злоумышленник все равно мог принять звонок и подтвердить транзакцию. А если данный банк не в состоянии верифицировать клиента по голосу,как и Национальный австралийский банк, не может знать, что он не разговаривает со злоумышленником.

Возможность потребовать передачи телефонного номера другому оператору и обязанность выполнить это требование определены в законе и направлены на повышение конкуренции и, следовательно, качества предоставляемых услуг. В Австралии эта услуга предоставляется с 2001 г. (термины определены С570:2009 Австралийское управление по коммуникациям и средствам массовой информации) и в Чешской Республике с 2006 г. (Закон № 127/2005 Coll. об электронных коммуникациях, когда точные условия переносимости все еще регулируются регламентом CTU). Перенос номера телефона в наших странах занимает дни или недели.

Для того, чтобы номер телефона был перенесен, заявитель должен сначала связаться с оператором, на которого он хочет перейти, и сообщить ему, какой номер телефона он хочет перенести. Он получает от оператора уникальный код, который сообщает отправляющемуся оператору. Операторы договариваются между собой, когда произойдет перенос номера телефона, и новый оператор выдает заявителю новую сим-карту, которая активируется в течение максимум нескольких часов после аннулирования номера телефона с оставлением оператора.. Очевидно, что когда авторизованный пользователь передаст свой номер телефона другому оператору, его номер перестанет работать, однако злоумышленник может использовать методы социальной инженерии и убедить жертву в том, что, например, произошла техническая неисправность и что ведется работа по его устранению, и таким образом получить нужное вам время. Ведь так было и в этом случае.

Проверка заявителя на передачу номера телефона другому оператору имеет решающее значение, поскольку в момент, когда неуполномоченное лицо запрашивает передачу номера телефона и его просьба удовлетворяется, авторизованный пользователь может понести значительный ущерб, размер которого будет зависеть от того, что он использует свой телефон для всего. В этом случае злоумышленнику нужно было ответить всего на несколько простых вопросов, таких как номер клиента и дата рождения. Кроме того, с 2009 года австралийские банки могут подключаться к базе данных, содержащей перенесенные телефонные номера, и использовать эту информацию как часть своих FDS. Странно, что они не используют в полной мере эту возможность.

Очевидно, что если бы проверка заявителя на передачу номера телефона происходила только указанным выше способом, злоумышленник мог бы легко запросить передачу номера телефона другому оператору.

На наш запрос сотрудник оператора сообщил, что они требуют от заявителя для передачи номера телефона лично явиться в их отделение и предъявить удостоверение личности. В случае, если клиент запрашивает передачу номера телефона в письменной форме, его подпись проверяется или с ним связываются по номеру телефона, который он указал в своем заявлении, т.е. по номеру, отличному от того, который он запрашивает. Излишне говорить, что даже если бы было больше способов, которыми клиент мог запросить передачу номера телефона, и была бы более безопасная проверка, злоумышленник выбрал бы самый простой способ.

Если вам понравилась эта статья, вы можете поделиться ссылкой на нее.

Теги: киберпреступность,Интернет-банкинг

К статье "Перенос номера и атака на пользователей интернет-банкинга" 2 комментария.

Обсуждение на сайте модерируется. Под статьей будут отображаться только такие комментарии, которые не будут использоваться для продвижения конкретной компании, товара или услуги. Если вы хотите, чтобы этот сайт ссылался на ваш сайт, связаться с нами,мы знаем более эффективные способы продвижения.

rss