Уязвимость. Перевод денег с помощью Siri и мобильного банка

Дата: 19.04.16
Автор:
рубрика: всё об Apple
42 комментария


Благодаря твиттеру и сообщению Сергея Волгина в ленте, узнал о неприятной уязвимости в iOS. С помощью Siri и услуги “Безналичный перевод по СМС” от Сбербанка можно перевести деньги с заблокированного iPhone!

Для этого нужно активировать Siri долгим нажатием кнопки Home. Затем попросить Siri отправить сообщение на номер 900 с текстом “ПЕРЕВОД 9xxxxxxxxx 50”. Потом прослушать ответное сообщение и отправить подтверждение.

В итоге на указанный номер отправятся 50 рублей (из-за ограничений Сбербанка можно перевести до 8000 в день). Заметьте, при этом телефон не нужно даже разблокировать!

Я знаю, что услуга Перевод по СМС подключается всем абонентам, у которых включен Мобильный банк.

Как защититься клиентам Сбербанк?

  • Отключить Siri на заблокированном экране.

otkl-siri

  • Установить нормальный пин-код на сим-карту, потому что в случае несанкционированного доступа можно использовать не только Siri, но и просто переставление карты на другой телефон с последующей нормальной отправкой SMS на номер 900.
  • Отключить услугу Мобильный банк (не путайте со Сбербанк-Онлайн). Я это сделал в отделении сразу при получении карточки.
  • Отключить возможность денежных переводов по СМС, отправив 0 на номер 900.

Вывод: Описанная выше ситуация – это банковская уязвимость. Задумайтесь: получив доступ к сим-карте, злоумышленник получает доступ к финансам владельца.

Источник новости

1 звезда2 звезды3 звезды4 звезды5 звёзд (Голосов: 5; Рейтинг: 5,00 из 5)
Загрузка...


42 комментария к записи: “Уязвимость. Перевод денег с помощью Siri и мобильного банка”

  1. Чувак:

    Знать такие штуки это важно. НО! Какова вероятность попасться на мошенника, который +украдет у вас телефон или симку?+который переведет средства на серую карту? + который знает эту фишку с сири. Вероятность примерно 0,00000012% Удачи! Ждите! Пользуюсь всему благами цивилизованного банкинга и ваще не парюсь)

    • sputnik1818:

      Вы очень точно указали проценты:)
      Спасибо

      • ЮРИЙ:

        как вы вычислили процент? неужели постоянно этим заниаетесь7

        • Чувак:

          Вычислил процент с помощью чувства юмора, чего и Вам и желаю развивать =) У Вас больше шансов выиграть в лотерею джек-пот, чем попасться на столь утонченного мошенника-карманнико-хакера. Эта проблема из разряда “Сами надумали проблему и бурно решили её”

    • volgin7:

      Ну, красть телефон (симку) вовсе не обязательно. Достаточно хозяину iPhone отойти от него минут на пять-десять. Акцент в статье делался на способность Siri отвечать на запросы с заблокированного (паролем или отпечатком пальца, не суть..) iДевайса. Благо – в настройках iOS (о чём писалось в статье) можно отключить работу Сири на локскрине. (На Андроиде голосовой ассистент работает лишь после разблокировки телефона, по крайней мере на Galaxy Note 4)

  2. volgin7:

    Узнав про новость, отключил Сири на айфоне – оч.редко ею пользуюсь, в основном для поиска песни (“Шазам!”).
    К слову, на Андроиде то же самое происходит: встроенный голосовой ассистент без проблем отправляет СМС на 900, кто бы его не попросил – не обязательно владелец телефона, сегодня сам проверял. Т.ч. да – глупо кричать про “уязвимость iOS!”, всё дело в Сбере..

    • sputnik1818:

      А Андроид позволяет прочитать ответную СМС с кодом проверки? Просто Siri зачитывает вслух все СМС :)

      • volgin7:

        Я дальше первого запроса “отправить СМС…” не проверял Андроид приятеля, врать не буду)

  3. Как установить пинкод на симку? Пинкоды на картах банковских есть, но чтоб на симку?! Впервые слышу про такое!
    Далее: и в отделении банка, и в колцентре мне заявили, что сбербанконлайн и мобильный банк – одно и то же!!! Я сразу противилась подключению мобильного банка, но сотрудники банка заверили, что без мобильного банка не будет смс поступать для доступа к лк, следовательно, без смс нельзя войти в кабинет, а смс невозможно отправить без услуги мобильный банк!
    Вообще бред какой- то:(( в других банках давно решена проблема с помощью генераторов паролей, кардридеров, а сбер все с смсками забавляется:( Многие люди меняют города, страны и соответственно симки. Теоритически, моя брошенная симка попадает к другому абоненту и он с помощью вышеописанных команд ворует денежку:( ведь смс продолжают приходить на тот телефон! Значит, надо бегать в банк, каждый раз отключать… вообщем, гемор в целом тот еще! Да еще и уязвимости :(( Лучше со сбером не связываться вовсе! Все у них через одно место:(((

    • (lurker):

      Елена, Сбер много с чем забавляется и с генераторами паролей в том числе, но некоторые вещи удобнее без них.
      Я не готов вводить сгенерированный пароль на каждое пополнение баланса через 900.

    • volgin7:

      1. Елена, PIN-код на симку можно было устанавливать уже задолго до появления первого айфона… Странно, что вы про это не знаете. В iOS зайдите в Настройки->Сотовая связь->SIM-PIN-> сами увидите, что там можно включить (и зменить) пинкод для симкарты, вставленный в iPhone. Просто сегодня мало кто заботится об установке пинкода (по умолчанию, на всех новых сим-картах он – четыре нуля, и отключен).

      2. Мобильный банк и СбербанкОнлайн – это НЕ ОДНО И ТО ЖЕ! Вас ввели в заблуждение неграмотные (или сознательно) сотрудники техподдержки Сбера.. Без подключенного Мобильного банка вы просто не сможете получать уведомления на сотовый (привязанный к банковской карте) об операциях с этой картой. Опять же – у мобильного банка есть “базовый” (бесплатный) и “полный” (30 или 60 рублей в месяц) тариф. Имея на руках любую чужую карточку Сбера (и зная её пин-код), можно привязать её к своему телефонному номеру (если она до этого не была привязана хозяином). Также одну карточку можно привязать к нескольким сим-картам. Знаю, о чём говорю!

      Пароль к доступу в ЛК на сайте СбербанкОнлайн не обязательно получать по СМС, его можно сгенерировать в любом банкомате Сбера.

      К примеру, я не пользуюсь СМС для перевода денег со своей карточки на телефон или другую карту. Поэтому сегодня отправил “0” на номер 900, чтоб обезопасить свою карту от несанкционированных переводов…

      • достаточно ввести ноль на номер 900? и это решит проблему? но я введу этот ноль, а злоумышленник может ввести свою комбинацию и отменить мои действия! Или не может? Никогда не связывалась со сбером, за версту в егда обходила, уж очень у них все неудобно:((( но возн кает необходимость, к сожалению:(( а симками этими лет десять уже не пользуюсь, благо онлайн телефония есть! вот опять только из за сбера интересуюсь всем этим, потому и про пинкод не знала. А через банкоматы уже нельзя коды генерировать, раньше можно было, теперь только по смс через мобильный банк:((( Так что ios ни при чем, это сбер нас подставляет!

        • volgin7:

          Нет, злоумышленник свою комбинацию ввести уже не сможет. Включить “Лёгкий платёж” может лишь сам владелец карты в ЛК на сайте Сбера.
          Я бы не стал уж так сильно демонизировать Сбербанк, как в ваших комментариях… Но осторожность не помешает, это да ;)

          • Ну вот, Вы меня хоть чудок успокоили:) Но как не демонизировать сбер, если он издевается над кликнтами? Миллионы людей таких, как я, не пользуются симками ибо не привязаны к месту! Мне приходится подключать свои карты на телефоны родственников, живущих в России! Приходится звонить им по каждой операции из-за границы, спрашивать очередной код подтверждения! Это ли не дурдом?! Мало того что сбер их тиранит своими смсками по моим операциям банковским, да еще и я названиваю! В других банках решены давно такие вопросы, а сбер вечно тормозит, все у них по-старинке:(

            • volgin7:

              Про “по старинке” — это верно) Был как-то пару лет назад в одном из центральных филиалов Сбера — увидел, что сотрудница на ПК юзает Office 2003

              • ужас какой! и что же делать – ума не приложу! Моя родня с ума сойдет скоро от моих сберовских смс:( а уйти полностью от сбера не получается – куча родни, знакомых, все на сбере завязаны, но они не кочуют , живут на одном месте, потому проблем таких не имеют, но миллионы людей живут, путешествуя, многие россияне за границей на пмж! я пробовала зарубежную симку подключить – не проходит:(

                • Ася:

                  Могу посоветовать перейти на Базовый тариф мобильного банка, смсок станет намного меньше, перестанут присылать смс об операциях

                  • Спасибо Вам за совет! В банке решила эту проблему: оказывается, можно оповещения на эмэйл принимать, а одноразовые пароли не нужны в новых приложениях! Пятизначного кода достаточно, следовательно, проблема с обилием смс отпадает.

  4. Инга:

    Я правильно поняла: все это относится к айфону? Просто на планшете я не могу найти такого рода настройки

  5. Сейчас звонила в сберовский колцентр, они подтвердили, что подключение лк сберонлайн невозможно без подключения услуги “Мобильный банк”:( Раньше можно было 20 кодов распечатать через банкомат, сейчас они ушли от этого. Или мобильный банк или ничего:(((

    • Саня:

      У меня Сбербанк Онлайн работает, а Мобильный банк – нет. За него платить же надо. Я отключил и не плачу.
      Сотрудники специально вводят в заблуждение. Мне тоже так говорили в отделении, но я настоял, чтобы отключили. Смс о переводах всё равно переводят

      • Саня:

        *приходят

      • volgin7:

        Выше писал: платим только за полный тариф, базовый – бесплатно. Базовый подразумевает возможность клиента (Сбербанка) пользоваться СбербанкОнлайном (через сайт или приложение в IOS/Android). Полный тариф (30 или 60 р/м) позволяет получать СМС о любых действиях с вашей картой (начисление зарплаты или пенсии, любой совершённый платёж и т.д.)
        Владельцам кредитных сбербанковских карт автоматом подключается (бесплатно) полное СМС-информирование об операциях с картой.
        Здесь существует небольшой лайфхак. Если вы являетесь владельцем нескольких карточек от Сбера, в числе которых есть и кредитная, то можно сделать так, чтобы СМС-информирование по ВСЕМ картам было бесплатным. Надо придти в отделение Сбера, написать заявление, чтобы кредитную карту сделали в вашем аккаунте основной. И чтобы к этой основной карте привязали все ваши остальные карты. После этого все уведомления по любой из ваших карт будут бесплатны (т.к. они бесплатны по умолчанию для кредитной карты). Сотрудники Сбера не любят афишировать данную фичу – невыгодно)

      • Саня, если бы у Вас не был подключен мобильный банк, смс бы не приходили, просто у Вас он базовый, бесплатный, но он есть! А значит, есть и связанная с ним уязвимость.

        • Smith:

          Елена. В силу закона №161-ФЗ, а имено 4-й части его 9-й статьи, банки обязаны уведомлять обо всех операциях с карточкой путем, указанным в договоре. Обычно это смс. Так что смски о переводах будут приходить все равно.

          • раз смс будут приходить – значит симка к карте привязана со всеми вытекающими:(((

            • Smith:

              Я прошу прощения, ни в коем случае не хочу вас обидеть, но у вас паранойа. Первое, то о чем я вам сказал не имеет отношения к мобильному банку. Они обязаны присылать смс об операциях даже если у вас он выключен. Но чтобы вас успокоить я специально почитал этот документ

              http://www.sberbank.ru/common/img/uploaded/files/pdf/mob_ruk2.pdf

              Там прям так и написано, что когда вы воспользуетесь командой “ноль” на номер 900, включить обратно командой у вас не получится. Придется либо прийти в офис, либо по телефону, подтвердив вашу личность. Это кодовое слово и паспортные данные. Я уверен вы найдете из за чего еще попереживать, но по этому поводу можете прекратить волноваться. Если вас беспокоит что-то еще — пишите. Постараемся найти какой-нибудь документ и про это.

  6. Смской с нулем на 900 можно отключить функцию, но злоумышленник может спокойно включить ее, введя иную комбинацию цифр и отменив тем самым предыдущее действие! Это не просто уязвимость… прям черная дыра какая-то:( Но без мобильного банка (даже бесплатного, облегченного) невозможно зайти в лк онлайн, тк смс нужна, через банкомат не дают теперь коды! Прям ловушка кака-то:( лучше карту заблокировать и бежать от этого сбера подальше, в нормальный банк, где есть альтернатива смс подтверждениям операций.

    • Smith:

      У меня нет мобильного банка вообще. Пользуюсь программой сбербанк-онлайн на айпаде. Без смс подтверждений.

  7. Без смс?! Мне сказали везде: в отделении банка и в колцентре разным операторам звонила, что без смс нельзя!!! У Вас, видимо, коды сохранились, когда-то с банкомата скачанные, а сейчас они ушли от кодов и только смс остались.

    • Ася:

      Вы пользуетесь веб версией Сбербанк онлайн? Так как при использовании приложения из App Store Сбербанк онлайн никаких СМС с подтверждением не требуется. Спокойно дает переводить деньги, хоть 100 тысяч. Когда-то в описании приложения писали, что на андроиде и на веб версии они требуют подтверждение ибо они наиболее уязвимы

    • Вячеслав:

      Елена, вы видимо выходите в сбербанк-онлаин ч/з Safari, или через браузер на ПК? Установите приложение Сбербанк Онлаин на все свои устройства и всё, там при входе в приложение требуется только 5-значный пароль, созданный вами, и всё никаких СМС подтверждений не надо.

  8. (lurker):

    Тоже пользуюсь мобильным сбербанком на планшете, СМС подтверждений не нужно, о манипуляциях со счетом подключенным к мобильному приходят смс уведомления.

  9. Вячеслав:

    У меня 0 на 900 не отправляется, пишет: не удалось отправить сообщение, не доставлено. Я думаю, что это из-за того, что у меня стоит запрет на отправку СМС на короткие (3-4х значные) номера. В принципе, считаю, это тоже своего рода защита.

    • volgin7:

      На всякий случай откройте Настройки->Сообщения-> возможно, снята галочка в “Отправить как SMS”

  10. Была в сбере:) докладываю: воистину “Не так страшен черт как его малюют”:))) Банк наконец-то повернулся лицом к клиенту! В последнее время сбер обновил свои приложения доя ios и доя андроид, и никаких смс теперь действительно не требуется!!! Достаточно пятизначного цифрового кода. Более того, приложение для андроид оснащено касперским антивирусом! Приложение не только удобное и функциональное, оно попутно, между делом:) защищает, сканирует и лечит смартфоны! Для ios такая фишка не нужна, тк наши гаджеты (не проджейленные) защищены по умолчанию. А эта ужасная, опасная (хотя удобная по-своему) функция быстрых платежей действительно отключается без проблем, а включается повторно только при личном визите в банк. Так что жить можно:)

  11. Забыла сказать еще об одном удобстве: оповещения можно настроить так, чтобы они не по смс приходили, а на почту, это бесплатно. Единственное, емэйл нужно подтвердить личным визитом в банк, иначе в лк услуга не активируется. Речь идет лишь об информировании, не об одноразовых паролях!

Оставить комментарий к Ася