Лирика

Финансовые операции с использованием электронных кошельков, платежных систем, мобильного банкинга и прочих электронных средств управления перемещением денег всегда привлекали и будут привлекать мошенников. Постоянное соревнование «брони и снаряда»: интеллектуальные воры тщательно изучают системы в поисках мельчайших уязвимостей, разработчики выстраивают многоуровневые «рубежи обороны». Проблема еще и в сохранении «дружелюбия» инструментов. Абсолютно безопасной, но сложной и заморочной системой клиент пользоваться не захочет, а то и просто не сможет. При этом сами банки крайне заинтересованы в популяризации систем самообслуживания, это реальная экономия расходов на персонал, оборудование и т. п. Клиент тоже не внакладе, подавляющее большинство транзакций можно проводить в прямом смысле «не сходя с дивана». Мобильному банкингу жить и развиваться, в нем заинтересованы обе стороны. И средства защиты от мошенников тоже развиваются и совершенствуются, все щели тщательно конопатят, и «враг не пройдет».

Беда в том, что выискивая под лупой крохотные щелки, можно прозевать широченную дыру. Что, собственно, и произошло. О масштабах бедствия и географической распространенности мне судить трудно, но заняться этим вопросом нужно в самом срочном порядке. Иначе им займутся другие, если уже не занялись.

Кошелек нараспашку?

Рекомендую посетить раздел «Сбербанк ОнЛ@йн» и ознакомиться с предусмотренными мерами безопасности владельца счета, они впечатляют. Цитата:

«В системе «Сбербанк ОнЛ@йн» используются современные эффективные методы для защиты Вашей информации при работе в Интернете. Вся информация передается по специальному защищенному SSL-каналу. Кроме этого, в системе реализованы дополнительные защитные функции, такие как использование одноразовых паролей; автоматическое отключение, если Вы оставались неактивны в «Сбербанк ОнЛ@йн» более 30 минут; показ даты и времени последнего входа в систему; СМС-информирование об операциях в системе в рамках услуги «Мобильный банк» (полный пакет). Расходные операции на счета сторонних клиентов, подтверждаются одноразовыми паролями, которые известны только Вам».

Разумеется, «...которые известны только Вам», ибо пароль приходит в SMS-сообщении. Идентификация владельца банковского счета и часть операций «Мобильного банкинга» происходят через мобильный телефон «хозяина», этот уровень безопасности считается разумно-достаточным и сомнению не подвергается. Постороннее лицо может воспользоваться телефоном владельца, но это уже проблема не банка, а владельца SIM-карты. Зарегистрировал в Сбербанке номер телефона — отвечаешь за все действия, совершенные с этого номера.

Твоя телефонная тень

А теперь вопрос: чем дата смерти на могильной плите отличается от номера телефона, указанного в Договоре со Сбербанком? Ответ очевиден. Рассчитывать на неизменность выбитых на надгробии цифр еще можно (да и то с оговорками), а номер телефона имеет свойство переходить от одного владельца к другому. 90 дней отсутствия телефонной активности, и SIM-карта блокируется. Затем через некоторое время номер телефона прошивается на новой SIM-карте, которая упаковывается в симпатичный конвертик и поступает в продажу. Наверное, разработчики «Мобильного банка» об этом не догадываются, а партнеры-операторы не позаботились акцентировать внимание разработчиков на этом очевидном (для операторов) факте.

А дальше начинается самое интересное. Клиент Сбербанка может сменить оператора, выбросив SIM-карту, может захотеть поменять номер телефона, сменить оператора или переехать в другой регион. Это жизнь, бывает. Человек намерен продолжать пользоваться услугой «Мобильный банк» и, надо полагать, идет в Сбербанк и регистрирует свой новый номер телефона. После чего со своего нового номера авторизует транзакции, получает уникальные одноразовые пароли, заходит по этим паролям на сайт и совершает платежи.

Также получает полное SMS-информирование о состоянии счета, его пополнениях и т. п. В общем, ведет совершенно нормальный «Мобильно-банковский» образ жизни и радуется своей тотальной защищенности от мошенников. Хохма в том, что его прежний номер телефона остается зарегистрированным где-то в недрах системы и полноценно работает в качестве двойника основного номера владельца счета. А этот прежний номер уже давным-давно продан другому человеку. Хорошо еще, если продан с соблюдением всех регистрационных формальностей, а если с лотка в уличном переходе или с продиктованными «от балды» паспортными данными?

Казалось бы, не бог весть, какая «уязвимость». Эдакий телефонно-финансовый «Дом-2», за которым кому-то даже интересно будет понаблюдать от нечего делать. Вон, при социализме было принято считать, что порядочному человеку нечего скрывать от друзей и коллег по работе.

Хуже то, что «Мобильный банкинг» предлагает легко и удобно, отправкой одного SMS-сообщения, подключить услугу «Автопополнение счета». Поскольку «теневой» номер телефона явно висит зарегистрированным в системе, услуга автопополнения должна включиться. Точнее, скорее всего, включится. Не проверял, так как экспериментировать с чужими деньгами неэтично.

По описанию услуги, такой режим запуска «Автопополнения счета» как раз и предусмотрен:

«Подключить услугу «Автоплатеж» можно только двумя способами: с телефона, зарегистрированного в Мобильном банке (при подключении через Мобильный банк), либо на любой номер, подтверждая при этом ПИН-кодом по карте (при подключении через банкоматы или терминалы)».

Дальше, как вы понимаете, перед нами чужой банковский счет на блюдечке с голубой каёмочкой. Дождался SMS-уведомления о «прибытии» на счет очередной порции денег, темной ночью (чтобы не тревожить владельца SMS-ками) подключил «Автопополнение» и в сколько-то заходов «перелил» поступающие на баланс SIM-карты деньги в какой-нибудь электронный кошелек.

Это очевидное и фактически предлагаемое решение. Вполне возможно, что такой «дублирующий» телефон позволяет реализовать и другие способы изъятия денег с банковского счета.

Как произошло?

Надеюсь, понятно, что описана реальная ситуация, а не журналистские домыслы. В технических и административно-организационных источниках уязвимости должны разобраться специалисты. Это и «уязвимостью» назвать язык не поворачивается. «Уязвимость» - это неработающая камера наблюдения по периметру забора с колючей проволокой, а здесь - просто оставленные нараспашку ворота.

Из очевидных «проколов» на стороне Сбербанка — сама возможность параллельного существования нескольких управляющих счетом телефонных номеров. Сотрудники и программисты ошибаться могут, но элементарная «защита от дурака» должна в систему закладываться.

На стороне оператора тоже не всё «бело-пушисто», увы. Ясно, что при закрытии контракта и передаче номера в базу доступных для продажи все привязанные к этому номеру сервисы должны отключаться. Однозначно, без всяких «если» и «человеческих факторов». Иначе мы с вами много чего можем заполучить в нагрузку к обычному подключению. Ту же подписку тысчонки на полторы в месяц по наследству от прежнего владельца номера.

Что делать пользователям?

Если номер телефона не менялся то, наверное, ничего не делать. А вот если менялся и вы продолжаете пользоваться услугой «Мобильный банк», то я бы как минимум эту услугу отключил и подключил заново «с чистого листа». На всякий случай.

// Взято с http://www.mobile-review.com/articles/2012/sber-on....