?

Log in

No account? Create an account

Previous Entry | Next Entry

6 май, 2013

Если вы пользуетесь интернет-банкингом, электронными кошельками и проводите платежи через интернет, наверное, вы обеспокоились вопросом безопасности. ОС на компьютере - официальная, со всеми обновлениями, антивирус - платный, и даже потратили время на тщательную настройку брандмаузера. На подозрительные сайты не ходите. Лишних программ на комп не ставите. Или даже прибегли к радикальному методу: для ИБ - отдельный ноут с установленным Linux-ом. И на смартфон никаких приложений банка не ставите - а как же, столько зловредов под Андроид уже гуляет...
Отчайтесь! Если уязвимостей не было вчера, завтра Ваш оператор сотовой связи в порыве истовой заботы о вашем удобстве создаст уязвимость, которая отправит вашу эшелонированную оборону коту под хвост.
МегаФон: история одного взлома
Вкратце:
Запуск сервиса MegaLabs UMS, регистрация в котором происходит автоматически после ввода номера телефона и пароля к Сервис-Гиду, без защиты от автоматического подбора пароля, сделало возможным кражу пароля от Сервис-гида, позволяющего управлять услугами номера абонента. Как минимум это привело к несанкционированной массовой активации платных услуг.
Более серьезные последствия произошли с теми, кто привязал к номеру телефона вход в интернет-банкинг.

Жертва №1
Жертва №2

UPD:
Выводы:
1. Как минимум нужно поменять пароль в Сервис-гид на более сложный. У тех, кто Сервис-гид не подключал - так и не пользоваться им.

2. Не светить номер договора с ОПСОСом, свои паспортные данные и прочее, чтобы злоумышленники не могли перевыпустить симку или сделать переадресацию на другой номер через звонок в call-центр оператора (там как раз через запрос этих данных происходит идентификация абонента)

3. Нужно прийти к пониманию, что привязка любого он-лайн сервиса, интернет-банкинга, аккаунта к номеру сотового телефона не делает это сервис безопасным, а, наоборот, делает уязвимым.

4. Нельзя держать крупные суммы на счете телефона и нужно постоянно контролировать расход по счету. Мониторить сайт оператора и следить за его нововведениями.

5. Безопасность он-лайн платежей в интернет-банкинге не доверять оператору сотовой связи. Карты с интегрированным генератором одноразовых кодов хоть и дороже, но безопаснее в разы.

6. Лучше не объединять аккаунты в сети и различные сервисы, привязки карт и прочее. Может это и удобно для пользователя, но так же удобно и взломщикам. Учитывая то, что происходят непрерывные обновления и изменения услуг сервисов разных порталов и организаций без координации и отслеживания взаимного влияния, появление все новых уязвимостей - неизбежно.

В отрыве от темы поста еще один пункт из личного опыта:
7. Не верить сообщениям оператора и не пользоваться USSD-запросами, назначение которых не ясно абоненту. То есть если написано "Вам подключена услуга такая-то. Она будет бесплатна до такого-то числа. С такого-то числа стоимость услуги столько-то. Чтобы отключить услугу, наберите ХХХХХ." Вот это ХХХХХ в реальности может оказаться USSD- запросом преднамеренно неверным, на самом деле подключающим эту услугу, либо другую услугу, еще дороже. Причем именно оператор рассылает эти смс, не злоумышленники.

Comments

( 7 комментариев — Оставить комментарий )
piter_pen7
6 май, 2013 14:55 (UTC)
только не поняла в итоге - что делать то теперь ? С Мегафоном этим...
bullfinch
7 май, 2013 01:17 (UTC)
В том-то и дело, что ничего с этим не поделаешь. Можно в порыве гнева уйти на другого оператора, но ведь другой может оказаться еще хуже, только в чем-то другом.

1. Как минимум нужно поменять пароль в Сервис-гид на более сложный. У тех, кто Сервис-гид не подключал - так и не пользоваться им. Не светить номер договора с ОПСОСом, свои паспортные данные и прочее, чтобы злоумышленники не могли перевыпустить симку ли сделать переадресацию на другой номер.
2. Нужно прийти к пониманию что привязка любого он-лайн сервиса, интернет-банкинга, аккаунта к номеру сотового телефона не делает это сервис безопасным, а, наоборот, делает уязвимым.
3. Нельзя держать крупные суммы на счете телефона и нужно постоянно контролировать расход по счету. Мониторить сайт оператора и следить за его нововведениями.
4. Безопасность он-лайн платежей в интернет-банкинге не доверять оператору сотовой связи. Карты с интегрированным генератором одноразовых кодов хоть и дороже, но безопаснее в разы.
В отрыве от темы поста еще один пункт из личного опыта:
5. Не верить сообщениям оператора и не пользоваться USSD-запросами, назначение которых не ясно абоненту. То есть если написано "Вам подключена услуга такая-то. Она будет бесплатна до такого-то числа. С такого-то числа стоимость услуги столько-то. Чтобы отключить услугу, наберите ХХХХХ." Вот это ХХХХХ в реальности может оказаться USSD- запросом преднамеренно неверным, на самом деле подключающим эту услугу, либо другую услугу, еще дороже. Причем именно оператор рассылает эти смс, не злоумышленники.
piter_pen7
7 май, 2013 02:54 (UTC)
>Не светить номер договора с ОПСОСом

Что такое ОПСОС?..
bullfinch
7 май, 2013 02:58 (UTC)
Оператор сотовой связи.
bullfinch
7 май, 2013 03:34 (UTC)
Да... и еще. Лучше не объединять аккаунты в сети и сервисы, привязки карт и прочее. Может это и удобно для пользователя, но так же удобно и взломщикам. Учитывая то, что происходят непрерывные обновления и изменения услуг сервисов разных порталов и организаций без координации и отслеживания взаимного влияния, появление все новых уязвимостей - неизбежно.
nastiking
6 май, 2013 23:56 (UTC)
Ого, спасибо за инфу. Что-то мегафон как-то совсем бездумно сервисы проектирует :(
bullfinch
7 май, 2013 01:35 (UTC)
Эту информацию можно даже распространить. Люди должны знать, откуда их поджидает белый пушистый зверек.
( 7 комментариев — Оставить комментарий )