Gorodnya 21 фев 2019 в 10:17

Получение информации и обход двухфакторной аутентификации по картам банка из ТОП-10 (Украина)

6 мин

21K

Информационная безопасность*Платежные системы*Тестирование веб-сервисов*Тестирование мобильных приложений*

+28

Комментарии 20

igrblkv 21 фев 2019 в 14:26

«назовите мне номер отделения, где Ваша карта была выдана – это три цифры с обратной стороны карты, а также...»
А что, так можно?

Gorodnya 21 фев 2019 в 14:54

К сожалению, да. Это нам на IT-ресурсе такой вопрос покажется смешным и мошенническим, но многие могут не заметить подвоха. Знаю не понаслышке о таких скриптах разговоров, эта фраза запомнилась мне больше всего.

geisha 21 фев 2019 в 19:57

А банки вообще часто звонят клиентам по поводу карточных операций? Мой мне ни разу не звонил (хотя иногда блокирует операции сам). Более того, я подозреваю, что обслуживание карты отдано на аутсорс и те, кто в принципе могут мне звонить просто не знают мой номер телефона.

Gorodnya 21 фев 2019 в 19:59

Звонят и задают практически те же самые вопросы, кроме последнего. Сам работал в мониторинге нескольких банков)
P. S.: обслуживание карт на аутсорсе малореально — безопасность, конфиденциальность, финансовые операции, все дела.

bugdesigner 22 фев 2019 в 09:56

Мама моего друга — пенсионерка за 70. Как-то ей позвонили "из банка" и поинтересовались номером карты, сроком действия и CVV кодом. Тоже убедительно так видно рассказывали про банковскую безопасность итд. Пожилая женщина всё им и рассказала. Хорошо, что мама догадалась рассказать обо всём сыну. Карточку бвстренько заблокировали, а мошенники остались с носом лишь потому, что на карте не было денег, а карта дебетная.

tuxi 22 фев 2019 в 11:52

оффтоп. есть такой развод по телефону, звонок родителям и далее, либо плачущим голосом сына рассказывают "… что попали в аварию и нужны срочно все деньги" или убедительным голосом представляются «майор такой то, мы задержали вашего сына при перевозке им наркотиков»… вот у товарища был как раз второй случай:

"… Я оказывается наркоту вез. Матушка не растерялась, спросила сколько было дури. Когда «майор» ей ответил — 250гр., в ответ удивилась — Как, там же килограмм должен был быть! Разговор прервали и больше не перезванивали"

Мораль: надо вести разьяснительные беседы даже с очень пожилыми родителями :)

dest2r4 21 фев 2019 в 14:55

Бесконечность, не предел

-1

s_suhanov 21 фев 2019 в 19:28

Ну то есть — "уязвимость" в том, что у человека выведывают срок действия карты и cvv-код, который никому нельзя сообщать даже сотруднику банка. Инновационно. Никогда такого не было, и вот опять.

-2

Gorodnya 21 фев 2019 в 19:39

Нет, это лишь один из более 10 пунктов того, что можно было получать по клиентам.

EminH 21 фев 2019 в 19:46

В пуш сообщениях могут быть и коды второго фактора

ByRon 21 фев 2019 в 20:00

У Альфы нет 3d Secure вроде.

tuxi 21 фев 2019 в 21:57

[{"messageId":"3110600776643113261","messageBody":"Karta 5123-1235 operaciya -2861.83UAH 25.08.18 15:32 SHOP EPITSENTR, UA Dostupno: 28069.91UAH"}

Мда… доступ к балансу, одно это уже просто прекрасно

kikiwora 22 фев 2019 в 10:47

Я никаким образом не являюсь знатаком в области защиты данных, но как я понял, вам, в первую очередь, нужно получить, как и везде, секьюрити токен, и только после этого вы сможете получить данные, которые имеют небольшую ценность, но могут быть использованы для выуживания нужной информации с абонента.

Эти данные вы получили через специальный прокси-сервис на вашем же устройстве, тут всё понятно.

Что не понятно — так это в чём именно заключается уязвимость? Разве всё тело запроса не отправляется в зашифрованом виде? Разве токен не меняется постоянно? Могут ли его перехватить, скажем, на каком-то Wi-Fi к которому я подключусь? Вроде ж используется HTTPS, а значит и все отправляемые данные шифруются через SSL/TLS?

Получили доступ к данным через запросы имея все средства для анализа на руках, круто, но ведь это в контролируемой среде, а с другим устрйоством так прокатит?

Gorodnya 22 фев 2019 в 11:20

Не совсем так. Я воспроизводил свои же операции (со своими же токенами), подставляя в некоторых запросах не свои данные. И бэк сервиса отдавал мне эти данные — данные других клиентов.

Да, там HTTPS, но он расшифровывается. В приложении нет SSL-pinning, но его тоже можно было бы обойти. Что же касается токена — он меняется, но я воспроизводил со своим токеном — мне не нужен был чужой.

kikiwora 22 фев 2019 в 11:38

А, вот оно как. Тогда понятно :))
Действительно, получать чужие данные по своему токену выходит за рамки нормальной работы :3
За такое увольнять надо.

Тогда возникает ещё один вопрос — можно ли как-то защитить токен/запрос?

Gorodnya 22 фев 2019 в 11:48

После моего отчёта защитили)
Должна быть проверка на наличие прав у того, кто запрашивает, к тому, что он запрашивает.

kikiwora 22 фев 2019 в 11:57

Нет, это как раз понятно.
Я спрашивал про защиту самого токена и другой информации что передаётся на сервер.
Все ли существующие методы защиты обходятся или есть хотя бы один надежный?