PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Мошенники взломали двухуровневую систему аутентификации и украли $45000

Оказалось, что двухуровневые системы аутентификации, которые отправляют дополнительные проверочные коды на мобильные телефоны, не являются столь надежными, как было принято думать – этот урок австралийский предприниматель усвоил на собственном опыте.

Еще в июле он получил телефонный звонок от своего банка, который известил его, что $ 45000 были украдены мошенниками с его счета. Выбрав такую опцию, как использование двухуровневой аутентификации при доступе к его банковскому счету в Интернете, предлагаемую Commonwealth банком, он задался вопросом - как это могло произойти?

Он предположил, что его логин и пароль могли быть украдены с помощью вредоносного программного обеспечения, которое, вероятно, было установлено на ноутбук компании, которым он иногда пользовался для доступа к счету. Но как мошенников могли получить дополнительный проверочный код, который банк направляет непосредственно на его мобильный телефон?

Как выяснилось, они воспользовались услугой, обеспечивающей сохранность телефонного номера за абонентом, в случае его перехода к другому оператору. Такие опции предлагают телекоммуникационные компании по поручению правительства Австралии, чтобы компании не могли ограничивать клиентов в выборе.

По данным журнала SC Magazine, мошенники получили информацию о бизнесмене и его работе, просто позвонив в его офис и представившись сотрудниками австралийской налоговой службы. Номер его мобильного телефона преступники получили от его дочери, выдав себя за деловых партнеров ее отца, срочно нуждающихся в этой информации.

Вооруженные такими данными, они позвонили оператору мобильной связи, обслуживающему бизнесмена, и попросили перенести его номер телефона на другого оператора. Для того, чтобы у жертвы не возникло подозрений по поводу отсутствия звонков и сообщений, они послали ему смс, якобы отправленное его провайдером (Vodafone), с уведомлением, что, скорее всего, у него возникнут проблемы с приемом в течение ближайших 24 часов. Вскоре после этого, мошенники начали тратить деньги в магазине электроники. Как только они закончили свой шоппинг, они перенесли номер мобильного телефона обратно к провайдеру бизнесмена, что стало возможным, благодаря тому, что они, очевидно, знали ответы на секретные вопросы, задаваемые во время процесса смены провайдера.

Бизнесмен узнал о том, что случилось только тогда, когда банк известил его, что его счет заморожен. Крупные и необычные покупки заставили банк заподозрить мошенничество, а когда они не могли связаться с клиентом по телефону, чтобы спросить его об этом, они превентивно заблокировали счет, чтобы предотвратить дальнейшие кражи.

В конце концов, бизнесмен получил свои деньги обратно, а банк компенсировал потери. Банк утверждает, что им удалось выследить, где мошенники потратили деньги, и что они уведомили полицию о наличии там камер, которые могли быть использованы для идентификации личностей преступников. Полиция заявила, что один из мошенников покинул страну.

Но большей проблемой во всем этом является тот факт, что австралийские банки были проинформированы о возможности "переноса" номера мобильного телефона и о потенциально возможных атаках, связанных с этим, еще в 2009 году, но многие из них отказались от реализации системы проверки, подтверждающей, что номер телефона, на который они посылают дополнительный код не был в последнее время «перенесен» на другого провайдера.

Источник:http://www.net-security.org/secworld.php?id=12060

инцидент | утечка данных | банки
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры