Я сменил SIM-карту. Номер телефона остался прежним, но при попытке зайти в Интернет-банк "Русского стандарта" вместо одноразового пароля я получил SMS о том, что моя SIM-карта не прошла проверку.

Вопрос: каким образом банк вообще может узнать, какая SIM-карта установлена в телефоне?

Lotto
Так там передаётся номер сим-карты - это длинный ряд цифр или на карточке, из которой выламывается сим-ка, или на самой сим-ке. Т.е. телефон передаёт базовой станции именно этот номер, а уж он сопоставляется в базе данных с телефонным номеро абонента.

Исправлено: ЦЦ, 29.07.2014 15:49

ЦЦ
так там передаётся номер сим-карты

"Там" - это где?

в сотовой сети
банку предоставляется эта услуга - передача этого номера при приёме SMS, например.

В офис банка нужно идти с заявлением о смене симки. В Альфа-банке так же.

ЦЦ
банку предоставляется эта услуга - передача этого номера при приёме SMS, например

А, понятно. Хм, весьма сомнительная услуга, надо сказать. Придется теперь подряд все свои Интернет-банки проверять на предмет этой мины.

В офис банка нужно идти с заявлением о смене симки

Да нет, по телефону сменили после стандартных вопросов.

Lotto
Хм, весьма сомнительная услуга, надо сказать

Это против клонирования симки, для безопасности интернет-банкинга.

LottoНапомнить сколько через эту дыру из Альфы в свое время денег сперли?

Lotto
я получил SMS о том, что моя SIM-карта не прошла проверку.
ЦБ обяжет банки отключать клиентов от СМС-обслуживания в случае замены ими сим-карт или номера

Десять дней назад я сменил µ-SIM на n-SIM - Альфа и Сбер никак на это не отреагировали.

ЦЦ
Это против клонирования симки

По-моему, с этим должен бороться ОПСОС, никак не банк. А то вместо двухфакторной уже трехфакторная аутентификация получается.


Korzh
Напомнить сколько через эту дыру из Альфы в свое время денег сперли?

Э-э... Не слышал. А сколько сперли?


AL2005
Альфа и Сбер никак на это не отреагировали

У меня тоже остальные банки не прореагировали. Только БРС.

LottoС клонированием может и должен. А с заменой по доверенности, например? Порядком. Явление было достаточно массовым, чтоб повсюду статьи даже пошли: http://bank.ru/publication/show/id/3920/

AL2005
ЦБ обяжет банки отключать клиентов от СМС-обслуживания в случае замены ими сим-карт или номера
Наконец-то. Когда-же только вопрос... может на несколько лет растянется. Очепялен, что во многих нет идентификации по секретным ключам с карточки - мне кажется это более надежно пока.

А что, операторы допускают обслуживание двух или более сим карт с одинаковым телефонным номером?

iliaborisov, нет конечно. Там идея была в получении дубликата симкарты с отключением от услуг связи основной. В итоге все подтверждения в СМС сыпались уже не хозяину телефона (и счета в банке), а обладателю копии.

Korzh
http://bank.ru/publication/show/id/3920/

Интересно, не слышал. Спасибо.

Однако в данном случае явно без инсайда не обошлось. Чтобы использовать код, полученный по SMS, нужно сначала ввести логин и пароль. Для подмены SIM-карты нужно также иметь паспортные данные и адрес человека, знать его оператора и номер телефона. Воедино эти сведения сводятся только внутри банковской системы.

Ну, а там, где есть инсайд, защиться от воровства денег крайне проблематично любыми средствами.

LottoПостоянный логин и пароль это вообще не защита. Фишинг никто не отменял, например, да и умение работать с крупными российскими банками у большинства троянов соответствующего назначения давно уже прошито Номер телефона у Альфы, например, показывался в ИБ. На тот момент кстати как бы не у 100% банков тоже. Потом начали повально убирать. Понятно почему Но замечу, что в некоторых ИБ логин это как раз номер телефона и сейчас

Ну а если есть номер телефона, то оператор известен. Да и получить по номеру паспортные данные тоже как бы не особая проблема.
Точнее вообще не проблема

Понятно, что если номер нигде не отображается и не используется, а пароли динамические, тогда уже не все так просто.
Но на всякий случай даже при таком раскладе контролировать смену SIM тоже имеет смысл... во всех остальных -- тем более

Korzh
Фишинг никто не отменял, например, да и умение работать с крупными российскими банками у большинства троянов соответствующего назначения давно уже прошито

Фишинг и трояны не в состоянии собрать всю нужную информацию и перехватывать SMS. Если от человека не требуется вводить паспортные данные на штатном сайте, то он не станет их вводить и на фишинговом. Разумеется, есть еще и социальная инженерия, но это уже адресная атака, и в описанной в статье схеме применялась явно не она.

Но замечу, что в некоторых ИБ логин это как раз номер телефона и сейчас

Ну, вот это уже точно глупость.

Однако еще раз повторюсь. На данный момент типовая схема аутентификации, применяющаяся по крайней мере в трех Интернет-банках, с которыми я работаю, это:

* ввод логина и пароля (постоянных, да);
* и последующий ввод одноразового пароля из SMS.

На мой взгляд, украсть сразу логин, пароль, номер телефона, паспортные данные, да еще и подменить SIM-карту, можно лишь при наличии инсайда в банке. А в этом случае даже скрэтч-карта с одноразовыми паролями может не спасти.

даже при таком раскладе контролировать смену SIM тоже имеет смысл...

Как и любая защита, это уже дополнительная мера, отсекающая мизерное количество атак, но при этом сильно осложняющая жизнь пользователям и банку. Банку, по-моему, куда дешевле возмещать ущерб, чем ее вводить.

LottoА им и не надо это делатьНе сильно большая, чем прочие при соблюдении минимальных прочих средств защиты При такой схеме (если одноразовый пароль обязателен и не отключаем... что впрочем легко может привести к проблемам с недоставкой SMS) постоянный пароль является не более, чем рудиментом -- фактически можно считать частью логина
Ну и это... из всех ИБ, которым я пользуюсь, описанная схема ровно в одном. Еще в одном нет постоянного пароля.
Еще в двух можно включить использование одноразового пароля.
Еще в четырех (+ЛК Кукурузы) одноразовые пароли на вход вообще не используются. В принципе. В паре даже уведомлений при входе нет Зачем придумывать? Я вам конкретный алгоритм как было с той же Альфой:
1) Крадется логин и пароль. Возможность включения одноразового ЕМНИП там на тот момент была, но ей разумеется процентов так 90 клиентов не пользуются при наличии таковой возможности
2) Вход в ИБ. Там смотрится номер телефона, на который поступают пароли для операций
3) По базам получаются паспортные данные владельца номера
4) Делается фальшивая доверенность, получается новая симка. Старая отключается, но многие на это ессно не обращают внимания некоторое время...

Все. На каком этапе вам тут понадобился "инсайд"? Если используются одноразовые пароли на вход в обязательном порядке и номер телефона нигде не светится, то в принципе можно и обойтись без этой меры. Но даже в этом случае зачем? Всяко бывает.
В остальных случаях лучше, чтоб была.Банку она в общем-то практически ничего не стоит. 99% пользователей ее просто могут несколько лет не замечать.
Вы вот только сейчас столкнулись, хотя я уж не помню -- когда барсуки это ввели
Ну а раз в несколько лет позвонить на хотлайн ИМХО не проблема.

Korzh
постоянный пароль является не более, чем рудиментом -- фактически можно считать частью логина

Постоянный пароль можно менять время от времени.

На каком этапе вам тут понадобился "инсайд"?

В описанной вами схеме - можно и без инсайда. Но я описывал ситуацию применительно к включенным одноразовым паролям. Здесь бессмысленно воровать только логин и пароль: чтобы хоть раз зайти в ИБ, нужно получить SMS на телефон.

Спасибо, я понял общую картину. Видимо, мне просто повезло с банками, раз во всех схема с SMS-паролями включена по умолчанию. Еще в одном банке на SMS приходят только уведомления о входе, но там для любых серьезных операций нужно использовать скрэтч-карту.

Вы вот только сейчас столкнулись, хотя я уж не помню -- когда барсуки это ввели

Так я и Интернет-банкингом БРС пользуюсь крайне редко. У меня вообще есть сильное желание от них уйти навсегда, только пока не до того.

LottoМожно. Но во-первых это далеко не все делают, а во-вторых в промежутке время от времени он легко уходит.Это и сейчас не является стандартной ситуацией
Поскольку где-то отключить можно, а где-то и так не включено.
При этом у одноразовых паролей в виде SMS есть неприятная особенность -- привязаны к доставке этих самых SMS.
Которая временами глючит... и получаются массовые неудобства у всех, поскольку и посмотреть-то ничего нельзя SIM-карты меняются еще реже

Korzh
При этом у одноразовых паролей в виде SMS есть неприятная особенность -- привязаны к доставке этих самых SMS.

Так скажем: я помню неприятности с этим только один раз в одном моем банке. Но это была проблема не доставки SMS в частности, а сервера в целом - все жутко тормозило, а на следующий день отправленный в этот день платеж повторно списали с моего счета (причем с другого), хотя и отменили списание спустя какое-то время.

Хм, это наверно излишняя перестраховка. Дубликат то дают только по паспорту.

iliaborisov
Дубликат то дают только по паспорту.
или липовой доверенности