Подмена номера в банках.

Привет друг!
Сегодня поговорим про уязвимости на примерах Российских банков, чтобы Вы знали как они берегут Ваши деньги, кроме того на днях прошел Positive Hack Days посмотрите в начале видео:

В данной статье расскажу как на моих тестах получилось сделать подмену номера без специальных технических знаний и больших затратах в тестах участвовали банки Альфа Банк, ВТБ24, Тинькофф. Во всех банках мы смогли подменить номер телефона жертвы и взять нужную информацию которой достаточно для завладения средствами атакующего.

Если преступник обладает бот-сетью или просто у него есть доступ к смс холдера (держателя кредитной карты) через бот или троян ему не нужен номер вашей карты достаточно принять одно смс от сервиса sipnet.ru и подтвердить регистрацию, схема сама простая зная номер телефона пробиваются данные владельца дальше преступник звонить в банк с подменой номера и берет нужную информацию где счет где логин.

Регистрация телефона

Дело в том что данный сервис дает возможность после подтверждения номера звонит с этого же номера через программу, да можно конечно воспользоваться другими сервисами для подмены, самое интересное все выше указанные банки мы не смогли пробить через бесплатный номер 8-800 но у них всех есть платный на 7-495 там везде смогли получить данные звоня только с номера холдера (держателя кредитной карты), банк Тинькофф сразу Вас встречает по имени отчеству не, правда удобно, даже пробивать не надо, получаем всю информацию кроме номера карты и т. д.

Вообще кто не в курсе сейчас банки включили идентификацию по телефону если звонишь с номера холдера (держателя кредитной карты), тебе не надо даже фамилию называть сразу дают номер счета этого достаточно для восстановления пароля от онлайн входа например в (Альфа Банк). Получив номер счета мы проходим по новой восстановить пароль через счет и логинимся в аккаунте онлайн банке холдера (держателя кредитной карты), на это нам потребовалась поймать две смс в боте от сервиса и банка.

Банк ВТБ нас удивил больше всех так как что бы получить логин от онлайн банка даже не требуется подмена номера достаточно знать паспортные данные атакующего последние четыре цифры карты в общем слушаем видео:

Мы пошли дальше что бы обойти оператора нам потребовались последние четыре цифры карты, серия и номер паспорта, мы удачно сменили логин от онлайн банка демонстрация видео, что нам позволило восстановить также пароль от онлайн банка и зайти в аккаунт.

Статья сильно урезана, также убраны тонкости Социальной Инженерии и многое другое, но думаю основное описал, также не могу сказать как обстоят дела на данный момент в указанных выше банках, сразу отвечу про Сбербанк – подмена не работает но можно совершать атаку через голосовое меню вплоть до получения кодового слова, успех атак был 60/70%.

На вопрос почему только эти четыре банка, выбрал самые большие, думаю хватит понять, если в этих банках так относятся к безопасности про другие нечего и говорить, подмена номера работает не только у нас, так же азиатские и в частности Индия в основном подвержена данным атакам.
Работает это в бою? Да работает, по этому убрал все тонкости, считайте это небольшим антинубом кому надо всё поймут.


Внимания не призываю Вас к совершению каких-либо действий противоречащих закону, при помощи информации размещенной в данной статье, а так же не несу ответственность за ваши действия.

 


Сайт — whiterabbit.ws
Канал — t.me/followthewhiterabbitt
Твиттер — twitter.com/wrabb1tt
Инстаграм — instagram.com/wrabb1tt