論理的なセキュリティホールSberbank OnL @ yn

画像

多くの場合、外出中にSberbankの給与カードを持っているため、信頼性の低いさまざまな場所で異なるATMを使用する必要がありました。 したがって、スキマーにぶつかる可能性が高くなりました。 (Skimmerは、ダビングを行う目的で、プラスチックカードでデータを読み取るための違法なデバイスです)。



考え直すことなく、私はこの状況から次の方法を使用することにしました。 必要に応じて、お金を保管するためにSberbankにデポジットを行い、小額の形でカードの現金を引き出します。



したがって、カードが「ロック解除」されていても、デポジットから生じた残高のみがカードから削除されます。 カードと預金口座間の送金は無利子であるため、アイデアはさらに魅力的になりました。



しかし、そこにありました。



まず、Sberbank OnL @ yn自体を接続することにしました。

接続は非常に簡単で、カードをATMに挿入し、[インターネットサービス]オプションを選択して、[IDとパスワードの印刷]を選択します。

ATMはユーザー名とパスワードを出力して、Sberbank OnL @ ynを入力します。

さらに、すべての操作は、接続された電話からのSMSまたは別のチェックからのワンタイムパスワードを介して、2つの方法で確認されます。 電話がまだなかったので、ワンタイムパスワードを使用して別の小切手を印刷しました。

これらのチェックを手に入れて、彼は冷静にオンラインバンキングにログインしました。

それから私の最初の鐘が鳴った。 オンラインサービスについて何も聞いていない場合でも、それが残っていることがわかります。



さて、私はメインページを勉強していて、軽い混乱に陥っています。 私は、Sberbankカードだけでなく、特定のユニバーサルデポジットも持っていることが判明しました。 私はそれが何であるかを長い間思い出しました。 私は、これがずっと前に開かれ、放棄されていたときに、これが通帳のアカウントであることが判明したことを思い出しました。 2番目のベルが鳴りました。 あなたの名前で開いたすべての預金は、オンラインでデフォルトで利用可能です。



預金からカード口座への送金を試みましたが、現時点では送金されています。 さらに、小切手またはSMSによる確認なし!

それから、私はインターフェースについて急ぎ始めました。 明らかに、私の考えを実装するには、このような保護の実装では十分ではありません。

詐欺師は、Xerifiedマイカードを持ち、ATMを介してユーザー名とパスワードを直接印刷し、オンラインバンクに落ち着いて、カードアカウントの預金からすべてのお金を取得し、現金化します。 この状況は、私には不向きでした。



いくつか投げた後、私はいわゆる製品の可視性のセキュリティ設定セクションで見つけました。 その中で、ATMとSberbank OnL @ ynシステムの両方の画面から預金と口座を隠すことができます。 1つしかありませんでしたが、このセクションへのアクセスはSMSによってのみ実行されました。 チェックからのワンタイムパスワードはここではパスしませんでした。 もういい!



喜んで手をこすります。 SMSアラートの接続方法に関するマニュアルを読み始めました。 このためには、いわゆる「モバイルバンク」を接続する必要があり、同じATMを介してこれを行うことができます(何を推測しますか?)。



まあ、私はATMに行き、カードを挿入し、モバイルバンクを接続します-番号の入力を要求します(?)。 番号を入力すると、モバイルバンクが接続されているというSMSが届きました。 すべてが素晴らしい!



コードが記載されたSMSを受け取り、セキュリティセクションで製品の可視性を設定しました。 預金と口座を削除しました。 現在、ATMでもオンラインでも、あまりにも多くは見えません。 すべてがうまくいくようです! しかし、何かが幽霊。 ATMに戻り、モバイルバンクセクションに移動します。 そして、私は何を見ますか? モバイルバンク接続用の番号を追加するオプションはまだアクティブです!

少し困惑して、私はサポートに電話します。丁寧なオペレーターが私に、はい、もっと数字を入力することができると説明します。そうすると、データが並行して届きます! カーテン。



より明確にするために、Sberbankに構造的に実装された防御と、カードのコピーが攻撃者の手に落ちた場合にこの防御が役に立たない攻撃を作成します。



保護:カードに最小限の資金を保持し、現金の引き出しを許可する預金に多額の資金を保持します。

攻撃:攻撃者はすべての資金を預金からカードに移し、現金化します。



保護:オンラインバンクに入るための複雑なユーザーパスワード。セキュリティ設定で設定できます。

攻撃:攻撃者は、ユーザーのパスワードがブロックされている間に、新しいログインとパスワードでチェックを印刷します。



保護:ATMおよびオンラインバンキングでの大量の預金の可視性のユーザーによる隠蔽。 非表示はSMSコードによってのみ行われます。

攻撃:攻撃者はATMを介して自分の電話を登録し、SMSコードをすぐに受信して、出現した預金から預金の外観を開き、すべてのお金をカードにすばやく振り替えて現金化します。



これが主なものです。

もう1つの小さなことは、標準の不変のインターフェイステンプレートです。これにより、多数の偽サイトを平手打ちし、ユーザーを欺くことができます。



そして、これらすべてのトラブルを回避することがどのように良いかについて少し説明します。



1.モバイルバンクとオンラインバンキングにバインドし、確認済みの携帯電話のみ。 電話所有者の身元証明。 たとえば、コールセンターに電話するか、コードワードを使用するか、パスポートでSberbankの支店に直接向かいます。 カードの受け取りまたは口座開設の契約に含まれる電話番号のみが自動的に関連付けられます。

2.より柔軟な認証セキュリティ設定-ATMによって発行されたパスワードの使用を無効にできます。

3.個人のIPアドレスからのみオンラインバンクへのアクセスを許可するために、セキュリティ設定でIPアドレスを設定できるようにします。

4.偽のフィッシングサイトと闘うために、オンラインバンキングのメインページにあなたのユニークな写真をアップロードする機会を与えてください。 自分の写真が表示されない場合、これは左側のサイトです! これは、たとえばYahooで行われます。



All Articles