0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Сбербанк заставил клиентов платить за SMS и Push-уведомления о переводах

Сбербанк лишил своих клиентов возможности бесплатно получать уведомления о переводе денег на карту. Теперь, чтобы узнать о поступлении средств при помощи оповещения, нужно будет купить эту услугу. В прошлом осталась бесплатная рассылка как SMS-сообщений, так и Push-уведомлений. По информации РБК, изменения уже вступили в силу – в зависимости от региона SMS и Push от Сбербанка стали платными в конце июля или начале августа 2020 г.

На момент публикации материала представители «Сбербанка» не комментировали произошедшие изменения. Другими словами, официальная причина перевода популярной у клиентов услуги в разряд платных остается неизвестной.

Стоит отметить, что Сбербанк входит в число крупнейших банков России. На август 2020 г. он насчитывал 95,4 млн и 2,5 млн активных частных и корпоративных клиентов в России соответственно. Количество активных пользователей приложения «Сбербанк онлайн» и СМС-банка достигло 67,8 млн.

Никому не говорите пароль: почему европейские банки отказываются от кодов в СМС из-за уязвимости в протоколе

Шесть крупнейших немецких банков 11 июля объявили, что планируют в 2019 году отказаться от СМС-паролей и кодов для подтверждения электронных платежей. Причина — в уязвимости в протоколе, на которую закрывают глаза многие провайдеры и которая позволяет хакерам перехватывать пароли. Хайтек рассказывает, почему банки отказываются от СМС, чем опасна уязвимость в протоколе и что придет на смену сообщениям на наших смартфонах.

Отправка пароля по СМС — самый распространенный способ идентификации пользователей. Сообщения отправляют интернет-магазины, мессенджеры и банки. По закону в ЕС и России сим-карта привязывается к паспорту, что позволяет достоверно установить личность клиента и получить подтверждение для входа в аккаунт или проведение операций по счету.

В Германии таким способом идентификации клиентов пользовались банки Postbank, Raiffeisen, Volksbank, Deutsche Bank, Commerzbank и Consorsbank. Все они до конца года перейдут на более надежные способы подтверждения личности клиента.

Немецкие банки первыми начнут выполнять требования новой версии Платежной директивы ЕС (PSD2). Документ обязывает финансовые организации придерживаться правил строгой аутентификации клиентов (SDA) — запрашивать для проверки транзакций пароль, пин-код или секретное слово, но не адрес электронной почты, дополнительные данные карты или СМС-пароль.

Новые правила должны повысить безопасность электронных платежей, поэтому они запрещают использовать для подтверждения личности электронную почту или дополнительные данные карты. Такую информацию может знать не только клиент, но и злоумышленники. То же касается и содержимого СМС, которые долгое время считались безопасным способом доставки временных паролей.

Проблема в уязвимости протокола SS7 — она позволяет хакерам создать виртуальную сим-карту и переадресовать на нее все СМС, отправленные пользователю. Настоящему владельцу номера сообщения тоже приходят. Он может не догадываться о взломе своей симки, средств на криптобиржах, онлайн-кошельках, аккаунтов в мессенджерах или в электронной почте.

Что такое SS7

Протокол SS7 (общий канал сигнализации, ОКС-7) разработан компанией AT&T в 1975 году и был определен как стандарт Международным союзом электросвязи в 1981 году. Протокол создавался, чтобы разделить абонентский и служебный трафик. В то время мошенники часто пользовались вторым для того, чтобы почти бесплатно звонить в другие страны.

Проблема приобрела массовый характер после того, как в начале 2000-х годов вышло обновление Sigtran, которое позволяло использовать для передачи голосового, текстового или других видов трафика по IP-сетям.

После этого SS7, который не получил дополнительной защиты после обновления, взломать стало еще проще. Один из первых публичных докладов об уязвимостях SS7 прозвучал в 2008 году на хакерской конференции Chaos Computer Club, где немецкий исследователь Тобиас Энгель показал технику слежки за абонентами мобильных сетей.

Читать еще:  Wild Tanks Online 1.55.4

Однако в профессиональной среде эти уязвимости были известны раньше — как минимум с 2001 года, и о них точно знали операторы связи. Уже тогда об этих возможностях знали и правительства некоторых стран. Так, в книге Томаса Портера и Майкла Гафа «Как обойти защиту VoIP» приводится цитата из отчета одного из американских ведомств, где говорится, что «администрация президента США серьезно обеспокоена высоким уровнем угрозы атак на основе SS7».

В 2014 году специалисты Positive Technologies Дмитрий Курбатов и Сергей Пузанков на одной из конференций по информационной безопасности наглядно показали, как происходят такие атаки. Аналитики сымитировали атаку на абонента через уязвимость в протоколе SS7. В результате им удалось раскрыть местоположения абонента, сделать его номер временно недоступным и перехватить трафик, который должен был поступить на сим-карту — в том числе звонки и СМС.

С помощью уязвимости злоумышленники могут также прослушивать звонки, получать доступ к зашифрованным чатам, перехватывая СМС-пароли для двухфакторной аутентификации, использовать устройство для организации DDoS-атак, переводить деньги со счетов. Кроме того, проблема открывает широкие возможности для слежки за абонентами.

Двухфакторная аутентификация — подтверждение личности владельца аккаунта двумя разными способами. Чаще всего это постоянный пароль или код, а также временный пароль, присланный по СМС или электронной почте. Реже второй «слой» защиты запрашивает специальный USB-ключ или биометрические данные пользователя.

За год до выступления аналитиков Positive Technologies бывший сотрудник АНБ США Эдвард Сноуден передал The Washington Post секретные документы, согласно которым его бывший работодатель, а также спецслужбы Великобритании активно пользуются уязвимостью в SS7 для слежки. После этого стало известно и о существовании частных компаний, которые предлагают подобные услуги на глобальном уровне, например, Verint.

Как происходит атака

Для того, чтобы начать атаку, хакеру достаточно знать IMSI — уникальный идентификатор абонента, который содержит код страны, код оператора и уникальный номер сим-карты, который хранится у оператора. Вместе с ним в результате атаки через уязвимость в SS7 хакер получает параметры MSC/VLR.

MSC/VLR — специализированная автоматическая телефонная станция, обеспечивающая возможность связи и временная база абонентов, которые находятся в зоне действия определенного центра мобильной коммутации. Зная эти параметры, можно определить местоположение абонента с точностью до нескольких сотен метров или подменить их фальшивыми. Такие действия позволяют отследить местоположение абонента и сделать его недоступным для входящих вызовов.

Однако хакерам доступны и более сложные атаки с помощью этих параметров — например, перехват СМС. При переводе абонента на фальшивые MSC/VLR (их создает хакер взамен аналогичных параметров оператора) технически абонент оказывается в роуминге. На самом деле все входящие сообщения приходят не абоненту, а хакеру.

Атакующий может отправить сообщение в ответ, создав у отправляющей стороны впечатление, что информация доставлена абоненту, а также отправлять измененное сообщение — например, с фишинговой ссылкой.

Перехват данных из-за уязвимости также позволяет атакующему в реальном времени прослушивать звонки абонента, переадресовывать входящие вызовы, говорится в докладе Курбатова и Пузанкова.

Как хакеры перехватывают СМС от банков

В 2017 году немецкая газета Süddeutsche Zeitung опубликовала расследование, в котором описала схему атак на клиентов банков с помощью уязвимости в протоколе SS7. В материале говорится, что с помощью дыры, которой раньше могли воспользоваться только спецслужбы, красть доступ к счетам или аккаунтам в мессенджерах может любой желающий. Для этого не обязательно быть профессиональным хакером, порог входа очень низкий.

Врезка — анонс поста

Для этого необходимо иметь компьютер с операционной системой Linux и доступ к коммутатору SS7, который на тот момент можно было купить примерно за $1 тыс.

Перед взломом сим-карты злоумышленники с помощью фишинга или вирусов для кражи данных узнают реквизиты карты, а затем перехватывают одноразовых пароль, отправленный в СМС, и переводят деньги со счетов клиентов на свои счета. Владелец денег узнает о переводе из пуш-уведомления или при случайной проверке состояния счета, а вернуть средства достаточно трудно. К тому времени хакеры успевают вывести деньги или обналичить их.

Читать еще:  Как преобразовать FRP файл в PDF файл

Как операторы реагируют на уязвимость

В 2017 году Минкомсвязь провела «цифровые учения», целью которых было выяснить, могут ли хакеры перехватывать звонки и сообщения в сетях сотовой связи. Из «большой четырки» операторов связи участие в них принял только «МегаФон» — «Билайн», Tele2 и МТС отказались от участия.

В ходе учений специалисты Positive Technologies выступили в роли хакеров, попытавшись взломать сеть оператора через уязвимости в протоколах SS7 и Diameter. Атаки были отражены, однако наличие уязвимостей в протоколах подтвердилось.

«В принципе “МегаФон” был готов [к взлому] и успешно отразил атаки, но уязвимости этих протоколов были подтверждены и они могут использоваться для атаки на других операторов», — рассказал тогда источник РБК, знакомый с результатами учений.

Врезка — анонс поста

Годом ранее представитель МТС отказался комментировать «Медузе» наличие уязвимости в протоколе SS7 в сети оператора. Tele2 также не ответил на запрос издания, в «Билайне» сообщили об «отсутствии массированных атак на сеть SS7 [оператора]».

В «МегаФоне» изданию сообщили, что «использование этих протоколов в злонамеренных целях недобросовестными организациями, имеющими подключение к SS7, — риск для индустрии», однако обвинили Positive Technologies в раздувании проблемы. По данным последней, даже операторы связи, входящие в топ-10 крупнейших мировых игроков рынка, не защищены от подобных атак.

Какие существуют альтернативы

Идентификация через СМС, как показывает практика, никогда не была надежным и безопасным способом подтверждения личности владельца аккаунта. Изначально не предполагалось, что она будет использоваться так широко. И хотя эксперты по кибербезопасности рекомендуют устанавливать двухфакторную аутентификацию, многие не советуют использовать СМС в качестве способа получения временного пароля.

Вместо текстовых GSM-сообщений аналитики предлагают использовать приложения-аутентификаторы или криптографические ключи, которые не содержат критических уязвимостей и намного безопаснее СМС.

«Большая тройка» потеряет сотни миллионов

Королев ушел из банка, собрал команду из 15 программистов и они стали писать приложения сразу для нескольких мобильных платформ – Android, IOS, Windows. На разработку у Королева ушло несколько миллионов собственных средств, никаких инвесторов и венчуров он привлекать не стал.

«Но после первых тестов с банками мы поняли, что одним уникальным push-приложением для банков дело не обойдется, поскольку СМС-сообщения все равно придется в некоторых случаях отправлять, например, когда система видит, что Push-сообщение не прочитано, — говорит разработчик. – Тогда пришлось потратить еще часть средств на создание собственного подобия СМС-агрегатора, для чего понадобилась дополнительная сервисная платформа. Но зато теперь банки не задают вопросов: зачем нам это надо, их расходы на СМС-уведомления можно сократить смело в 10-20 раз».

В месяц небольшие банки отправляют от 1,5 млн сообщений, у крупных СМС-траффик доходит до 10 млн штук. Теоретически новая технология оповещения, не привязанная к системам операторов связи, грозит им потерей части доходов в будущем. Если предположить, что все российские банки ежемесячно рассылают клиентам около двух млрд СМС-сообщений и принять среднюю цену за оповещения за 30 копеек, то выходит, что ежемесячные доходы операторов связи могут составлять около 600 млн рублей. А точнее, их возможные будущие потери. Впрочем, реальный объем доходов посчитать затруднительно, поскольку они отчасти делятся с СМС-агрегаторами. Кроме того, операторы «Большой тройки» отрицают, что вообще повышали цены на СМС, пользуясь законом «О национальной платежной системе».

«МТС не повышала цены на информационные и рекламные SMS-рассылки, — пояснил «Эксперт Online» руководитель направления по работе со СМИ ОАО «Мобильнее телесиситемы» Дмитрий Солодовников. — Еще с июля 2013 года в целях борьбы со спамом мы стали переводить взаимодействие с рассыльщиками информационно-рекламных СМС (в том числе и с банками) на прямые договоры (минуя СМС-агрегаторов – прим. авт.), в рамках которых оператор имеет возможность проверять согласие абонента на получение рекламы. Одновременно мы установили новую тарифную шкалу, в рамках которой средневзвешенная цена за SMS для банков оказалась даже ниже прежней — как и сейчас, для большинства банков одно SMS обходится в среднем примерно в 25-30 копеек».

Читать еще:  Как сделать темный ВК на андроид. Простой способ

По словам Солодовникова, конечная цена в каждом конкретном случае зависит от объемов рассылок.

«Естественно, что ранее при наших тарифах банкам было выгоднее заказывать рассылку через других операторов или SMS-агрегаторов, специализировавшихся на массовых рассылках, по демпинговым ценам – 5-6 копеек за СМС, — продолжает он. — При такой схеме нашим абонентам поступал спам, при этом были случаи, когда банковские рассылки шли через агрегаторов, не имеющих лицензии на оказание услуг связи или сертифицированного оборудования. Следовательно, такие посредники не несли никаких обязательств по сохранности банковской тайны».

Аналогичный ответ дали в «Мегафоне»: «В конце 2014 года МегаФон пересмотрел шкалу цен на услугу «Мобильное информирование» (отвечает за рассылку сообщений), но цена на рассылки либо осталась прежней, либо снизилась по ряду значений шкалы, — говорит пресс-секретарь компании Алия Бекетова. — Для банков же существует специальная опция в рамках данной услуги, которая распространяется на транзакционный трафик Банка (рассылку обязательных уведомлениях банка о состоянии счета клиента). Ее стоимость 0,30 коп и условия данной опции не менялись до настоящего момента».

В «Вымплекоме» стоимость СМС для банков раскрывать не стали, сославшись на коммерческую тайну.

Почему банки отказываются от SMS и переходят на push-уведомления

Пример push-уведомлений, которые рассылает Сбербанк. Источник изображения: sberbank.ru Например, банк ВТБ в ближайшее время планирует полностью перейти на технологию push. Об этом рассказал порталу Plusworld рассказал руководитель департамента цифрового бизнеса, старший вице-президент ВТБ Иван Пятков.

В первую очередь, PUSH-уведомления будут доступны клиентам мобильного приложения ВТБ-Онлайн. Такой вид коммуникации может использоваться для информирования о проводимых операциях, для сообщений о персональных предложениях банка и имеет явные преимущества по сравнению с СМС.

Как отключить услугу?

Если вы все-таки решились на отключение смс информирования, то следует узнать, какими способами можно совершить данное действие.

Оповещения от ВТБ 24 можно отключить:

  1. Лично обратившись в отделение банка с паспортом и карточкой. Сотрудник банка предоставит вам бланк для подачи заявления с прошением отключить смс оповещение. Если вы хотите отключить все свои счета, то необходимо взять все пластиковые карты и договора.
  2. Позвонить на горячую линию банка ВТБ 24 по телефону 8-800-100-24-24. Звонить необходимо только с того номера, на который приходят все уведомления. Сотрудник ВТБ 24 может попросить вас подтвердить свою личность, для чего необходимо будет назвать данные паспорта и номер карточки.
  3. Через банкомат также просто отключить услугу. Необходимо вставить карточку и ввести пин-код. Перейти в раздел «Управление картой» и выбрать опцию «СМС». В пункте «Услуга SMS информирование» нажать клавишу отключить.
  4. В личном кабинете на официальном сайте ВТБ 24. Для отключения услуги онлайн необходимо использовать любое устройство (телефон, планшет, компьютер). Необходимо зайти в «Еще» и выбрать «Настройки». В графе данной услуги необходимо снять все галочки, отвечающие за смс информирование. После этого индикатор сменится на красный, и сообщения перестанут приходить на ваш телефон.

Заключение

СМС-информирование может быть деактивировано автоматически, без участия владельца карт ВТБ и ВТБ24. Прежде чем разбираться, как отключить СМС-пакет Karti или Karti+, следует знать, что СМС перестанут приходить, если для оплаты услуги нет средств. Если денег не будет в течение трех месяцев, сервис отключится автоматически.

С вводом новых банковских продуктов, например, «Мультикарта», пакеты СМС-уведомлений являются бесплатными и включены в общую стоимость услуги. В таком случае отключение от контроля над движением средств является нецелесообразным.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector