Связка Мегафон + ТКС-банк содержала дыры в безопасности

На портале banki.ru с 05 мая начали появляться сообщения о краже всех денег со всех вкладов и карточного счета. Первое сообщение появилось 05.05 в 01:37.

04 мая в 18:00 клиенту позвонили из банка чтобы уточнить, не он ли совершил два перевода на некие ФИО после закрытия всех его вкладов на сумму несколько сотен тысяч рублей. Клиент ничего этого не совершал и был в шоке. Придя домой, клиент обнаружил, что кроме этого, на его мобильном номере оператора Мегафон была включена переадресация всех SMS-сообщений, о которой он тоже ничего не знал. Банк заверил клиента, что деньги никуда не ушли и ведется расследование, а клиент написал заявление в полицию о пропаже денег.

Об уязвимости в службах оператора Мегафон неоднократно писали в апреле 2013 года сайты habrahabr.ru, securitylab.ru , e1.ru и другие.В общей сложности сообщается о 6 ситуациях, а 5 из которых схема мошенничества использовала следующие уязвимости и слабые места:

В безопасности на стороне Мегафона:

1. Возможности получить доступ к UMS
2. Активировать там функцию сохранения входящих сообщений
3. Активировать там функцию переадресации SMS
4. Некорректно передавать IMSI получателя.

На стороне ТКС-банка:

1. Восстановление пароля по номеру договора (становится уязвимостью при 3/4 пунктах выше)
2. Указание номера договора в SMS при финансовых действиях по договору.

Т.е. злоумышленники сначала взламывали доступ к личному кабинету пользователя на сайте messages.megafon.ru, который использует пароль от «Сервис-Гида» и вход в который не был защищён от автоматического перебора паролей. Затем они включали переадресацию и сохранение SMS и искали в архиве сообщения, например о начислении ежемесячных процентов по вкладу, где указывается номер договора. После этого в интернет-банке ТКС можно было получить новый логин и пароль к интернет-банку, имея номер договора (сейчас уже нельзя) и принимаемые SMS от банка. А получив доступ к интернет-банку и принимая его SMS, легко провести любые действия со счетами клиента-жертвы. И только на последнем этапе срабатывала система безопасности банка, предотвращающая подозрительные операции.

Вход по номеру договора теперь будет отключен

Вход по номеру договора теперь будет отключен

Вывод денег был направлен на счета клиентов-дропперов в ТКС-банке, в их отношении ведется следствие и банк обещал, что будет всемерно содействовать тому, чтобы сделать их подозреваемыми по этому делу.

Рекомендации для абонентов Мегафона и ТКС-банка:

0. Отключить любые переадресации голосовых услуг и текстовых сообщений.
1. Поменять пароль для доступа в ИБ.
2. Отключить сервис UMS в Сервис-Гиде МегаФон в разделе «Услуги и тариф — Изменение набора услуг — Популярные услуги — UMS». К сожалению, описание сервиса по ссылке из Сервис-Гида уже удалено.
3. Восстановить свой смартфон на «чистую» прошивку, загрузив после этого только самое необходимое ПО.
4. Провести проверку используемого ПК несколькими, по возможности платными, средствами антивирусного контроля.
5. Установить в Сервис-Гиде уровень доступа «Только чтение» в разделе «Настройки Сервис-Гид».

Запись опубликована в рубрике Тинькофф Банк с метками . Добавьте в закладки постоянную ссылку.

Добавить комментарий