Некоторые сценарии, которые прислали на конкурс
Раз
Многие банки в РФ используют для системы клиент-банк софт компании ХХХ.
Я работаю в одном из таких банков, до того, как мы ввели принудительно использовать SMS аутентификацию и подтверждение платежей по SMS, у нас в месяц было по 2-3 попыток краж или реальных краж денежных средств клиентов. Под данную систему даже был вирус отдельный написан, т.к. эта система очень распространена…
Но с использованием хакерсимки и разгильдяйством (или сговором) сотрудников сотовых операторов можно провернуть следующую модель.
Вводные данные — предполагается, что злоумышленник уже получил доступ к эл. ключам жертвы и может создать вместо него платёжку на «левый» счёт.
Задача — обойти СМС подтверждение платежа.
Решение:
1. Покупается хакерсимка
2. Делается звонок с «номера банка» в фирму (название фирмы и ИНН видно в клиент-банке, а телефон в интернете ищется) под видом сотрудника банка, чей счёт ведёт сотрудник, на кого сделан электронный ключ и просьба переключить на этого сотрудника (в клиент-банке можно смотреть ФИО сотрудников и идентифкаторы их ключей).
3. Сотруднику под любыми предлогами предлагается «актуализировать» номер телефона, по которому он получает СМС. Т.е. задача просто узнать номер сотового, на который приходят СМС с подтверждением (в клиент-банке номер телефона нигде не «светится»).
4. Далее злоумышленник идёт на точки сотового оператора и пытается получить дубликат симки «в связи с утерей», а документ, удостоверяющий личность, оказывается «дома забыл». Сотруднику называется только ФИО и номер телефона. Если в одном салоне такое не прокатывает, то злоумышленник идёт во второй, третий и тд (по этому поводу много информации в интернете, особенно по билайну — могут выдавать симки даже не проверив документы).
5. После получения дубликата симки и её активации деньги уводятся со счёта с СМС подтверждением.
В крупных банках делаются проверки смены IMSI (слышал что в Альфабанке такое есть). В софте ХХХ идёт обычная отправка смс по SMPP протоколу. Смена IMSI не проверяется.
Как вариант ещё одной модели, можно под видом банка сделать «актуализацию» кодового слова атакуемого. В большинстве случаев клиент сделает новое кодовое слово такое же, как и старое
Два
Предмет угрозы: Аудитория сайта конкурента
Модель угрозы:
1. Покупка пару часовой DDOS-атаки на сайт конкурента. Как только сайт будет не доступен.
2. Позвонить в офис или компанию, поддерживающая сайт, с подменой номера на хостинг-провайдера.
3. Представиться техподдержкой, сообщить, что ваш сайт не доступен, и на сервер попал вирус.
4. Запросить логин и пароли к FTP для устранения проблемы.
5. Попасть на FTP-сервер. И установить код Google Tag Manger для сбора аудитории.
6. Снять DDOS-атаку
7. Позвонить жертве опять под видом хостинг-провайдера сказать, что все проблемы устранены.
8. Выслушать благодарность.
8. Делать с аудиторией всё, что угодно.
Показывать им свою таргетированную рекламу, конвертировать её в покупки или же просто продать другим конкурентам.
Три
1) Во всех серьезных конторах, с хорошим оборотом после перевода средств звонят из банка и спрашивают подтверждение.
Итак, исходно у нас есть крупная фирма с госзаказами или «прачечная» с хорошим оборотом.
Можно собрать из исходников Carberp ( xakep.ru/2013/06/25/60839) и подкинули им одним из известных способов.
Далее, можно купить глушилку gsm или спаяли по описанию ( glushilka.narod.ru )
Приехать к их офису и дождаться момента, когда их сотрудник отправляет серьезную сумму, и подменили номер счета на свой.
Как только отправка произошла, включить глушилку.
Банк не может им дозвониться, и мы из другого места перезваниваем с номера гендиректора фирмы, который заранее внесли в hackSIM, и подтверждаем отправку на свой счет.
Приглашаю обсудить состоятельность данных сценариев и возможные методы защиты.
Присылайте свой вариант до 16 октября.
Разбор полетов будет здесь.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (7)
XanderBass
14.10.2015 18:45+1Первый сценарий запарывается на третьем этапе, если сотрудник или не делает ничего без согласия начальника, или достаточно умён, чтобы просечь подвох.
Второй сценарий опять-таки же запарывается на третьем этапе, ибо вменяемые хостинги всегда предупреждают своих абонентов, что даже сотрудники технической поддержки не вправе требовать от пользователей пароль.
Третий сценарий может быть запорот, если банк подтверждает отправку средств только при исходящем (из банка) звонке.wiki
14.10.2015 21:36Второй сценарий опять-таки же запарывается на третьем этапе, ибо вменяемые хостинги всегда предупреждают своих абонентов, что даже сотрудники технической поддержки не вправе требовать от пользователей пароль.
можно не просить логин и пароль. а заранее подготовить инструкцию, по которой жертва сама сделает нужные операции.seokirill
15.10.2015 15:56+1инструкцию для вебмастеров, которые обслуживают сайт? То есть они настолько некомпетентны, что не поймут, что им «втирают какую-то дич»?
Destros
15.10.2015 11:53+1По вашему в крупных компаниях сидят дурачки? Все эти варианты не рабочие на практике.
vitalybaev
15.10.2015 12:23Да, в Альфа-Банке есть проверка на смену сим карты, причём идти надо обязательно в банк.
Сначала мне показалось это слишком уж строгим, а в свете последних событий наоборот, доволен.
lair
Я вот номер своего банка никогда не знал. Поэтому любые попытки узнать от меня конфиденциальную информацию таким образом натыкаются либо на встречную аутентификацию (т.е., требование назвать что-то, что известно только банку), либо на «представьтесь и дайте ваш добавочный, я перезвоню», и дальше я уже перезванию через номер на сайте банка.