Мошенники нашли новые способы влезть в личные кабинеты белорусов. Один из них — через Межбанковскую систему идентификации. Для доступа к счетам используются номера телефонов и личные паспортные номера граждан. Историю такого взлома dev.by рассказал системный аналитик одной из ИТ-компаний Михаил.
— Взломать пытались личный кабинет моей супруги, она клиент Беларусбанка. Почему так? Узнать логин и пароль у жертвы маловероятно. О том, что их никому нельзя говорить, трубят на всех углах.
Но в случае с МСИ уровень безопасности получения доступа ниже.
Зарегистрироваться в МСИ можно только по личному номеру гражданина и телефону. Но личный номер давно не секретная информация, она часто указывается на договорах, в других учетных системах, вместе с ФИО и телефоном. Как показывает практика, такая информация легко попадает в руки злоумышленников.
Вот как все происходило в случае с моей супругой. Ей позвонила девушка с неизвестного номера и представилась сотрудницей Беларусбанка. Мошенница сообщила, что звонит по поводу заявки на кредит в 5 тысяч рублей, которую жена якобы оставила в личном кабинете. Подозрительная деталь — у мошенницы был актуальный телефонный номер, кроме того, она знали имя, фамилию и отчество жены. Правда, фамилию «сотрудница банка» назвала девичью.
Узнав о сути звонка, супруга, естественно, сообщила, что, во-первых, у нее другая фамилия, во-вторых, никаких кредитов оформлять не планировала. Мошенница изобразила недоумение и стала задавать разные вопросы: как давно заходили в личный кабинет, не передавали ли кому-то карту. В конце концов мошенница поинтересовалась, с собой ли карта кодов. Это стандартная банковская карточка с цифровыми кодам. С ее помощью клиент Беларусбанка получает доступ к онлайн-сервису.
Карты кодов у жены не оказалось. Иначе взломать личный кабинет было бы проще. У злоумышленницы был запасной вариант: пробовать войти в кабинет через сеансовый код по СМС. Но для этого надо было узнать личный номер паспорта. И это у мошенницы получилось. Во время разговора она все время пыталась усыпить бдительность и вызвать легкий перегруз от информации постоянным обращением по имени-отчеству после каждой фразы.
Сначала «сотрудница банка» сообщила супруге, что надо отменить заявку на кредит. Но для этого требуется провести процедуру идентификации. Потому сначала мошенница попросила жену назвать дату рождения. Затем она якобы стала сверять личный номер паспорта. Первые 7 цифр номера мошенница уже знала. Жена их сама назвала: они соответствовали дате рождения. Мошенница озвучила эти цифры, и попросила назвать остальные цифры личного номера. Ничего не подозревающая супруга их продиктовала.
Мошеннице оставалось только получить два сеансовых пароля. Первый она узнала без проблем. На сайте raschet.by мошенница ввела личный номер супруги и номер ее телефона, а также имя, фамилию и отчество. После этого на телефон супруги пришел временный пароль, который она назвала «сотруднице банка», думая, что отменяет заявку на кредит. На самом деле мошенница получила доступ к личным данным в МСИ. Ей оставалось только дождаться второго сеансового пароля от Беларусбанка, чтобы завершить свою атаку и попасть в личный кабинет жены. Но произошел какой-то сбой. Пароль доступа на телефон жены так и не пришел. Почему, это осталось вопросом. Иначе личный кабинет удалось бы взломать.
Какие выводы можно сделать. О том, что получить доступ к личным кабинетам можно через Межбанковскую систему идентификации, сегодня знают не многие. И это упрощает преступникам возможности для атак и взлома. Конечно, даже зная номер телефона и личный номер паспорта, мошенникам требуется получить пароли для входа в личные кабинеты. А их можно получить только посредством диалога с жертвой.
Но на примере реальной истории видно, что жертва может не подозревать, что выдает данные для входа в личный кабинет.
Что говорят банки?
dev.by поинтересовался мнением банкиров. Считают ли они, что вход через Межбанковскую систему идентификации в личные кабинеты слабо защищен и нужны ли дополнительные меры защиты?
— Банки не влияют на меры защиты, аутентификацию и идентификацию пользователей в МСИ. А временные пароли, которые приходят на телефон для того и созданы, чтобы только владелец личного кабинета ими мог воспользоваться. Насколько нам известно, ЕРИП прорабатывается вопрос о различных методах входа в личный кабинет данной системы, — прокомментировали в одном из банков.
В Нацбанке заявили, что Межбанковская система идентификации соответствует всем требованиям безопасности.
— С точки зрения защищенности к МСИ нет вопросов. Это серьёзная система, которая имеет все сертификаты безопасности и прошла все соответствующие проверки. В данном случае дело не в системе защиты доступа к личным данным через МСИ. Да, человека вводят в заблуждение. Он убежден, что разговаривает с сотрудником банка. Но человек сам добровольно озвучивает информацию, в том числе сеансовые пароли, которые приходят на его личный номер. Причём здесь безопасность МСИ, защищенность МСИ? Просто так мошенники никуда не попадут, если вы не сообщите им информацию, которую не должны сообщать в принципе.
Работа в ИТ в Беларуси.
1. Заполните анонимную форму — 5 минут.
2. Укажите зарплатные (и другие) ожидания.
3. Выберите желаемую индустрию или область деятельности.
4. Получайте релевантные предложения.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.