27/9/2011
Okazuje się, że są w Europie banki, które potwierdzają złożenie dyspozycji przelewu w dość nietypowy (a przede wszystkim niezbyt bezpieczny) sposób. Każą klientowi zadzwonić na dany numer i sprawdzają, czy zdzwoni on z własnego telefonu. Jak można to obejść?
Weryfikacja CallerID
Jak informuje Giorgio Fedon, po złożeniu dyspozycji przelewu, niektóre europejskie banki wyświetlają komunikat podobny do tego:
Z powyższego wynika, że atakujący, który przejmie kontrolę nad kontem bankowym ofiary, może autoryzować “zły” przelew nie posiadając dostępu do telefonu ofiary, a jedynie znając jego numer. Jak? Korzystając ze spoofingu CallerID, o którym pisaliśmy już na łamach Niebezpiecznika wielokrotnie.
Spoofing CallerID
W sieci dostępne są serwisy pozwalające za drobną opłatą na ustawienie dowolnego numeru telefonu “na wyjściu” połaczenia. Alternatywą jest skonfigurowanie własnej bramki VoIP (np. Asteriska) i skorzystanie z operatora, który nie blokuje spoofingu numerów.
Weryfikacja po CallerID z pewnością jest dla banków tańszym rozwiązaniem (nie wysyłają SMS-ów, nie odbierają rozmów — po prostu sprawdzają kto dzwoni i zrywają połączenie). Nie można jednak powiedzieć, że bezpiecznym. O słabości CallerID jako zabezpieczenia przekonali się m.in. operatorzy telefonii komórkowej, którzy wykorzystywali ten mechanizm do uwierzytelniania przy dostępie do poczty głosowej.
Na zdjęciu to numer zamazany (prawie) profesjonalnie :>
we Wrocławiu firma Nextbike oferująca wypożyczanie rowerów działa analogicznie… można albo wynająć rower w terminalu (karta miejska, nr telefonu + pin z systemu, legitka studencka, karta płatnicza paypass/paywave) to gdy terminal nie działa można zadzwonić pod numer telefonu i oddać/wypożyczyć rower przez telefon… wdzwaniając się do automatu nie jest się pytanym o PIN… rozumiem, że numer telefonu to ułatwia logowanie, ale nie powinno być też jedyną rzeczą.
Wyłudzić pieniędzy nie można… ale komuś zrobić kilkaset zł kosztów jak najbardziej.
Skoro można wypożyczyć, to znaczy że można po prostu ukraść rower “w czyimś imieniu”. Btw. te rowery są w jakiś sposób znakowane?
Rower ma swoją przymocowaną kłódkę (chociaż starsze modele pozwalały na zmianę kłódki). Ponadto rowerek ma numer i jest oklejony opisem, że to miejski rower (reklama). Prawdopodobnie z tego co widać na stojakach to też mają wbudowane RFID.
Jakiś miesiąc czy dwa temu na weekend zamkneli wypożyczalnię.. i łapali każdego kto jeździł rowerem miejskim ;-)
W sumie ta metoda jest tak samo mało bezpieczna, jak weryfikowanie klienta takimi pytaniami, jak data urodzenia i nazwisko rodowe matki ;)
Niekoniecznie musi być niebezpieczne. Bank lub integrator usług banku wykupuje numer u wszystkich operatorów komórkowych (działający indywidualnie tylko w tej sieci; taki sam w każdej z osobna) i ma połączenia z wszystkimi operatorami. Rozmowy spoofowane pochodzące z innych sieci do niego nigdy nie trafią. W przypadku klientów zagranicznych pozostaje tradycyjna autoryzacja smsem.
Zgadzam się w 100% – cięcie ruchu na poziomie “routingu” :) Tak, jak ma to miejsce w przypadku numerow skroconych do wysylania SMSow – vide projekt “Środy z Orange”
Zabezpieczenia transakcji w bankach to jakaś porażka, np. karty do płatności przez internet (ot taka domyślna karta mbank’u) na której jest wszystko co potrzebne do autoryzacji transakcji w sieci – kradzież to dwie fotki z komórki lub kamerka przy kasie…
Dlatego CVV2 powinno być domyślnie zaklejone.
Poza tym nawet jeśli ktoś by wszystko skopiował, to domyślnie limit dla transakcji internetowych jest ustawiony na 0.