Давно пользуюсь «Тинькофф Банком», примерно с 2014 года. В последнее время на vc.ru стало появляться много статей на тему воровства денег с карт или взломах мобильного приложения. Но я чувствовал себя в безопасности, так как старался соблюдать основные правила финансовой безопасности:
- На карте стоит лимит на сумма не более 2-ухнедельных расходов.
- Интернет-платежи только с виртуальной карты.
- Физическая карта одна, она лежит дома и не используется для платежей.
- Уникальный пароль для интернет-банка и приложения.
- Номер телефона привязанный к банку не основной, его знают единицы.
- Apple Pay.
Но даже это не спасло от небольшого инцидента. В один день начали массово приходить смски от банка о попытке входа на сайт и 4-ех значный код. Я сразу зашел в интернет-банк, сменил пароль. Затем вошел в приложение, попытался отправить сообщение в техподдержку со скриншотом смсок, но приложение вылетело с ошибкой о частых авторизациях (точную формулировку не помню). Далее, позвонил уже по телефону, где мне заблокировали карты и восстановили доступ в приложение. На всякий случай вывел все деньги в другой банк. В общем все обошлось, потери нулевые. Технических подробностей о данной ситуации не знаю.
После этого почитал пару статей про восстановление доступа и ужаснулся, оказывается кодовое слово можно поменять зная просто данные паспорта и данные по карте. Номер телефона можно поменять зная кодовое слово и паспортные данные. То есть зная некоторый объем информации и период когда телефон не в зоне доступа к сети можно завладеть доступом к приложению, где можно своровать не только деньги клиента, но еще и быстренько оформить кредит.
Я решил написать небольшую статью со списком мер, которые сделают хранение денег в банке Тинькофф более безопасным.
1. Запретить восстановление доступа к приложению и интернет-банку дистанционно.
Да, я знаю что отделений нет. Но код для восстановления можно отправлять почтой или через представителя. Это дольше и неудобно, но это можно сделать опционально или даже платно.
2. При входе на новом устройстве запретить проводить какие-либо операции на 48 часов. Только режим чтения.
Здесь я думаю все понятно. При этом на доверенных устройствах должно быть постоянное уведомление, о том, что есть еще одно устройство, где вошли в Ваш профиль.
3. Кодовое слово для сотрудников.
На VC кто-то обращал внимание, что реальные сотрудники банка могут перезвонить Вам с левых номеров. Хочется что бы сотрудник как-то подтверждал, что он не мошенник.
4. Вывести список авторизованных устройств и историю событий в приложение.
Сейчас список устройств, где Вы авторизованы можно посмотреть на какой-то специальной странице интернет-банка, которую сходу тяжело найти. Историю попыток входа вообще посмотреть нигде нельзя. Эта информация должна быть доступна клиенту.
Считайте меня параноиком, но Тинькоффу не хватает USB-токенов для ДБО юрлиц. Как вообще можно доверять авторизации, устроенной полностью на SMS-сообщениях? Их могут украсть Android-трояны, SIM-карту могут перевыпустить и т.д.
Как вас защитит токен ? Когда вы засунете его в скомпромиьированный компьютер ваши денежки тютю
Перехват закрытого ключа из USB-токена во время его извлечения в память компьютера, безусловно, возможен. Но требует на порядки(!) большей квалификации злоумышленников по сравнению с перевыпуском SIM-карты или перехватом SMS. А в случае с ЭЦП-токенами, где СКЗИ встроено в токен и ключ не покидает ключевой носитель, перехват токена вообще невозможен.
Т.е. вы полагаете, что вставив его в скомпромиьированный компьютер проблем не испытаете ? Вы вставляете токен, набираете все пароли, и подписывается не ваше распоряжение о покупке кошачьего корма, а какое-то другое - о переводе всего вашего бабла куда-нибудь подальше... И у вас нет вообще никаких прав ни на что. Хорошо ещё, если вместе с деньгами всю недвигу не уведут...
Комментарий недоступен
Ну так вы вставили токен в свой компьютер для подтверждения транзакции в банке. Набрали пароль. Подтвердили свою транзакцию. Верно ?
А теперь вы сделали все тоже самое, но подтвердилась не ваша транзакция, а транзакция злоумышленников. Потому что компьютер скомпрометирован и именно ее засунули для подписания в токен.
Не очень понимаю, как вы от этого защититесь то ? Если бы у вас было отдельное гарантированно чистое аппаратное устройство и оно вам показывало что вы подписываете токеном, тогда да. Но его нет, есть только компьютер, который ждёт пока будет возможность подписать неправильные приказы.
Комментарий недоступен
Ну нет конечно. Для того, чтобы на скомпрометированном компьютере вы видели не ту информацию, которую подписываете надо очень мало всего. Вам в браузер покажут все то, что вы хотите видеть(либо сами сгенерят странички, либо поменяют распакованные данные), а в фоне какой-нибудь вебкит все и наберёт. В браузере можно вообще что угодно делать.
Поймите простую вещь: после того как вы открыли вашим токеном дверь, кто угодно и как угодно может пролезть в нее. Представьте себе, что вы набрали все пароли и оставили компьютер включенным, злоумышленник получил к нему доступ, и...
Я пользовался ЭЦП для биржи. Там вроде бы реально подписываешь каждое распоряжение. Но даже это нисколько не поможет, показать можно одну информацию, а подписать другую. Да в целом и показывать ничего не надо. Просто подписать нужное. Токен вы вставили, пароль набрали, вы больше не нужны....
Я описываю атаку, с которой мы все столкнемся очень скоро. Она несколько сложнее современных, но не запредельно. Когда я в 2000х спрашивал у людей что они будут делать если вирусы начнут шифровать их данные в фоне, а потом требовать выкуп многие люди рассказывали мне о том, что такого не будет никогда.... Невозможно технически. Нельзя так сделать. Вообще никак.
К сожалению, я знал уже тогда какие можно использовать сценарии, как знаю сейчас такие же сценарии для использования против токенов, которые втыкают куда попало. Против программных средств хранения паролей. Против множества популярных и опасных вещей.
Тем не менее атаки на симки вполне реальны.