В начале марта в даркнете появилось предложение о продаже доступа к коммутатору одного из операторов мобильной связи, который позволяет получить контроль над системой сигнализации SS7. С его помощью можно перехватить звонки и СМС всех провайдеров связи, с которыми у уязвимого оператора есть договор о роуминге. В их число входят и российские. Об этом «Известиям» рассказали в компании DeviceLock, которая занимается борьбой с утечками данных.
По информации компании, в начале апреля доступ к коммутатору с большой вероятностью попал к покупателю из стран СНГ. Эксперты ожидают, что атака планируется именно против жителей России.
«Атаки на систему сигнализации SS7 используются в первую очередь для перехвата авторизационных СМС-сообщений кредитных организаций, почтовых сервисов, а также различных электронных кошельков. С их помощью злоумышленники затем могут войти в личный кабинет банка и воспользоваться деньгами потенциальной жертвы, — пояснила гендиректор компании «Смарт Лайн Инк», производителя систем DeviceLock Олеся Ярмоленко.
Для защиты от такого рода атак специалисты рекомендуют переключить авторизацию с СМС- на push-уведомления, а также ограничить лимиты на денежные переводы.
Комментарии
В исследовании международной консалтинговой компании BCG сообщается, что в 2010-2018 годах в России наблюдался феноменальный, а именно 30-кратный рост числа безналичных карточных транзакций
натовские организации в курсе всех транзакций россиян, какая прелесть
А что удивительного, если 99% транзакций - это VISA и MasterCard?
Причём Сбербанк (про других не скажу) активно саботирует Мир в пользу американских карт.
нам нужны пруфы!
Мирпэй сбер так и не поддерживает, хотя - обязан.
У них есть свой Сберпэй.
Существование Сберовской платёжной системы, как-то оправдывает нежелание Грефа поддерживать Национальную платёжную систему?
А как он может поддерживать? В Мирпэй нельзя добавить сберовскую карту? Можно. Что ещё от них надо?
В Мирпэй нельзя добавить Сберовскую карту мир (только что ещё раз проверил). Ещё глупые вопросы будут?
А что отвечает тех поддержка Сбера?
У меня нет карты Мир от Сбера, проверить не могу. Хотя да - в списке банков, участвующих в мирпей Сбера нет.
https://mironline.ru/mirpay/
Упс... У меня вот прямо сейчас в отделении Сбера лежит карта МИР. В чём саботаж?
Австрийцам виднее про наш Мир )))
Так лучше?
Я например открывал в сбере счет, мне предложили моментальную карту Виза.
В втб при заказе мира пришлось ждать 2 недели, остальные обычно делают дня за 3.
Для начала вспомним, что Сбер больше полугода (цифру уже не помню) оттягивал её введение и был последним из больших, которые её ввели, по сути только после команды пересадить на Мир бюджетников и пенсионеров.
А сегодня (точнее, вчера, я как раз недавно до Москвы добрался) ситуация такая: бесплатно можно получить дебетовую Маэстро, при наличии денег впаривается бесплатная кредитная Виза, а вот Мир либо платно, либо пенсионка (платит ПФ), дибо зарплатная (платит работодатель). Как мне объяснила тётя- зав. филиалом, если вы увольняетесь, то карта Мир начнёт драть годовое обслуживание, даже перевыпущена не будет. Суммы, конечно, небольшие, но если это не мелкий саботаж в пользу виз и маэстров, то я канцлер Австрии.
Вообще, яростная дрочка Сбера на заграницу достойна премии Дарвина. Перед 2014 они понакупали кучу мелких контор в Европе. В Австрии это был турецкий Дениз-банк. Вместо того, чтобы быстро избавиться от всех них под шумок, тянули до прямых санкций и отъёмов, чтобы просто тупо потерять как на Украине, либо отдать за бесценок, как этот Дениз. Цирковые выступления блокчейн-клоуна Грефа, надеюсь, все помнят?
Врешь, Остап. Куча бесплатных карт МИР у Почта-банка.
Логично! Не в Спортлото, а в Преферанс. Он про Сбер, а тут про Почта банк. Это одни яйца с разнобоку?
Он про карты МИР, и я про карты МИР. А ты тупи дальше.
Какая связь между Сбером и Почта-банком?
Любая карта после выхода из зарплатного проекта превращается в платную. Например мой MC Mass. Поэтому я сейчас оформил бесплатный МИР в Сбербанке, в воскресенье пойду получать.
Не бесплатный, а социальный. Я тоже отказался от классического Мир Сбера, и перешёл на социальный. Да, мне он бесплатен, но не потому, что Сбер так решил, а потому, что государство обязало принимать социальные выплаты только в платёжную систему Мир. А вот заставить Сбер сотрудничать с Мирпэй - пока не получается. 67 банков работают с Мирпэй, даже пресловутые Альфа и Открытие с Тиньковым, а Сбер - не хочет.
Пруфы будут?
И, главное, талантливые разработчики *профанации* «двухфакторной авторизации» как всегда ни у чём неуиноуаты…
ЗЫ: «Специалисты», дисциплинированно не упоминающие *полноценные* реализации, тоже хороши…
О чем говорить про "специалистов" если на Госуслугах вход с гугловской каптчей
Упс... А почему у меня без капчи? У меня неправильные Госуслуги?
Потому что не с впн на сайт заходите.
И у меня вход без капчи. Думаю, что Госуслуги правильные, а некто Анонимов просто решил потрындеть.
Ничего такого ужастного в гугловской капче нет, а то Земля столкнется с небесной осью
Забавно, что обратились к журналистам, а не в следственные органы.
А так же не предупредили того оператора, чей коммутатор якобы взломан. Более того держат в тайне, хотя казалось бы.
Если не могут обеспечить безопасность, есть ли смысл перехода в цифру?
Это очень правильный вопрос. Но уверен, что он останется без ответа. Так как на цифру сейчас власти смотрят как на какую-то волшебную таблетку от всего.
Можно подумать в Мечте о Серебряной Пуле есть что-то необычное.
Печально только доверие профессиональным подрядчикам. С небрежением аудитом (хотя о его перспективах прямо предупреждал господин Фокс).
Поправьте меня, если я ошибаюсь. Каким образом зная одноразовый СМС-пароль и не зная основного логина/пароля можно получить доступ к личному кабинтеу банка?
Даже если кто-то оставил только СМС доступ (не уверен, что такое возможно, у меня в банках такого нет, но вдруг) - СМС пароль всегда одноразовый. Т.е. надо перехватить и использовать его в условиях ограниченного времени.
Нажать кнопку "забыл пароль", получить смс, войти с новым паролем, поживиться. Нет?
Ну или зная номер карты купить например ноутбук. Пароль не нужен. А код с обратной стороны карты далеко не везде требуется.
А причем тут код СМС? Кроме него еще пароль нужен, как минимум. Срок действия кода пару минут. За это время злоумышленник должен взломать пароль зайти в систему. Кроме этого на операции перевода потребуется перехватить еще СМС коды, перехватить так же за пару минут. Фигня какая то.
Сессию браузера сопрут у Вас, тогда узнаете.
В статье говориться о перехвате СМС. Если у вас сопрут комп. Думаю будет еще хуже. А если применят ректальный крипто анализ, то вообще все пароли которые когда либо вы знали, будут вскрыты.
Так в комплексе идет это действо. Имея доступ к СМС и открытой сессии браузера, бабло уйдет куда надо. Потому в статье о лимитах и говорят- ставьте на ноль. Тогда доступ будет бесполезен.
Включив комп Вы доступ без логинов/паролей не получите никуда. Правда если вы логины/пароли в браузере храните и не паролите вход в операционку, то....
И вот за это (инвариантное навязывание парольного механизма авторизации) у ростовщиков надо отзывать лицензии.
С правом подачи заявки на повторный КЛД после устранения данного недостатка, годика через три.
ЗЫ: Если что: на моих *защищённых* web-ресурсах парольный механизм авторизации не используется.
спеца по перехвату сессии браузера видно издалека
Ссылку Вам чтоль прислать?
Мне раз пришла на почту, якобы из налоговой, с подмененным емайлом, изжога до сих пор. Правда теперь читаю служебные заголовки входящих писем от всяких банков и госучреждений.
Если хотите поищу, возможно еще не стер.
МТС: Забыл пин, получить новый на СМС. Таких сайтов много, хотя банки обычно более наворочены, ибо такие кражи уже были. Е-мейловский адрес так можно украсть. Да, вы утром проснётесь, увидите где-нибудь предупреждение, что к вам зашли и сменили пароль, но за ночь столко можно наворотить...
Вот на Яббле у жены некоторые операции требуют подтверждения "на другом вашем дивайсе". Раздражает и явно затягивает в болото экосистемы, но блокирует именно такие кражи.
Я лично заметил отход от смсок в европах уже лет пять назад. Видимо, были прецеденты, просто наружу не выпустили, СМИ же не свободные.
Такое впечатление, будто банки хотят сэкономить на СМС.
Это не впечатление, это так и есть. Стоимость сервисных смс для крупнейших банков до 5 млрд. руб. в год. Поэтому всеми правдами и неправдами пытаются перевести народ на пуши.
У меня были включены Push - ки, но пару недель назад все сообщения стали приходить на SMS сами по себе. Я еще удивился, что за фигня, но т.к. мне без разницы не стал ничего менять.
Разбирали на хабре емнип в 2020. Атака возможна,но очень сложная и дорогая:нужны очень профессиональные и люди и нужно участие провайдера(!)-без этого никак. Вывод-это уровень спецслужб. Кмк,это предупреждение тем,кто в тени,что спецы начали перехват аутентификационных смс.
Какой то вы бред пишите. Нет там ничего сложного. На конференции по безопасности подобную атаку демонстировали в 14 году и оборудование обошлось в 300 баксов. Единственный момент, что тогда нужно было физическое присутствие рядом с объектом, а сейчас вас может ограбить любой продвинутый африканский школьник. Использование телефонного номера в цепочке безопасности это зло. Оптимальный вариант двойной закрытый ключ без привязки к каким либо сервисам.
Нет,это у Вас что то не порядке с головой. Оборудование в 300$? Хорошо.А гонорар специалисту?А потеря провайдером бизнеса,если все это выплывет?И наконец то,что публично не известно ни об одной успешной реальной подобной атаке. А с 14 года,если бы все было легко,они шли бы одна за другой
Бла-бла-бла. Такой атакой уже столько крипты увели, не говоря уже об обычном фиате, что вам и не снилось. Массово не используют потому, что есть способы проще и безопаснее. А такое только под особых клиентов. Храните деньги в сберегательной кассе.
Любые централизованные системы уязвимы и в итоге взламываются. Так или иначе. И ничего с этим сделать нельзя. Единственный вариант не держать деньги в централизованных системах.
Страницы