Wpis z mikrobloga

Jak działa kradzież karty SIM? Co to jest SIM swap?
Dlaczego banki chcą abyśmy zrezygnowali z potwierdzania przelewów przy użyciu SMSów?
O tym dzisiaj w #od0dopentestera

Zazwyczaj sam login i hasło bankowości elektronicznej nie wystarczą aby zlecić przelew.
Bank chce mieć pewność, że to my zleciliśmy transakcję dlatego wykorzystuje idee dwuskładnikowej weryfikacji.
W przeszłości wykorzystywano do tego karty kodów jednorazowych.
W ostatnim kroku wysyłania przelewu losowano jeden z nieużytych numerów i proszono o jego przepisanie.

Minusy? Dowolny nieużyty kod mógł potwierdzić dowolną operację.
Przestępcy próbowali je wiec wyłudzać od niczego nieświadomych użytkowników.
Gdy telefony stały się popularne większość instytucji przeszła na wiadomości SMS.
Tym razem jeden kod potwierdza jedną, konkretną transakcję.
Dodatkowo zazwyczaj widać jej kwotę oraz adres odbiorcy.

Rozwiązanie idealne?
Tutaj do gry wchodzi kradzież kart SIM tak zwany atak SIM swap.
Przestępcy wyłudzają duplikat karty przy użyciu kolekcjonerskich wersji dowodów osobistych.
Wtedy to wszystkie wiadomości (w tym te od banku) trafiają na telefony złodziei.

Sytuacja taka dotyczy również kont email.
Niektóre serwisy pozwalają bowiem na reset hasła przy pomocy wiadomości tekstowej.
W taki sposób można przejąć czyjeś konto pocztowe.
Je natomiast można wykorzystać do zmiany hasła na innych portalach.
Praktycznie każda z obecnie istniejących witryn pozwala bowiem na zmianę hasła przy użyciu maila.

Najnowszym rozwiązaniem jest więc używanie mobilnych aplikacji bankowych do potwierdzania przelewów.
Aplikacja jest powiązana z telefonem a nie numerem telefonu.
Dzięki temu nawet gdy ktoś wyłudzi duplikat karty SIM, nie będzie w stanie potwierdzić zlecenia przelewu.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Dostępne również na Google i Apple Podcasts oraz Spotify i Anchor.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #security #banki
KacperSzurek - Jak działa kradzież karty SIM? Co to jest SIM swap?
Dlaczego banki ch...
  • 26
@Bezglutenu: Numery PESEL niektórych osób można znaleźć chociażby w KRSie.
A numer dowodu może się przecież zmienić – zawsze można wykorzystać historyjkę o zagubionym dokumencie, którego duplikat musieliśmy wyrobić w urzędzie.
@Massad: Z tego co się orientuje jest PekaoToken ale ona działa na zasadzie challenge-response a nie powiadomienia PUSH.
Myślę, że nie opłaca się tworzyć aplikacji mającej służyć jedynie do potwierdzania przelewów.
Jeżeli użytkownik zainstaluje bankowość mobilną to może przekona się do kodów BLIK, a co za tym idzie bank będzie płacił mniejsze prowizje od płatności kartami.
@KacperSzurek: Tak, ale mamy sytuacje, gdzie wszystko co jest niezbędne do wyprowadzenia pieniędzy z konta jest na jednym urządzeniu. Na dodatek, na urządzeniu które nosimy ze sobą wszędzie. Nie uważasz, że może to obniżać bezpieczeństwo?
@Massad: Zazwyczaj mobilne aplikację mają dość niskie limity transakcji - jest to więc sposób w jaki banki minimalizują szkody.
Gdy chcemy wykonać jakiś większy przelew logujemy się na normalnej stronie banku - wtedy atakujący potrzebuje loginu i hasła + dostępu do telefonu.
W przypadku Androida mam mieszane uczucia.
Jeśli chodzi o iOS-a - złośliwe aplikacje bardzo rzadko zdarzają się w sklepie, aplikacje działają w sandboxie, Jailbreak jest coraz rzadszy a nowości