Наиболее типичные уязвимости онлайн-банков были озвучены в рамках конференции OFFZONE-2018. Эксперт по тестированию на проникновение Аркадий Литвиненко назвал широко использующуюся сегодня SMS-рассылку одноразовых паролей, которая подтверждает вход в личный кабинет мобильного либо онлайн-банка, «порочным путём», способным привести к хищению. Недочёт методики заключается в передаче самого шифра, поскольку по фальшивой доверенности и копии паспортных страниц потенциальной жертвы киберзлоумышленники могут сделать дубликат SIM-карты.
Большинство банков в целях подтверждения трансакций применяет одноразовые 4-циферные коды из SMS, и после тройного неверного введения происходит блокировка операции. «Однако возможно перебирание трансакции под пароль (к примеру, 4 пятёрки), то есть создание множества операций по списыванию финансов со счета клиента, поскольку при подборе 16 тысяч трансакций шанс угадывания кода составляет 99 %»,– сказал специалист. Он добавил, что не заметить от банка такое количество SMS-рассылки человек может разве что ночью во время глубокого сна или находясь в отпуске, однако реальность такого сценария мошеннической схемы не исключается.
Бер Илья Леонидович, Общество с ограниченной ответственностью «Три «Ч», Литвин Богдан Геннадьевич признаны в РФ иностранными агентами.
Автор: Лилия Ромская
📅 20-11-2018, 09:39