bezpieczna autaoryzacja pzelewów internetowych
43

Okazuje się, że nie ma tak naprawdę bezpiecznego sposobu autoryzacji przelewów bankowych…

Pod koniec lipca opisywaliśmy Wam atak na klienta mBanku, który padł ofiarą phishingu, w wyniku którego przestępcy poznali jego login i hasło do bankowości elektronicznej. Brakowało im tylko dostępu do SMS-ów do autoryzacji przelewów, ten uzyskali wyrabiając sobie duplikat karty SIM w salonie operatora, korzystając z podrobionego dowodu.

Po zapoznaniu się z tą historią można było odnieść wrażenie, że już jedyną bezpieczną opcją (oprócz niewygodnych w użytkowaniu tokenów) będzie autoryzacja przelewów poprzez powiadomienia push w aplikacji mobilnej naszego banku.

Niestety, testy Niebezpiecznika po raz kolejny rozczarowują w tej kwestii, dysponując wspomnianym duplikatem karty SIM udało im się pokazać, że da się również wyczyścić konto klienta, który korzysta z mobilnej autoryzacji, również na przykładzie mBanku.

Na początek Niebezpiecznik obalił mit bezpieczeństwa kodów ze zdrapek, który zaczął się pojawiać w komentarzach po opublikowaniu artykułu o ataku na duplikat karty SIM. To jest najmniej bezpieczne rozwiązanie, pozwalające na ułatwienie zadania przestępcom w razie skutecznego ataku phishingowego lub zainfekowania komputera złośliwym oprogramowaniem. Kiedy to przestępcy mogą dowolnie modyfikować w tle wyświetlany nam obraz w przeglądarce.

Już autoryzacja kodami SMS (z pominięciem ataku na duplikat karty SIM) jest bezpieczniejsza, o ile czytamy ich treść, korzystając z kodów potwierdzamy jedynie płatność, która mogła być zmodyfikowana na skutek ataku.

Przechodząc do autoryzacji mobilnej Niebezpiecznik wykazał najpierw wysokie bezpieczeństwo tej metody autoryzacji, dzięki której dokładnie widzimy, jaką płatność potwierdzamy oraz fakt, że komunikacja taka jest szyfrowana, więc nie można jej podsłuchać czy zmodyfikować w locie.

Wszystko ładnie, pięknie, póki nie przyjrzymy się z bliska samej aplikacji bankowej, a ściślej mówiąc sposobowi połączenia jej z kontem bankowym ofiary. Okazuje się, że wystarczy znać PESEL ofiary i nazwisko panieńskie matki. Mając to i dostęp do SMS-ów mamy dostęp i do aplikacji mobilnej.

autoryzacja aplikacji mobilnej mbanku

Ofiara informowana jest o połączeniu nowej aplikacji mobilnej z kontem tylko przez SMS, a więc nie otrzymuje już tego powiadomienia po aktywacji duplikatu karty SIM przez przestępce. Co więcej, przestępca może w łatwy sposób, mając już tak szeroki dostęp, zwiększyć limity transakcji do przelewów przez aplikację, do wysokości miliona złotych, przepiąć autoryzację przelewów z SMS-ów na autoryzację mobilną i na odwrót – praktycznie pełna kontrola.

Niebezpiecznik skontaktował się w tej sprawie z mBankiem, który udzielił uspokajającej odpowiedzi, wyjaśniając, że na taką liczbę ataków i ich różnorodność, powiadomienie SMS o podłączeniu nowej aplikacji jest najpewniejsze. Powiadomienie push wysłane do starej aplikacji o podłączeniu nowej będzie nieskuteczne, jeśli klient nie korzysta z aplikacji albo nie jest w zasięgu sieci WiFi, skoro przestępcy aktywowali już duplikat karty SIM. Poinformowali również, że pracują nad poprawą tych procedur, by wykluczyć opisywane w artykule ewentualności.

Niepokojące jest jednak zakończenie tego tekstu, w którym Niebezpiecznik poinformował, że udało im się w kilku salonach naszych operatorów wyrobić duplikat czyjejś karty SIM, bez odpowiedniej autoryzacji i sprawdzenia danych osobowych.

Strach się bać, okazuje się, że mobilny dostęp do bankowości staje się słabym ogniwem w tym łańcuchu. Mam nadzieję, że takie publikacje skłonią z jednej strony banki to wdrożenia lepszych zabezpieczeń, które uchronią nas skuteczniej przed tego typu atakami, które jak się okazuje nie są tak trudne do przeprowadzenia, a z drugiej strony operatorów do bardziej rygorystycznego weryfikowania klientów przy wyrabianiu duplikatu karty SIM. Zgodziłbym się na nawet na jakąś większą uciążliwość w tej kwestii, jeśli w istotny sposób podniosłaby bezpieczeństwo w omawianym zakresie.

Źródło: Niebezpiecznik.