Сбербанк-онлайн, можно ли обезопасить себя от кражи денег?

[Bukin]

Обнаружен вирус-перехватчик sms-сообщений банков к клиентам
http://www.vedomosti.ru/tech/news/98...ya_postoronnih

[Anry13]

Обнаружен вирус-перехватчик sms-сообщений банков к клиентам
http://www.vedomosti.ru/tech/news/98...ya_postoronnih

Далеко не первый.

[ras]

Ну вот ... Даже перехватив смс-ку - толку то с неё? Она привязана только к единственной сформированной операции.
Считаю очень надёжной систему сбера, что нельзя сказать про их терминалы - на днях такой сожрал 1000, выдал чек, получил смс о зачислении, через минуту получил новое смс - что мол операция отменена, а 1000р терминал и не подумал отдавать. В итоге заявление с отделении, время возврата засёк - пугнули 20-ю днями ожидания - возмущён...

Пользуюсь сбербанком онлайн уже больше года - была всего одна проблема - деньги были зачислены получателю, а у меня данных по этой операции, кроме смс нет, но так как сумма была маленькая и никто чеков не требовал - простил оплошность. Ах, да, установлен KIS.

[Anry13]

Даже перехватив смс-ку - толку то с неё? Она привязана только к единственной сформированной операции.

1. Формируем операцию
2. перехватываем sms
3. подтверждаем операцию

Вот, собственно, и всё. Деньги ушли.

[Чайюри]

а киви кошельками кто-то пользуется? как впечатления?

[ras]

1. Формируем операцию
2. перехватываем sms
3. подтверждаем операцию

Вот, собственно, и всё. Деньги ушли.

ага... счаззз
1. Логин и пароль для входа в систему. Блокировка телефона пользователя, - чтоб не знал что он вошёл.
2. На каком уровне перехватываем? Прокатывает только вариант - на телефоне.

Если у кого и паранойя - то подтверждение с пароля на чеке.

[Ankhena]

а киви кошельками кто-то пользуется? как впечатления?

Имхо, быстро и удобно. Если виртуальные карты виза (бесплатные) - можно оплачивать покупки через интернет, те по которым не надо потом показывать эту карту. Есть обычные пластиковые виза, что удобно для вывода денег оттуда.
Удобно выставлять счета другим людям, тогда они в терминале вводят СВОЙ номер телефона, а не заморачиваются на записывание и ввод странных цифр.

[Anry13]

ага... счаззз
1. Логин и пароль для входа в систему. Блокировка телефона пользователя, - чтоб не знал что он вошёл.
2. На каком уровне перехватываем? Прокатывает только вариант - на телефоне.

Если у кого и паранойя - то подтверждение с пароля на чеке.

Не вижу смысла отрицать очевидное:

http://www.securelist.com/ru/analysi...giya_chast_6#6

Охота за mTAN’ами
В 2012 году некоторые новые зловреды использовались для точечных атак. Ярким примером являются атаки с помощью ZitMo и SpitMo (Zeus- и SpyEye-in-the-Mobile). Эти зловреды создаются для перехвата SMS-сообщений от онлайн-банкинга, которые содержат коды авторизации банковских транзакций mTAN’ы.

Новые версии ZitMo и SpitMo появлялись регулярно, как для Android, так и для других операционных систем. Вирусописатели по-прежнему используют те же способы маскировки зловредов, что и два года назад. Это маскировка либо под «сертификаты безопасности», либо под программное обеспечение для защиты смартфонов. Под видом этих программ пользователи скачивают зловреды на свои устройства.


Маскировка ZitMo под защитное приложение

Популярность Android не означает, что операционными системами, отличными от Android, уже никто не пользуется. Вирусописателям, например, нет никакого дела до слухов о возможной скорой смерти платформы Blackberry. В 2012 году новые версии ZitMo появлялись и для этой платформы, причем в одной волне атак злоумышленники использовали зловреды как для Blackberry, так и для Android. По крайней мере, C&C номера в них были одни и те же.

Некоторые новые модификации ZitMo для Android стали походить на своих «братьев» для других платформ. Если раньше ZitMo для Android обладал достаточно примитивным функционалом (в основном пересылка входящих сообщений с mTAN’ами), то новые версии троянца содержали в себе расширенный список команд, которые используются авторами вредоносной программы для контроля и управления работой зловреда.


Примеры некоторых команд ZitMo для Android

До 2012 года атаки, целью которых является кража mTAN, были зафиксированы только в ряде европейских стран: в Испании, Италии, Германии, Польше и некоторых других. При этом под угрозой были пользователи различных мобильных платформ: Android, Blackberry, Symbian, Windows Mobile. В конце 2012 года дошла очередь и до России, где онлайн-банкинг становится все более популярным, что, естественно, влияет и на вирусописателей. Распространенный троянец Carberp, работающий по схожему с ZeuS принципу, обзавелся мобильной версией — Trojan-Spy.AndroidOS.Citmo.

Троянец CitMo, как и «напарник» ZeuS ZitMo, способен скрывать входящие SMS-сообщения, содержащие mTAN’ы, и пересылать их злоумышленникам. Различные версии СitMo пересылают перехваченные SMS как на телефонные номера киберперступников, так и на их удаленные серверы.

Одна из версий Carberp модифицировала страницу входа в систему онлайн-банкинга одного из российских банков. На фальшивой стартовой странице пользователю предлагалось скачать и установить программу, якобы необходимую для входа в систему. Пользователь мог получить ссылку на эту программу либо в SMS-сообщении, указав предварительно свой номер телефона, либо отсканировав QR-код.


QR-код как один способов загрузки зловреда

Ссылка вела на приложение SberSafe (Trojan-Spy.AndroidOS.Citmo), которое в течение двух недель находилось в магазине приложений Google Play.

Потенциальная жертва, запустив вредоносное приложение, видела на экране предложение ввести телефонный номер. Введенный номер записывался в файл auth.txt и отправлялся на удаленный сервер злоумышленников. Через некоторое время пользователь получал SMS-сообщение с пятизначным кодом, который было необходимо указать в программе. Этот код записывался в файл authcode.txt и использовался вместе с телефонным номером в качестве идентификатора данных, которые вредоносная программа впоследствии отправляла на сервер злоумышленников.

В ходе атак с кражей mTAN троянцу необходимо скрывать входящие SMS от системы онлайн-банкинга. В противном случае, во время попыток злоумышленников перевести средства со счета взломанного аккаунта, такие сообщения вызовут у пользователя подозрения.

CitMo загружал с сервера злоумышленников информацию о номерах, входящие сообщения с которых необходимо скрывать и пересылать на удаленный сервер (записывались в файл hide.txt), и данные о номерах, входящие сообщения с которых можно отображать (записывались в файл view.txt). Когда приходило очередное сообщение, CitMo проверял отправителя. Если данные отправителя совпадали с записью из файла hide.txt, полученное сообщение скрывалось и записывалось в файл messages.txt, который отправлялся на удаленный сервер злоумышленников.

[ras]

уважаемый Anry13, ну кто ж, в здравом уме, будет пользоваться смартами для он-лайн бакинга? - риск большой, но это каждый выбирает для себя, с пониманием того какие действия он совершает.
Я ж рассматриваю связку защищённый PC + мобильный телефон, без ОС уровня android и т.п.

А то что в ссылке - это да... очевидно.

[Чайюри]

Имхо, быстро и удобно. Если виртуальные карты виза (бесплатные) - можно оплачивать покупки через интернет, те по которым не надо потом показывать эту карту. Есть обычные пластиковые виза, что удобно для вывода денег оттуда.
Удобно выставлять счета другим людям, тогда они в терминале вводят СВОЙ номер телефона, а не заморачиваются на записывание и ввод странных цифр.

cпасибо, надо поизучать