PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Trusteer о банковском фроде с помощью SIM-карт

Во многих банках для подтверждения онлайн-транзакций используются одноразовые пароли (OTP). После того как пользователь авторизуется с помощью стандартного пароля, сайт посылает SMS с одноразовым паролем на номер телефона, привязанный к банковскому аккаунту. Без OTP транзакция не будет завершена. Иногда такая двухфакторная аутентификация, более безопасная, чем защита обычным паролем, применяется для перевода крупных сумм. А это значит, что уметь обходить систему OTP крайне важно для фродстеров.

На этой неделе компания Trusteer опубликовала две новых схемы фрода, с помощью которых плохие парни обходят систему OTP. В обоих случаях необходим физический доступ к SIM-карте – однако это только кажется сложным.

Берегите IMEI

У каждого мобильного телефона есть уникальный номер, IMEI (International Mobile Equipment Identity). Он используется, чтобы блокировать украденные телефоны, а также чтобы запросить новую SIM-карту, если вы заявили в полицию о потере телефона. Стоит мошеннику выведать ваш IMEI и получить с его помощью новую SIM-карту, и все одноразовые пароли от банка будут приходить на эту SIM-карту.

Проблема, понятное дело, в том, чтобы узнать IMEI. В первой схеме, расследованной Trusteer, использовался троян Gozi, который вставлял поддельную страницу в процесс общения пользователя с системой онлайн-банкинга. Она просила ввести IMEI, якобы в целях «проверки безопасности», что выглядит, в общем-то, даже логично. Не знаете ваш IMEI? Наберите *#06#, и узнаете, а вот никому другому его лучше не давайте.

Магия личного общения

Во второй схеме от воров требовалась серьёзная подготовка, зато и вознаграждены они бывали щедро. Сначала вору требовалось выяснить личную информацию о пользователе с помощью фишинга или атак типа «человек-в-браузере». С этой информацией вор нагло шёл в полицию, притворялся своей жертвой и писал заявление, что у него украли телефон.

Далее вор звонил жертве, притворялся уже работником сотового оператора и предупреждал о якобы предстоящем отключении услуг на 12 часов. Затем шёл в офис сотового оператора, показывал там справку из полиции о поданном заявлении и на основании пропажи телефона получал новую SIM-карту.

Много труда

Чтобы их не раскрыли как можно дольше, мошенники также стирали из отчётов онлайн-банка информацию о нелегитимных транзакциях. Также Trusteer известно о воплощении сложной схемы, благодаря которой жертва авторизовалась через одноразовый пароль вообще не со своего телефона, а с другого, принадлежащего мошеннику.

Однако обе описанных схемы актуальны лишь после того, как скомпрометирована система онлайн-банкинга в браузере жертвы. Только тогда проблема обхода двухфакторной аутентификации встаёт перед мошенником. Поэтому защищайте свой браузер от взлома – Trusteer даже выпустила для этого специальный плагин под названием Rapport, хотя вообще-то для защиты от банковских троянов достаточно регулярно обновлять антивирус.

Источник: http://securitywatch.pcmag.com/hacking/295285-trusteer-sim-card-fraud-schemes-target-online-banking
инцидент | социальная инженерия
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 









Партнеры