Некоторые сценарии, которые прислали на конкурс

Многие банки в РФ используют для системы клиент-банк софт компании ХХХ.

Я работаю в одном из таких банков, до того, как мы ввели принудительно использовать SMS аутентификацию и подтверждение платежей по SMS, у нас в месяц было по 2-3 попыток краж или реальных краж денежных средств клиентов. Под данную систему даже был вирус отдельный написан, т.к. эта система очень распространена…

Но с использованием хакерсимки и разгильдяйством (или сговором) сотрудников сотовых операторов можно провернуть следующую модель.

Вводные данные — предполагается, что злоумышленник уже получил доступ к эл. ключам жертвы и может создать вместо него платёжку на «левый» счёт.

Задача — обойти СМС подтверждение платежа.

Решение:

1. Покупается хакерсимка

2. Делается звонок с «номера банка» в фирму (название фирмы и ИНН видно в клиент-банке, а телефон в интернете ищется) под видом сотрудника банка, чей счёт ведёт сотрудник, на кого сделан электронный ключ и просьба переключить на этого сотрудника (в клиент-банке можно смотреть ФИО сотрудников и идентифкаторы их ключей).

3. Сотруднику под любыми предлогами предлагается «актуализировать» номер телефона, по которому он получает СМС. Т.е. задача просто узнать номер сотового, на который приходят СМС с подтверждением (в клиент-банке номер телефона нигде не «светится»).

4. Далее злоумышленник идёт на точки сотового оператора и пытается получить дубликат симки «в связи с утерей», а документ, удостоверяющий личность, оказывается «дома забыл». Сотруднику называется только ФИО и номер телефона. Если в одном салоне такое не прокатывает, то злоумышленник идёт во второй, третий и тд (по этому поводу много информации в интернете, особенно по билайну — могут выдавать симки даже не проверив документы).

5. После получения дубликата симки и её активации деньги уводятся со счёта с СМС подтверждением.

В крупных банках делаются проверки смены IMSI (слышал что в Альфабанке такое есть). В софте ХХХ идёт обычная отправка смс по SMPP протоколу. Смена IMSI не проверяется.

Как вариант ещё одной модели, можно под видом банка сделать «актуализацию» кодового слова атакуемого. В большинстве случаев клиент сделает новое кодовое слово такое же, как и старое

Предмет угрозы: Аудитория сайта конкурента

Модель угрозы:

1. Покупка пару часовой DDOS-атаки на сайт конкурента. Как только сайт будет не доступен.
2. Позвонить в офис или компанию, поддерживающая сайт, с подменой номера на хостинг-провайдера.
3. Представиться техподдержкой, сообщить, что ваш сайт не доступен, и на сервер попал вирус.
4. Запросить логин и пароли к FTP для устранения проблемы.
5. Попасть на FTP-сервер. И установить код Google Tag Manger для сбора аудитории.
6. Снять DDOS-атаку
7. Позвонить жертве опять под видом хостинг-провайдера сказать, что все проблемы устранены.
8. Выслушать благодарность.
8. Делать с аудиторией всё, что угодно.

Показывать им свою таргетированную рекламу, конвертировать её в покупки или же просто продать другим конкурентам.

1) Во всех серьезных конторах, с хорошим оборотом после перевода средств звонят из банка и спрашивают подтверждение.
Итак, исходно у нас есть крупная фирма с госзаказами или «прачечная» с хорошим оборотом.

Можно собрать из исходников Carberp ( xakep.ru/2013/06/25/60839) и подкинули им одним из известных способов.
Далее, можно купить глушилку gsm или спаяли по описанию ( glushilka.narod.ru )
Приехать к их офису и дождаться момента, когда их сотрудник отправляет серьезную сумму, и подменили номер счета на свой.

Как только отправка произошла, включить глушилку.
Банк не может им дозвониться, и мы из другого места перезваниваем с номера гендиректора фирмы, который заранее внесли в hackSIM, и подтверждаем отправку на свой счет.