Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Деньги
Сервисы
Личный опыт
Маркетплейсы
Крипто
AI
Образование
Путешествия
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
SafeTech

Как я сам у себя деньги украл

Павел Мельниченко, технический директор

Меня всегда удивляла слепая вера многих знакомых, включая сотрудников банков, в абсолютную безопасность использования кодов из СМС и пуш в качестве второго фактора аутентификации, в том числе для подтверждения транзакций. И каково бывает их удивление, когда они на собственном опыте могут убедиться в обратном.

Обедал я как-то с одним старым знакомым - сотрудником серьезного банка. Говорили о том, о сем, и зашла у нас речь про смс и возможность их перехвата. И вот мой приятель, даром что ИТ-шник, на полном серьезе начинает меня уверять, что риски атак с перехватов кодов из смс и пуш ничтожны, так как для этого надо будет написать специальный вредоснос, а это дорого и сложно. И потому для хакеров подобные атаки просто нерентабельны.

Я с ним спорил, убеждал что вовсе не так все сложно, и такие атаки, напротив, могут быть очень выгодны. В итоге мы заключили пари: я сыграю в хакера, попробую написать вредонос, который сможет перехватить код из смс или пуш. Не смогу – с меня виски, смогу – он меня угощает.

Вернулся в офис, засек время и приступил. Результат удивил меня самого – потребовалось всего 1,5 часа, чтобы создать комплексное решение – вредоносное ПО для Android, сервер для получения украденных уведомлений и пользовательский интерфейс для их чтения на стороне сервера. Антивирус этот вредонос на смартфоне не ловил. Протестировал свою разработку - «украл» небольшую сумму со своей же карты, и тем же вечером продемонстрировал чудеса техники своему знакомому, «украв» 500 рублей и у него.

Спор я выиграл, приятеля убедил. И через какое-то время в его банке приняли решение отказываться от кодов из СМС и пуш и перешли на более безопасный способ подтверждения операций - мобильную цифровую подпись. А через некоторое время и в СМИ прочитал, что атаки с перехватом кодов из смс вновь популярность обрели.

Но на самом деле для перехвата кода из СМС злоумышленникам можно и не создавать вредоносное ПО, есть и другие, не менее популярные способы получить заветный кодик. Например, существуют атаки с подменой SIM-карт, когда злоумышленник с помощью сообщника в операторе мобильной связи меняет sim-карту на новую с тем же номером телефона, и все смс идут уже на нее. Заметить подмену симки можно, но произойдет это не мгновенно, а чтобы опустошить банковский счет достаточно несколько минут.

Еще один простой и дешевый способ получение кодов – социальная инженерия. По данным регулятора не менее чем в 15% атак граждане сами и совершенно добровольно называли злоумышленникам коды из смс. Потому что, если есть возможность что-то продиктовать злоумышленнику – доверчивый гражданин с большой долей вероятности продиктует.

Поэтому можно верить в безопасность кодов из смс или пуш, а можно знать, как обстоят дела в реальности. И выбирать более безопасные способы подтверждения платежа. Например, мобильную электронную подпись.

Начать дискуссию