Поиск

Безопасность SMS-токенов

24.01.2011 от Andrew

В новостной рассылке на прошлой неделе пришло:

RSA: БАНКОВСКИЕ SMS ТОКЕНЫ УЯЗВИМЫ
Количество атак мобильных телефонов увеличится в этом году из-за того, что преступники пытаются перехватывать SMS токены аутентификации. Такое мнение
высказали представители компании RSA, сообщает xakep.ru.
Токены были созданы для того, чтобы дополнить собой ввод имени пользователя и пароля, требуя от пользователя подтвердить платеж уникальным цифровым кодом, в данном случае высылаемым посредством SMS-сообщения. Услуга становится все более популярной, и Commonwealth Bank of Australia отмечает, что 80 проц их клиентов используют токены для того, чтобы подтвердить платежи третьим лицам с помощью SMS или с помощью более надежных портативных генераторов ключей. Банк не заставляет клиентов использовать данную услугу, но те, кто не захочет пользоваться ей, не смогут производить операции с высокой степенью риска через Интернет-банк.
В прогнозе на 2011 г RSA отметила, что рассылка токенов посредством SMS сделает телефоны мишенью. Использование аутентификации с помощью SMS … как дополнительного средства
обеспечения безопасности, добавляет уязвимое место в мобильный канал, — сообщила компания в докладе.  Преступник может … провести телефонную атаку типа отказа в обслуживании, и мобильный телефон потребителя не будет работать. Сервис перенаправления SMS сообщений также становится привычным объектом для мошенников и дает им возможность перехватить /токен/, высланный банком на мобильный телефон пользователя, и перенаправить его на телефон киберпреступника.
Компания предсказала, что количество смишинг-атак и фишинга на мобильных телефонах, проводимого с помощью SMS, также увеличится в этом году. Количество успешных смишинг-атак больше, чем стандартных фишинг-атак, потому что потребители не ожидают получить спам на мобильный телефон и, скорее всего, поверят, что сообщение — законное.
Также сказано, что не существует эффективных технологий по предотвращению смишинга.

В России SMS-аутентификация это один из самых популярных способов аутентификации клиентов и подтверждения платежей, поэтому меня это сообщение очень заинтересовало и я обсудил его с коллегами, погруженными в предметную область. Резюмируя их мнение: на все смартфоны (за исключением невзломанного iPhone) можно незаметно для пользователя поставить программу, которая может перехватывать, перенаправлять, подменять или имтировать входящие и исходящие SMS-сообщения, но это не возможно на обычном мобильном телефоне.

Таким образом, SMS-аутентификация относительно безопасна на обычных мобильных телефонах, но не безопасна на смартфонах и должна применяться с ограничениями по сумме (чтобы не было экономической целесообразности заморачиваться с подкидыванием троянов на смартфон) и назначениями платежей (например, только платежи по пользовательским шаблонам)

Рубрики: Банковская розница | 9 комментариев »»»

9 комментариев

  1. idro пишет:

    в СМС-антификации появляется лишнее звено , человек в сотовой компании :) Что помешает ему перевыпустить на подельника симку с вашем номером ? Когда вы еще схватитесь , что номер блокирован. А сотовая компания не обязана вам возмещать полученый ущерб.

  2. Andrew пишет:

    Насколько я извещен одновременно в сети не могут быть зарегистрированы 2 симки с одним номером.
    Вообще процесс персонализации сим-карт не представляю, поэтому не знаю сколько надо коррумпировать народу, чтобы выпустить клон. Но зачем так заморачиваться, когда на стороне оператора злоумышленник-инсайдер может просто перехватывать SMS?
    PS
    Блог почитывают сотрудники Информзащиты — может они найдут нужным компетентно высказаться

  3. idro пишет:

    Симку не надо клонировать, старую блокируют , новую к себе в телефон вставляют. в 2009 или 2008 году так у четверых клиентов Альфы утянули по 600.000 . У них были корпоративные симки , кажется Мегафона. Злоумышленник поделал доверенность компании на себя, и получил новые симки.В пятницу вечером получил , в понедельник утром денег на счету не оказалась. Перевели на пластик и обналичили в Польше .После шумихи в прессе Альфа компенсировала убытки.

  4. Alex пишет:

    «… Резюмируя их мнение: на все смартфоны (за исключением невзломанного iPhone) можно незаметно для пользователя поставить программу, которая может перехватывать, перенаправлять, подменять или имтировать входящие и исходящие SMS-сообщения, но это не возможно на обычном мобильном телефоне…»
    И снова — ура iPhone! Адроед — зло :)

  5. touzoku пишет:

    Банки уже внедряют более сложные схемы аутентицификации, чем токены в чистом виде, MasterCard MMA, например. Стоит обращать на это внимание при выборе своего банка, хотя вопрос защиты мобильных телефонов стоит всё равно.

    Например, неразлоченный айфон всё равно подвержен уязвимостям: предпоследний джейлбрейк был через баг в Safari, его можно было эксплуатировать для установки любого софта будь то Cydia или малварь какая для перехвата СМС. Так что…

    Посмотрим что будет с приходом аппаратных решений в мобильниках — NFC всяких и иже с ними. На них японцы уже целятся их платежки (Suica, Edy! etc.) реализовывать у нас :)

  6. Cirrus пишет:

    >> Насколько я извещен одновременно в сети не могут быть зарегистрированы 2 симки с одним номером.

    Могут. Я делал себе клон нескольких сим-карт (операторы разных стран) на одну, чтобы в поездках сим-карты не переставлять.
    Делали эксперимент — включали симку оригинальную и ее клон в разных телефонах. Одновременные исходящие звонки работали, входящие звонки и смс шли на телефон который последний с базовой станцией коммуницировал. Все это происходило в 2006 году.

  7. den7b пишет:

    Есть отлаженный и оч. дешевый механизм создания мультисимок. Нужен спец приборчик (стоит смешных денег, подключается к PC), который позволяет читать (то бишь взламывать) оригинальные симки и прошивать полученную информацию в чистые мультисимки. Одна мультисимка может включать в себя информацию о множестве оригинальных сим-карт, в телефоне появляется меню, позволяющее динамически активировать ту или иную запись из списка. Полезная и удобная вещь, в принципе :)

    В результате можно получить сколько угодно рабочих клонов исходной SIM-карты.

    Как будут вести себя клоны при одновременном выходе в сеть — зависит от политики оператора. По идее могут и заблокировать. Utel, в данный момент, в таких случаях ведет себя ровно так, как пишет Cirrus.

    PS: взломанный айфон становится ровно таким же потенциально ненадежным девайсом как и любой андроид.

  8. Arseny пишет:

    1) На счет SIM карт не совсем так, сами карты не ломаются (если мы не говорим про домашние условия), на основе сессионных ключей полученных от SIM карты, при определенном количестве этих самых сессионных ключей, можно вычислить мастер ключ находящийся в sim карте, после чего, оригинальная sim карта вам по факту не нужна. В общем не вдаваясь в подробности можно сказать, что не с каждой sim картой получится это фокус с помощью «спец приборчик»-а.
    2) Если честно не очень понял на счет android, достаточно хорошая система, позволяет ставить приложения с любых источник при этом ЧЕСТНО предупреждая какие ресурсы (чтение-отправка смс, неограниченный доступ в сеть и т.д.) требует устанавливаемое приложение. Если вы согласились установить тетрис которому нужны права на все возможные функции вашего телефона в том числе и геолокацию….

  9. Andrew пишет:

    http://digit.ru/technology/20120313/390027503.html
    статья о том, какую схему официального выуживания дубликатов SIM-карт целевых клиентов непосредственно у сотовых операторов придумали мошенники

Вставить свои 5 копеек:

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.