Рубрика «банк»

Фишинговый сайт должен выглядеть достаточно правдоподобно и соответствовать какой-либо легенде злоумышленников. Нередко в качестве легенды выбирают что-нибудь связанное с безопасностью, такие ресурсы вызывают больше доверия у потенциальных жертв. И вот вам свежий пример такого подхода: sbersecure.ru.

События вокруг сайта развивались стремительно. Доменное имя было зарегистрировано вечером 16 апреля, а на следующий день на нем уже красовался фишинговый сайт. Изначально в качестве DNS были указаны сервера российского хостера Hostlife, однако, спустя всего 9 часов в NS-записях появились адреса CloudFlare, компании, не нуждающейся в представлении. 17 апреля в 15 часов по московскому времени ресурс обзавелся сертификатом шифрования, выданным все той же CloudFlare.

image

Познакомимся с фишинговым сайтом поближе.
Читать полностью »

Сотрудник UBS подслушал разговор соседа по поезду Eurostar и узнал о сделке на $15 млрд. Теперь его и банк оштрафуют - 1

Изображение: Isriya Paireepairit | CC BY-NC 2.0

В середине июля 2014 года сотрудник компании Lazard Ltd. Винесент Ле Страдик (Vincent Le Stradic) путешествовал на поезде из Лондона в Париж. Он обсуждал с коллегами готовящуюся сделку – покупку американского провайдера T-Mobile французской компанией Iliad SA, принедлежащей миллиардеру Ксавье Ньелю (Xavier Niel).

Его соседом оказался банкир из UBS Александр Залуски (Alexandre Zaluski). Он подслушал разговор Ле Страдика, и передал информацию о возможной сделке своему начальству. В итоге UBS предложили Ньелю кредит на осуществление сделки.

Это не понравилось управлению по финансовым рынкам Франции – теперь, как пишет Bloomberg, штрафы за использование приватной информации грозят как самому банку UBS, так и его сотруднику.Читать полностью »

В прошлом году украинский банк из ТОП-10 пригласил меня протестировать свои системы интернет- и мобильного банкинга на предмет уязвимостей.

Первым делом я решил начать с отслеживания запросов мобильного приложения. С помощью Fiddler (Burp или Charles) я начал рассматривать каждый запрос приложения, выполняя по очереди все доступные в своём аккаунте операции. Мобильный банкинг не был защищён SSL-pinning, поэтому это не составило особого труда.

В GET и POST-запросах я пытался подменять параметры, чтобы получить искомое, но достаточно долго мне это не удавалось – я получал ошибки вида «Доступ запрещён». Однако я таки нашёл нужные мне запросы.

Например:
Читать полностью »

Давно завел кошелек на Рапиде и туда потихоньку деньги переводились даже непомню откуда, средства незначительные, но за долгий срок уже более менее ощутимая сумма накопилась и сегодня приходит новогоднее поздравления от Киви Банка.

Читать полностью »

image

Нет науки, изучающей деньги, но существуют эксперты разного профиля, специализирующиеся на деньгах: математики, психологи, криминалисты, финансисты и даже биологи. Последние выяснили, что на бумажных купюрах встречаются грамположительные бактерии, стафилококки, грибки, паразитические черви — представители сотен и даже нескольких тысяч родов.

Именно на купюрах находят фрагменты кокаина или героина. Но деньги — это не только среда для жизни и криминала, но и продукт высоких технологий. Для производства бумажных денег нужны специальные красители, химические соединения, сложное оборудование. Наличные должны быть прочными, чтобы циркулировать по всем слоям общества.

Исследовать деньги интересно, но сложно. Нельзя поставить микрокамеру на банкноту, как на редкое животное. К счастью, камеры помогают во всех остальных случаях. Крупнейший хаб в сложной системе циркуляции денег — банк. Банки научили нас, что камера — это не только безопасность во время инкассаций. Видеонаблюдение даёт аналитику по клиентам, канал для удалённого управления бизнесом и кое-что ещё… о чём и расскажем дальше.
Читать полностью »

image

Хочу поделиться с общественностью весьма подозрительными наблюдениями о работе с персональными данными вкладчика в АО «Сбербанк Управление Активами». Если кратко — в анкетные данные нового клиента вносится «левый аккаунт» при отсуствии собственного электронного ящика. Насколько это серьезно, на данный момент сложно сказать, но, очевидно, что в принципах ИБ лучше перебдеть, чем не добдеть.

Организация была мной надлежащим образом уведомлена о ситуации, но ее представители считают, что проблемы не существует. Ниже следует более подробное описание обнаруженного явления.
Читать полностью »

Технология блокчейн призвана радикально изменить различные отрасли экономики, но больше всего потенциальных возможностей для ее применения сосредоточено в финансовом секторе, в т.ч. и в банках. В данной статье мы сравниваем ряд пилотных блокчейн-проектов реализованных российскими банками с аналогичными проектами их зарубежных коллег.

В таблице представлено краткое описание проектов (кликабельно), более подробно о них мы расскажем ниже.

image
Читать полностью »

У меня накопилось несколько найденных проблем в различных сервисах Ощадбанка, одного из крупнейших украинских банков.

Вся информация предоставлена исключительно в ознакомительных целях. Я не несу ответственности за любой возможный вред, причиненный материалами этой статьи

уязвимости Ощадбанка

1. Получение ФИО* клиента по номеру телефона

Ощадбанк добавил новую функцию в свой интернет-банкинг «Ощад 24/7» — перевод с карты на карту по номеру телефона: чтобы перевести средства, необязательно знать номер карты получателя.

Ранее я рассмотрел проблемы в реализации данной функции в другом украинском банке — Уязвимость в Альфа-Банк Украина: получение ФИО клиента по номеру телефона.

Здесь уязвимость меньше — на самом деле возможно получение не всего ФИО, а только имени и первой буквы фамилии, но это не отменяет того факта, что теперь можно узнать настоящее имя человека, скрывающегося за анонимным номером телефона (в Украине SIM-карты выдаются без привязки к паспорту).

Т.е. если вас интересует, к примеру, имя звонившего вам человека, а поиск в социальных сетях не даёт результатов, или вы сомневаетесь в их валидности (часто в соцсетях указывают выдуманные ФИО), то с помощью Ощадбанка вы можете попробовать узнать его настоящее имя.

Что за поиск в социальных сетях? Его уже описывали много раз, но, думаю, не лишним будет напомнить «фичу»: если нужно узнать ФИО человека, можно попытаться «восстановить» учётные данные в социальных сетях.

Например, можно нажать «Забыли аккаунт?» на Facebook, ввести желаемый номер телефона и, если человек регистрировался с данным телефоном, то доступны будут следующие данные:
Читать полностью »

Из маркетолога в тестировщицу ПО — смена профессии после 40? Почему бы и нет - 1

У нас в стране всё ещё бытует мнение, что человек должен овладеть какой-то профессией, и кормиться ею всю жизнь. Но эта самая жизнь сегодня меняется так быстро, что веками действующая схема работает всё хуже. Экономика оцифровывается, профессии исчезают, людей заменяют роботы и чат-боты. Поэтому сегодня всё труднее построить себе безбедное будущее, выбрав в молодости какое-то направление. Увы, но у нас пока не принято радикально менять профессию. И чем старше человек, тем труднее для него принять саму мысль, не то что решиться на это: «Как так, я уже 20 лет этим занимаюсь, опыт наработал, репутацию, а тут опять учиться, как школяру, и начинать с низов?». Да, решение непростое. Но чем сильнее экономико-технологические перемены будут влиять на занятость, тем актуальнее будет стоять вопрос смены профессии для всё большего количества людей. Но если человек сам хочет заняться чем-то новым, по желанию, а не из-за давления обстоятельств, то ему уже ничто не помешает.

Один из успешных примеров — история нашей коллеги Елены, которая после 40 лет из маркетолога переквалифицировалась в тестировщика программного обеспечения. Ей слово.
Читать полностью »

Альфа-Банк Украина входит в ТОП-5 по количеству активных карт среди всех украинских банков и имеет довольно неплохой интернет-банкинг My Alfa-Bank.

У них существует функция перевода средств другому клиенту по номеру телефона: чтобы перевести деньги, достаточно указать номер телефона получателя, нет необходимости указывать номер карты.

Длительное время функция p2p-перевода по номеру телефона действовала при соблюдении определенных условий: если у получателя подтверждён телефон и оформлена зарплатная (именно зарплатная) карта в Альфа-Банке Украина.

Не так давно, в конце марта этого года, банк реализовал p2p переводы по номеру телефона в интернет-банкинге My Alfa-Bank уже для всех клиентов банка, а не только для «зарплатников».

Я решил протестировать функцию на предмет получения данных о клиенте по его номеру телефона.

Ввожу сумму и номер телефона родственника, у которого открыт счёт в Альфа-Банке, нажимаю «Далее».
Уязвимость в Альфа-Банк Украина: получение ФИО клиента по номеру телефона - 1
Читать полностью »