- PVSM.RU - https://www.pvsm.ru -
Вы являетесь клиентом банка использующего двухфакторную аутентификацию по СМС в интернет-банкинге? У вас телефон на Android? Вы используете один и тот же компьютер для доступа к сервисам Google и для доступа к интернет-банкингу?
Если все три ответа «Да» то доступ к вашим средствам защищен меньше, чем это кажется на первый взгляд.
Сразу оговоримся о схеме доступа к банкингу. В статье рассматривается следующая защита, предлагаемая банками:
Из четырех банков с которыми я сталкивался, три использовали данную схему аутентификации.
Для кражи средств злоумышленнику надо знать логин/пароль и иметь доступ к телефону, на который приходит СМС.
Он может этого достичь посредством:
Сейчас первый и третий способ внушают наибольшие опасения. Однако не следует сбрасывать второй способ со счетов.
Cложность этого сценария в том, что компьютер и телефон надо заражать по-отдельности, и заражение одного не влечет заражение другого. Заразить два устройства сложнее чем одно — это обеспечивает дополнительную безопасность.
Но на самом деле заражение компьютера может привести к заражению телефона на Android. Для заражения подключение телефона к компьютеру необязательно. Рассмотрим схему атаки подробнее.
Google Play предлагает удобный механизм дистанционной установки приложений на устройство. С сайта play.google.com/store [1] можно удаленно установить любую программу на телефон, не имея физического доступа к телефону. Это существенно уменьшает уровень защиты посредством СМС-авторизации. Фактически, злоумышеннику достаточно заразить только компьютер, в то время как телефон скачает и установит зловредное приложение сам.
Сама схема выглядит так:
Все! Теперь у вора есть логин и пароль на вход в интернет банкинг а разовый пароль из СМС ему перешлет зловред установленный на телефон. При этом ему не потребуется искать какие-то уязвимости для чтения СМС-переписки пользователя (можно использовать механизм Android Permissions, которые троян с компьютера сам и подтвердит) и убеждать пользователя поставить сомнительную программу вручную (все сделает троян через сайт).
К сожалению я не нашел в приложении Google Play на телефоне запрета на установку программ через WEB-версию сервиса. Поэтому защита сводится к другим способам сделать оба фактора двухфакторной аутентификации независимыми друг от друга:
Двухфакторная аутентификация по СМС менее безопасна, чем кажется.
Автор: TrashMind
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/17944
Ссылки в тексте:
[1] play.google.com/store: https://play.google.com/store
Нажмите здесь для печати.