20:51
27/9/2011

Okazuje się, że są w Europie banki, które potwierdzają złożenie dyspozycji przelewu w dość nietypowy (a przede wszystkim niezbyt bezpieczny) sposób. Każą klientowi zadzwonić na dany numer i sprawdzają, czy zdzwoni on z własnego telefonu. Jak można to obejść?

Weryfikacja CallerID

Jak informuje Giorgio Fedon, po złożeniu dyspozycji przelewu, niektóre europejskie banki wyświetlają komunikat podobny do tego:

Komunikat banku

Komunikat banku fot. Giorgio Fedon

Z powyższego wynika, że atakujący, który przejmie kontrolę nad kontem bankowym ofiary, może autoryzować “zły” przelew nie posiadając dostępu do telefonu ofiary, a jedynie znając jego numer. Jak? Korzystając ze spoofingu CallerID, o którym pisaliśmy już na łamach Niebezpiecznika wielokrotnie.

Spoofing CallerID

W sieci dostępne są serwisy pozwalające za drobną opłatą na ustawienie dowolnego numeru telefonu “na wyjściu” połaczenia. Alternatywą jest skonfigurowanie własnej bramki VoIP (np. Asteriska) i skorzystanie z operatora, który nie blokuje spoofingu numerów.

Weryfikacja po CallerID z pewnością jest dla banków tańszym rozwiązaniem (nie wysyłają SMS-ów, nie odbierają rozmów — po prostu sprawdzają kto dzwoni i zrywają połączenie). Nie można jednak powiedzieć, że bezpiecznym. O słabości CallerID jako zabezpieczenia przekonali się m.in. operatorzy telefonii komórkowej, którzy wykorzystywali ten mechanizm do uwierzytelniania przy dostępie do poczty głosowej.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

10 komentarzy

Dodaj komentarz
  1. Na zdjęciu to numer zamazany (prawie) profesjonalnie :>

  2. we Wrocławiu firma Nextbike oferująca wypożyczanie rowerów działa analogicznie… można albo wynająć rower w terminalu (karta miejska, nr telefonu + pin z systemu, legitka studencka, karta płatnicza paypass/paywave) to gdy terminal nie działa można zadzwonić pod numer telefonu i oddać/wypożyczyć rower przez telefon… wdzwaniając się do automatu nie jest się pytanym o PIN… rozumiem, że numer telefonu to ułatwia logowanie, ale nie powinno być też jedyną rzeczą.

    Wyłudzić pieniędzy nie można… ale komuś zrobić kilkaset zł kosztów jak najbardziej.

    • Skoro można wypożyczyć, to znaczy że można po prostu ukraść rower “w czyimś imieniu”. Btw. te rowery są w jakiś sposób znakowane?

    • Rower ma swoją przymocowaną kłódkę (chociaż starsze modele pozwalały na zmianę kłódki). Ponadto rowerek ma numer i jest oklejony opisem, że to miejski rower (reklama). Prawdopodobnie z tego co widać na stojakach to też mają wbudowane RFID.

      Jakiś miesiąc czy dwa temu na weekend zamkneli wypożyczalnię.. i łapali każdego kto jeździł rowerem miejskim ;-)

  3. W sumie ta metoda jest tak samo mało bezpieczna, jak weryfikowanie klienta takimi pytaniami, jak data urodzenia i nazwisko rodowe matki ;)

  4. Niekoniecznie musi być niebezpieczne. Bank lub integrator usług banku wykupuje numer u wszystkich operatorów komórkowych (działający indywidualnie tylko w tej sieci; taki sam w każdej z osobna) i ma połączenia z wszystkimi operatorami. Rozmowy spoofowane pochodzące z innych sieci do niego nigdy nie trafią. W przypadku klientów zagranicznych pozostaje tradycyjna autoryzacja smsem.

    • Zgadzam się w 100% – cięcie ruchu na poziomie “routingu” :) Tak, jak ma to miejsce w przypadku numerow skroconych do wysylania SMSow – vide projekt “Środy z Orange”

  5. Zabezpieczenia transakcji w bankach to jakaś porażka, np. karty do płatności przez internet (ot taka domyślna karta mbank’u) na której jest wszystko co potrzebne do autoryzacji transakcji w sieci – kradzież to dwie fotki z komórki lub kamerka przy kasie…

    • Dlatego CVV2 powinno być domyślnie zaklejone.

    • Poza tym nawet jeśli ktoś by wszystko skopiował, to domyślnie limit dla transakcji internetowych jest ustawiony na 0.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: