Одноразовые пароли Яндекс.Денег — бесполезны

Одноразовые пароли Яндекс.Денег — бесполезны

Пользователи Яндекс.Денег подтверждают каждую расходную операцию с помощью одноразового пароля. Это должно защитить их деньги, однако на практике во многих случаях защита не работает. Яндекс.Деньги предлагают два способа получения одноразовых паролей — SMS и коды из мобильного приложения «Яндекс.Деньги» для iOS, Android и Windows Phone.

Если пользователь выбирает SMS, то когда он совершает транзакцию, например переводит 10 рублей на кошелек № 123456, он получит SMS такого содержания «Пароль: 1234. Перевод на счет 123456 10р.». Если пользователь на самом деле хотел перевести другую сумму на другой кошелек или вовсе не пытался переводить никакие деньги, то он не введет SMS-пароль, и его деньги останутся с ним. Это пример, когда второй фактор защиты — SMS-пароль — работает.

Если же пользователь выбрал, что он хочет подтверждать транзакции с помощью одноразовых паролей из приложения «Яндекс.Деньги», то ему нужно открыть приложение и переписать 6 цифр одноразового пароля (которые меняются каждые 30 секунд) из приложения на страницу сайта Яндекс.Денег. Тут чего-то не хватает? Правильно — пользователь не контролирует содержание транзакции, которую он подтверждает. Перечисляет он 10 рублей или 100 000 рублей, своему другу или Бендеру Остапу Ибрагимовичу, в любом случае он тупо переписывает 6 цифр из телефона в компьютер, и транзакция считается подтвержденной, пишет teddyid.com.

Исходя из сказанного, вектор атаки становится очевиден. Если на компьютер пользователя внедряется троян, который может изменять содержимое страниц, которые видит пользователь, и может изменять содержание данных, которые отправляются из браузера на сервер Яндекс.Денег, то этот троян может легко подделать содержание транзакции, которую отправляет пользователь, и ничто не вызовет его подозрение, когда он будет подтверждать транзакцию с помощью одноразового пароля из приложения. Для Яндекс.Денег это будет выглядеть так как будто пользователь действительно создал перевод на 100 000 руб. на кошелек Бендера О.И. и подтвердил перевод правильным одноразовым паролем из приложения. Такой тип атаки называется man-in-the-browser (MitB).

Фундаментальная ошибка Яндекс.Денег в том, что с помощью одноразового пароля из приложения они проверяютподлинность пользователя, тогда как необходимо проверять подлинность транзакции. И Яндекс.Деньги не первые, кто делает эту ошибку. Говоря о банках, известный криптограф и специалист в области IT безопасности Брюс Шнайер, писал об опасности подмены аутентификации транзакции аутентификацией пользователя еще в 2005 году: "By concentrating on authenticating the individual rather than authenticating the transaction, banks are forced to defend against criminal tactics rather than the crime itself.". В итоге, та защита, что есть сейчас, поможет пользователю Яндекс.Денег сохранить свои деньги если у него украли пароль, но не поможет, если в его браузер внедрен специально написанный троян.

Так ли сложно написать такой троян? Для этого достаточно квалификации среднего программиста, знакомого с javascript и сутью атаки.

Все основные браузеры позволяют расширять и дополнять свою функциональность с помощью браузерных расширений. Расширения как правило пишутся на javascript и им доступно содержание любой страницы, которую посещает пользователь, более того, они могут его менять. Например, есть расширения, которые блокируют рекламу или предупреждают пользователя, когда он посещает потенциально опасные сайты.

Подмена данных транзакции в Яндекс.Деньгах может быть легко сделана с помощью браузерного расширения. Для демонстрации я потратил немного времени, чтобы написать такое proof-of-concept расширение для браузера Google Chrome. Расширение активируется только когда пользователь заходит в свой личный кабинет в Яндекс.Деньгах и пытается пополнить телефон с помощью Яндекс.Денег («Товары и услуги» далее «Мобильная связь») на сумму менее 20 рублей. Номер телефона, который вводит пользователь, расширение заменит на номер+1, т.е. например если пользователь хочет положить деньги на номер (903) 555 5555, то деньги реально попадут на номер (903) 555 5556. Расширение предупреждает о том, что номер подменен. Любой, кому не жалко потерять небольшую сумму до 20 рублей, может поставить это расширение в свой браузер Chrome и попробовать пополнить свой номер Яндекс.Деньгами, затем проверить в истории транзакций, что реально деньги ушли на номер+1. (Если вы введете свой номер минус 1, то деньги попадут на ваш реальный номер). Само расширение очень простое, его исходный код я выложил на github. Публикация расширения и исходного кода предназначена только для ознакомления и для того, чтобы показать, что подмена данных в браузере не представляет никакой сложности.

Очевидно, что атакующий, который хотел бы лишить пользователей их Яндекс.Денег, мог бы написать расширение, которое подменяет данные транзакции, и рекламировать его как расширение которое блокирует рекламу, позволяет увидеть, кто заходил на вашу страничку ВКонтакте и т.д. Найдется немало пользователей, которые его установят, и при очередном платеже Яндекс.Деньгами их платеж будет перенаправлен на реквизиты атакующего.

Указанная уязвимость напрямую касается пользователей Яндекс.Денег, которые выбрали в настройках подтверждение транзакций с помощью одноразовых паролей в приложении. Те, кто выбрали SMS, лучше защищены, потому что имеют возможность контролировать содержание транзакции, которую они подтверждают. Однако и для них картина не такая радужная, потому что Яндекс.Деньги предоставили потенциальным взломщикам еще одну лазейку — аварийные коды.

Пользователи Яндекс.Денег подтверждают каждую расходную операцию с помощью одноразового пароля. Это должно защитить их деньги, однако на практике во многих случаях защита не работает. Яндекс.Деньги предлагают два способа получения одноразовых паролей — SMS и коды из мобильного приложения «Яндекс.Деньги» для iOS, Android и Windows Phone." />
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

МСофт и Сайберпик объединяют усилия для защиты чувствительной информации

Компания МСофт, разработчик MFlash, решения для защищённого файлового обмена, и компания Сайберпик, создатель платформы для защиты неструктурированных данных «Спектр», объявили о заключении технологического партнёрства.

Совместными усилиями был разработан и протестирован модуль интеграции, придающий дополнительную ценность каждой из платформ.

Испытания проводились в лаборатории ITD Group, компании, являющейся дистрибьютором обоих решений и обладающей соответствующей экспертизой.

Благодаря интеграции с системой управления правами доступа DAG/DCAP «Спектр», корпоративные файлы, размещённые на MFlash, получат дополнительный уровень защиты. Организации смогут отслеживать, какие файлы хранятся на платформе, определять местоположение важной коммерческой информации и персональных данных, контролировать доступ пользователей к конкретным документам, выявлять избыточные копии и устаревшие данные для оптимизации файловых ресурсов. Модуль поведенческой аналитики поможет выстроить профили типичного поведения сотрудников на MFlash и оперативно реагировать на аномалии, предупреждая потенциальные угрозы.

МСофт специализируется на создании решений для обмена данными уже 12 лет и является признанным игроком на рынке. Платформа MFlash успешно внедрена в крупнейших российских компаниях различных отраслей: финансах, промышленности, телекоммуникациях, нефтегазовом секторе, логистике и других. Благодаря своей гибкости и удобству, она позволяет эффективно управлять корпоративным файловым обменом как внутри компании, так и с внешними партнёрами. Безопасность обеспечивается применением корпоративных политик информационной безопасности, распространяемых как на сотрудников, так и на контрагентов. Это особенно актуально при работе с поставщиками в рамках единого цифрового пространства, где критически важна надёжная защита данных.

Встроенный набор инструментов MFlash обеспечивает контроль над процессом обмена файлами и высокий уровень безопасности. Однако для формирования полноценной экосистемы, способной противостоять современным киберугрозам, необходимы дополнительные меры. Именно поэтому сотрудничество с Сайберпик стало важным шагом на пути к созданию комплексного решения для безопасной работы с информацией.

«Спектр» — это система контроля и управления правами доступа к данным, которая позволяет осуществлять полный контроль действий сотрудников с документами, расположенными на хранилищах неструктурированных данных, классифицировать информацию и выстраивать жизненный цикл данных, удаляя и перемещая не оптимально расположенные файлы.

«Мы очень рады, что портфель наших технологических партнерств пополнился платформой «Спектр». Интеграция отлично ложится к концепцию построения безопасной экосистемы для файлового обмена и дает дополнительный уровень контроля и прозрачности при работе с корпоративной информацией на MFlash», - комментирует директор по развитию МСофт Владимир Емышев.

«Технологическое партнерство между «Сайберпик» и МСофт - пример успешного сотрудничества, результаты которого позволят усилить защиту данных и повысить уровень информационной безопасности для пользователей обоих решений. Интеграция платформы «Спектр» с системой файлового обмена MFlash предоставляет весь функционал «Спектра», включая передовые технологии поведенческого анализа и классификации, по отношению к данным, расположенным на MFlash.

Наличие таких интеграций «из коробки» не только упрощает процесс внедрения, но и обеспечивает ощутимые преимущества в рамках комплексного подхода при планировании и реализации архитектуры хранения данных и связанных с ними процессов.

Выражаю благодарность коллегам из ITD Group и МСофт за открытость и продуктивное сотрудничество», - Антон Шкарин, технический директор компании «Сайберпик».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru