20:51
27/9/2011

Okazuje się, że są w Europie banki, które potwierdzają złożenie dyspozycji przelewu w dość nietypowy (a przede wszystkim niezbyt bezpieczny) sposób. Każą klientowi zadzwonić na dany numer i sprawdzają, czy zdzwoni on z własnego telefonu. Jak można to obejść?

Weryfikacja CallerID

Jak informuje Giorgio Fedon, po złożeniu dyspozycji przelewu, niektóre europejskie banki wyświetlają komunikat podobny do tego:

Komunikat banku

Komunikat banku fot. Giorgio Fedon

Z powyższego wynika, że atakujący, który przejmie kontrolę nad kontem bankowym ofiary, może autoryzować “zły” przelew nie posiadając dostępu do telefonu ofiary, a jedynie znając jego numer. Jak? Korzystając ze spoofingu CallerID, o którym pisaliśmy już na łamach Niebezpiecznika wielokrotnie.

Spoofing CallerID

W sieci dostępne są serwisy pozwalające za drobną opłatą na ustawienie dowolnego numeru telefonu “na wyjściu” połaczenia. Alternatywą jest skonfigurowanie własnej bramki VoIP (np. Asteriska) i skorzystanie z operatora, który nie blokuje spoofingu numerów.

Weryfikacja po CallerID z pewnością jest dla banków tańszym rozwiązaniem (nie wysyłają SMS-ów, nie odbierają rozmów — po prostu sprawdzają kto dzwoni i zrywają połączenie). Nie można jednak powiedzieć, że bezpiecznym. O słabości CallerID jako zabezpieczenia przekonali się m.in. operatorzy telefonii komórkowej, którzy wykorzystywali ten mechanizm do uwierzytelniania przy dostępie do poczty głosowej.

Przeczytaj także:



10 komentarzy

Dodaj komentarz
  1. Na zdjęciu to numer zamazany (prawie) profesjonalnie :>

  2. we Wrocławiu firma Nextbike oferująca wypożyczanie rowerów działa analogicznie… można albo wynająć rower w terminalu (karta miejska, nr telefonu + pin z systemu, legitka studencka, karta płatnicza paypass/paywave) to gdy terminal nie działa można zadzwonić pod numer telefonu i oddać/wypożyczyć rower przez telefon… wdzwaniając się do automatu nie jest się pytanym o PIN… rozumiem, że numer telefonu to ułatwia logowanie, ale nie powinno być też jedyną rzeczą.

    Wyłudzić pieniędzy nie można… ale komuś zrobić kilkaset zł kosztów jak najbardziej.

    • Skoro można wypożyczyć, to znaczy że można po prostu ukraść rower “w czyimś imieniu”. Btw. te rowery są w jakiś sposób znakowane?

    • Rower ma swoją przymocowaną kłódkę (chociaż starsze modele pozwalały na zmianę kłódki). Ponadto rowerek ma numer i jest oklejony opisem, że to miejski rower (reklama). Prawdopodobnie z tego co widać na stojakach to też mają wbudowane RFID.

      Jakiś miesiąc czy dwa temu na weekend zamkneli wypożyczalnię.. i łapali każdego kto jeździł rowerem miejskim ;-)

  3. W sumie ta metoda jest tak samo mało bezpieczna, jak weryfikowanie klienta takimi pytaniami, jak data urodzenia i nazwisko rodowe matki ;)

  4. Niekoniecznie musi być niebezpieczne. Bank lub integrator usług banku wykupuje numer u wszystkich operatorów komórkowych (działający indywidualnie tylko w tej sieci; taki sam w każdej z osobna) i ma połączenia z wszystkimi operatorami. Rozmowy spoofowane pochodzące z innych sieci do niego nigdy nie trafią. W przypadku klientów zagranicznych pozostaje tradycyjna autoryzacja smsem.

    • Zgadzam się w 100% – cięcie ruchu na poziomie “routingu” :) Tak, jak ma to miejsce w przypadku numerow skroconych do wysylania SMSow – vide projekt “Środy z Orange”

  5. Zabezpieczenia transakcji w bankach to jakaś porażka, np. karty do płatności przez internet (ot taka domyślna karta mbank’u) na której jest wszystko co potrzebne do autoryzacji transakcji w sieci – kradzież to dwie fotki z komórki lub kamerka przy kasie…

    • Dlatego CVV2 powinno być domyślnie zaklejone.

    • Poza tym nawet jeśli ktoś by wszystko skopiował, to domyślnie limit dla transakcji internetowych jest ustawiony na 0.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: