- Общий
-
Идеи
SECURITY: Возможный взлом Точки из-за отсутствия привязок устройств
Существует потенциальная возможность взлома Точки за счет специально сконструированных вирусов. Вирус может запомнить нажатия на клавиатуре по логину и паролю. SMS-сообщения могут быть перехвачены вирусом/трояном для Android/iOS запрашивающий по тем или иным предлогом доступ к SMS (причем такой троян может предлагаться вирусом работающем на PC в сценарии фишинга типа "установите также нас на мобильник!"). В Facebook и Google было множество взломов такого плана. Мобильный клиент Сбербанка был взломан таким же примерно сценарием. Поэтому Google и Facebook уже ввели простую защиту как "Авторизованные устройства". Смысл очень прост. Когда ставится новое приложение на iOS/Android через уже доверенное устройство запрашивается код и новое устройство запоминается и помечается как доверенное. Для браузера также запоминается новая машина с подключением и сбрасывается "кука" с подтверждением устройства. Такой механизм не является абсолютной защитой, но не позволяет даже зная только похищенные логин/пароль войти в банк-клиент с нового устройства.
Сервис поддержки клиентов работает на платформе UserEcho
Владимир, добрый день! :)
Вопрос о безопасности, несомненно, является одним из самых критичных при использовании интернет-банка. Однако вариант входа через "авторизованное устройство" тоже уязвим, по факту - это та же двухфакторная авторизация, что используется у нас сейчас (логин/пароль + проверка устройства и логин/пароль + смс-уведомление). По-простому, если вдруг ваш телефон или компьютер вдруг попадут в руки злоумышленников, то это плохо в любом случае. Есть ведь вариант со входом в интернет-банк с помощью OTP-токена, если смс-сообщения кажутся вам небезопасными.
В любом случае, мы возьмём ваше предложение в работу и обсудим варианты с коллегами.
Не совсем тоже самое. Снять нажатия логина/пароля не очень сложная задача для вируса. Считывать SMS также довольно просто. Но вот технически войти внутрь ваших приложений, что Web, что мобильных довольно сложно. Нужно разбираться как устроено API, как реагирует интерфейс и т.д. Поэтому самый простой вариант взлома это просто на НОВОМ устройстве открыть браузер и ввести там логин/пароль, а потом получать копии SMS. Токен тоже относительное устройство. Самый популярный eToken для Газпромбанка взламывался. Не сам он конечно, но встроится в прослушивание ответов и эмулировать запросы к нему вирусу не очень сложно. Еще проще чем читать SMS, что требует заражения смартфона дополнительно. В этом плане SMS даже более защищен, т.е. требует заражения 2х устройств сразу.
К слову разработчики "Основного" банк-клиента "Открытия" эту проблему с легким перехватом клавиатуры понимают. Они добавили на сайт виртуальную клавиатуру для нажатий мышкой. Правда набирать там 10-значный код замучаешься. Жаль, что PIN-код не придумали.
OTP-токен, это тоже отдельное устройство, не привязанное к компьютеру и сетям. Выглядит примерно вот так.
Речь о том, что при желании можно взломать любую систему, и даже при текущей схеме авторизации находятся клиенты, которые считают её избыточной и просят оставить только пароль или только смс-код. Мы обсудим ваше предложение с разработчиками, спасибо.
Это занятная штука. А как она работает? Просто генерирует без конца коды подлинность которых вы можете проверить?
Да, в него зашит некоторый алгоритм, который генерирует одноразовые коды, которые можно использовать вместо смс (сейчас эта функция доступна в ранней версии интернет-банка). Здесь кое-что можно почитать о способе генерации таких паролей: https://ru.wikipedia.org/wiki/%D0%9E%D0%B4%D0%BD%D0%BE%D1%80%D0%B0%D0%B7%D0%BE%D0%B2%D1%8B%D0%B9_%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8C.