Доброго времени суток !


всем известно, что движения на расход с р/с может быть осуществлено одним из следующим вариантом

1. одноразовые пин-коды
2. подпись эцп
3. подтверждающий код, полученный через смс

мне тут банк сказал, что последний вариант самый небезопасный, ибо высока вероятность перехватить смс-ку
я ему сразу сказал, что этому перехвату подвержены смартфомы
но банк мне заявил, что перехватить смс можно в независимости от телефона...

что-то я не понял технологию перехвата

(0) да хз, если честно, вариант (3) считаю самым оптимальным... альфа-клик рулит на сегодня

(0) Мне в сбере наоборот говорили, что смс в плане безопасности очень хороший вариант

(1) (2) если у вас смартфон - то скинуть вам софт, который будет переправлять мне смс-ку нужную не составит труда

(3) Таким макаром 1,2 пункты тоже слабы, можно программку на компе вредоносную разместить

(4)
одноразовые пин-коды в одном экземпляре
про коллизия эцп знаю

(0) В сбере говорят что для этого многие заводят отдельный телефон и отдельную симку, можно купить обычный телефон, а у операторов закрыть доступ на отправку смс

(3) Я считаю, что смс это хороший вариант, поскольку для авторизации требуется дополнительное устройство, и хакер вынужден будет одновременно контролировать два канала передачи информации вместо одного. Бумажка одноразовых кодов тоже неплохое решение. А вот ЭЦП, полностью базирующаяся на компьютере, нестойка против собственно доступа хакера на уровне системы. Хакер сможет банально сэмулировать нажатия на клавиши в нужном порядке.
Думаю, идеальным был бы внешний криптопроцессор с клавиатурой, на которой пользователь бы вводил пароль ключа и одноразовый код для транзакции.

Считаю п.3 наверное самым безопастным.

Во первых, пароль действует только на одну транзакцию.
Перехватить его, довольно затруднительно. Т.е. человек должен по идее работать с обладателем телефона либо располагать техсредствами.

Во вторых, даже если преступник сделает тевую транзакцию, обладатель телефона увидит смс и сможет заблокировать перевод.

(0) Читал про это на хабре. Подробности не помню, но общий смысл в том, что
бБольшинство пользователей ставят в своих телефонах настройку, чтобы при потери сети тел начинал искать другую автоматически (роуминг). Чуваки делали глушилку связи и свою передаточную антенну, которая вещала как посредник. Тел переключался на эту антенну и весь трафик проходил через нее. Это один из вариантов перехвата

(7) >>Думаю, идеальным был бы внешний криптопроцессор с клавиатурой, на которой пользователь бы вводил пароль ключа и одноразовый код для транзакции.

А сейчас есть такие брелки. Жмешь кнопочку, высвечивает одноразовый пароль, его и вводишь.
Причем если ради шутки нажать кнопку более 10 раз, то надо будет ехать в банк для синхронизации, т.к. пароль "уйдет" списка банка.

(9) т.е. перехват идёт входящей смс-ки ? о_О

в смс же пароль на подтверждение конкретной транзакции, от перехвата такой смс смысл какой?

(12) подбираем пароль на вход банк-клиент
далее, заводим нужную платёжку и перехватываем смс-ку =)

(12) Ну мошенники формируют транзакцию в банк. Комп вирусом заразили или взломали инет банк.
Платежку сделали, вот надо подтверждение.

(14) это палево, делать надо не так =)

А что на клон симки уже СМС не придет?

(7) Какая связь между ЭЦП и "Хакер сможет банально сэмулировать нажатия на клавиши в нужном порядке."

(16) в (9) говорит, что базовую станцию оператора блокирую

(14) когда смс прийдет хозяин счета сразу среагирует

и самое интересно, как банку доказать, что это был взлом

(0) >> этому перехвату подвержены смартфомы

Собственно этого уже достаточно, чтобы банк не возлагал на эту технологию особых надежд. Откуда банку знать какое устройство ты используешь - смартфон или обычный телефон.

>> банк мне заявил, что перехватить смс можно в независимости от телефона...

Не банк, а сотрудник банка. Причем скорее всего какая-нибудь девочка, которую научили "правильно" отвечать на такие вопросы.

А по сут вопроса: с всё более широким распространением дырявых смартфонов банк прав. ЭЦП или одноразовые пин-коды (пароли) надежнее подтверждения СМС.

(18) Я про банальное клонирование симки, т.е. что мешает хакеру скопировать твою симку на которую приходит подтверждение о транзакции

(18) в этом случае это будет целенаправленно взлом на конкретного человека:
1. надо знать номер счета
2. взломать клиента
3. знать телефонный номер
4. заблокировать сеть у человека
5. перехватить смс
не дорого выйдет?

+ (20) но чую, что банк не будет возвращать деньги

(22) я технологией сотовых сетей особо не знаком

(19) >> когда смс прийдет хозяин счета сразу среагирует

среагирует.
Но будет уже поздно. Денюжки тю-тю. Придется бежать в банк, писать заявление, доказывать, что ты не верблюд, что СМС-подтверждение пришло не от тебя и т.д.

(23) надо знать логин/пароль и мобильник

(27) Это проблема для инсайдера?

в Банке Москвы комбинация из USB-токен (ЭЦП)  + OTP-токен (генератор одноразовых паролей)
если USB-токен можно использовать для нескольких счетов, то OTP-токен один на счет

(28) у него только номер счета и номер мобильника

(28) проблема только в (20) и (24) =)

(23) >> не дорого выйдет?

Смотря о какой сумме транзакции идет речь.

Конечно затевать взлом некоего zak555 вряд ли кому-то интересно.
Но если речь идет о взломе клиент-банка какой-нибудь фирмы-однодневки, занимающейся черным обналом, у которой ежедневно проходят транзакции на десятки миллионов, и которая вряд ли станет заявлять в случае кражи относительно небольшой суммы в пару мультов.

(32) меня приплетать не нужно
я интересуюсь (0) / (20) / (24)

(32) ломают постоянно, но ломают на 99.999% через трояны.

ломают мелкие и средние фирмы, переводы делают не большие (обычно меньше ляма рублей). Деньги сливают на пластик и потом получают.

про ломание самого банка - не слышал ни разу.

(32) у обнальных однодневок обычно деньги уводят регистраторы готовок или сами банки

(32) у юрлиц вроде всегда через ЭЦП

ну для разнообразии могу сказать:

был случай когда админ сам слил себе все ключи и после увольнения сделал себе компенсацию, теперь сидит...

(34) защита -- отказ от банка-клиента ?

(24) при прошедшей сделке ни один банк деньги не вернет, для банка сделка через клиент банк может быть отменена только 3 способами
1. по звонку с ключевым словом
2. по письму через клиент банк
3. по бумажке с подписью

но после того как рейс отправлен банк не может ничего отменить

афаир смс передаются по служебному базовому каналу гсм, отдельному от голосового и данных
возможно с предельно упрощенным алгоритмом авторизации и без шифрования
но это целевой перехват, когда охотятся именно на вас. если за вами не следят - самый надежный способ

Одноэсники - они таки фантазеры. Вы еще станцию разведки предложите развернуть...

Ваши СМС легко сольет любой технарь оператора связи за процент от платежа. Идут они по служебным каналам связи. Более того, хрен Вы вычислите сей факт.

(38) защита - запрет инета и отключение от сети (короче параноидальная защита от вирусов) гарантирует почти 100% защиту от взлома клиент банка.

(42) без инета банк клиент работать не будет =)

(43) т.е. ты не застал времена клиент-банков работающих через модем?

(44) конечно застал
dial-up наше всё =)

(22) Сама симка и мешает: клонирование - это технология прошлого, сейчас большинство опсосов уже заткнуло дырку, которая позволяла отсканировать исходную СИМ-карту.

А Мегафоновские, например, вообще не сканировались - там вторая версия протокола шифорования, без бага.

(34) >> про ломание самого банка - не слышал ни разу.

Я просто не так выразился.
Под взломом имел ввиду несанкционированный доступ от имени клиента с использованием украденного(подобранного) логина, пароля.

эм... откуда у взломщиков информация о номере телефона, на который падают смс с разовым кодом? Номер специально куплен для этого, инфа только у банка... т.е. целенаправленный слив инфы?

(43)диалап рулит :)

Чтобы провести одну платежку через сбер нужно 3 раза получить смс, как вариант после левой смс-ки телефон можно отключить совсем. Ну и вариант что телефон не пересылает смс тоже неплохой

(9) вот статья, про которую говорил http://mob.ua/news/2010/08/02/dlya_vzloma_gsm_dostatochno_oborudovaniya_stoimostyu_1500.html

(17) В подавляющем большинстве случаев ЭЦП ключи хранятся на компьютере локально (ну или на дискетке-флешке), и вся защита от несанкционированного использования - ввод пароля ключа пользователем. Если хакер имеет доступ к компьютеру - далее дело техники сэмулировать действия пользователя по вводу и подписи электронного документа.

У матери знакомой на работе пытались списать с р/с 1 лям.
Подпробностей на знаю, вирус был.

Девочка оператор, что то заподозрила, позвонила буху. Транзакцию отменили.
Чем дело закончилось правда не знаю.

(52) многие тех поддержки не рекомендую ставить пароль на контейнеры =)

(39) но после того как рейс отправлен банк не может ничего отменить

А что это значит ? Если бабло успели обналичить, тогда да, а в остальных случаях если оперативно все сделать бабки спокойно можно вернуть !

(54) Кстати вот помнится у сбербанка для подписи обязательно было надо поочередно воткнуть две дискеты в один дисковод.. Раньше думал что это паранойя, а теперь уже так не думаю.. Это конечно морально устарело, но физическое подтверждение РУКОЙ оператора, которое не сможет быть эмулировано программно, необходимо.

(0)Все варианты примерно одинаковы по защищенности, и все взламываются, только по разному.
Абсолютной защиты не бывает, сломать можно все, вопрос лишь в сложности и цене взлома, поэтому защита должна быть просто достаточной.
Не надо хранить флешку с подписью постоянно воткнутой в компьютер, держать одноразовые пароли где-попало, использовать для приема смс навороченный смартфон с кучей софта.
Ну и на особо крупные суммы можно поставить ограничение как правило, чтобы банк требовал дополнительного подтверждения.

(0) прежде чем о перехвате.подумай о сможешь ли ты 100% получить смс

Что может мешать
а) местность без GSM покрытия,....
б) GSM глушилка
в) не забывай о задержках (например 31.12 или в другие крупные праздники)

Вот поэтому СМС и не считают надежным способом.
Авангард выдает лист с одноразовыми пинами.

+(58) не забывай о том как легко потерять телефон

(59) Не сложнее, чем бумажку с одноразовыми паролями.

(54) не рекомендуют только из-за того, что они часто их забываю и потом начинают долбить звонками в тех.поддержку.

(60)А вот одноразовые пароли на бумажке хранить нехорошо, когда есть токены с экранчиком и паролем.

(58) авангард, кстати, три вариант предлагает

(56) Сейчас сбер переводит на новую версию клиент банка.
В старом, как сказал спец. банка, есть дырка которая позволяет злоумышленнику сунуть в сформированный файл свой код с списать деньги со счета.

(58) А чего, кто то ломится в ночь 31.12 или 8 марта платежи проводить?

(65) Иногда 31.12 отправляем ЗП, чтобы сальда не было не конец года

(66) Вот так вот в 11-12 ночи?
Днем вроде телефон нормально работает.
Да и 8 марта и прочее.

На НГ только хреново первый час.

(62) Хм.. а где их тогда хранить? Не на токене же.. в этом случае утеря токена равносильна одновременной утере ключа и листочка с паролями.

(68)Ну заведи еще один токен.
Да и достать из токена информацию не зная пароля, дело нетривиальное, на грани невозможного.

(67)Дело не только в работе телефона, бывает шлюзы подтормаживают, и не обязательно по праздникам.
Обычно смска приходит в течении трех-десяти секунд, однако бывали случаи, надо сказать крайне редкие, что не приходила вообще, либо приходила через пару часов.

(65) если лично про себя.то вполне допускаю.
(63) я говорю про то что есть у меня.возможно они что то меняют в своей политике

(69) Если токен открывается ОДНИМ паролем, то смысла в одноразовых пин-кодах, которые в нём хранятся, нет никакого..

(72)Почему?
Любой пароль который набирается на компьютере можно стырить троянцем. А пароль набираемый аппаратными кнопочками можно только подсмотреть при неаккуратном обращении, или узнать у владельца с помощью паяльника.

(73) Согласен, я про это в (7) и говорил. Но в этом случае непонятно, при чем здесь одноразовые пароли...

Давайте всё-таки не путать "несанкционироанную транзакцию" с "уведомлением о совершённой транзакции".

Для подаввляющего большинства клиентов вариант №3 вообще идеален -- да, перехват возможен, и что с того? Злодей может получить лишь дубликат (sic!) квитанции, "перехват" в смысле киносериала невозможен. Так что, клиент всегда в курсе происходящего, а любая транзакция (в разумный срок) может быть клиентом отозвана.

Гы-гы.. в некоем банке впердолили Рутокены, нужно вводить поочередно два пароля белиберды, так вот: в десятке мест бухи держат оба пароля в текстовом файлике на рабочем столе :-)   ибо заставить буха ввести правильно ахинею типа gHAgjE2syC&8r]Mf  практически нереально )))