Одноразовые пароли Яндекс.Денег — бесполезны

Одноразовые пароли Яндекс.Денег — бесполезны

Пользователи Яндекс.Денег подтверждают каждую расходную операцию с помощью одноразового пароля. Это должно защитить их деньги, однако на практике во многих случаях защита не работает. Яндекс.Деньги предлагают два способа получения одноразовых паролей — SMS и коды из мобильного приложения «Яндекс.Деньги» для iOS, Android и Windows Phone.

Если пользователь выбирает SMS, то когда он совершает транзакцию, например переводит 10 рублей на кошелек № 123456, он получит SMS такого содержания «Пароль: 1234. Перевод на счет 123456 10р.». Если пользователь на самом деле хотел перевести другую сумму на другой кошелек или вовсе не пытался переводить никакие деньги, то он не введет SMS-пароль, и его деньги останутся с ним. Это пример, когда второй фактор защиты — SMS-пароль — работает.

Если же пользователь выбрал, что он хочет подтверждать транзакции с помощью одноразовых паролей из приложения «Яндекс.Деньги», то ему нужно открыть приложение и переписать 6 цифр одноразового пароля (которые меняются каждые 30 секунд) из приложения на страницу сайта Яндекс.Денег. Тут чего-то не хватает? Правильно — пользователь не контролирует содержание транзакции, которую он подтверждает. Перечисляет он 10 рублей или 100 000 рублей, своему другу или Бендеру Остапу Ибрагимовичу, в любом случае он тупо переписывает 6 цифр из телефона в компьютер, и транзакция считается подтвержденной, пишет teddyid.com.

Исходя из сказанного, вектор атаки становится очевиден. Если на компьютер пользователя внедряется троян, который может изменять содержимое страниц, которые видит пользователь, и может изменять содержание данных, которые отправляются из браузера на сервер Яндекс.Денег, то этот троян может легко подделать содержание транзакции, которую отправляет пользователь, и ничто не вызовет его подозрение, когда он будет подтверждать транзакцию с помощью одноразового пароля из приложения. Для Яндекс.Денег это будет выглядеть так как будто пользователь действительно создал перевод на 100 000 руб. на кошелек Бендера О.И. и подтвердил перевод правильным одноразовым паролем из приложения. Такой тип атаки называется man-in-the-browser (MitB).

Фундаментальная ошибка Яндекс.Денег в том, что с помощью одноразового пароля из приложения они проверяютподлинность пользователя, тогда как необходимо проверять подлинность транзакции. И Яндекс.Деньги не первые, кто делает эту ошибку. Говоря о банках, известный криптограф и специалист в области IT безопасности Брюс Шнайер, писал об опасности подмены аутентификации транзакции аутентификацией пользователя еще в 2005 году: "By concentrating on authenticating the individual rather than authenticating the transaction, banks are forced to defend against criminal tactics rather than the crime itself.". В итоге, та защита, что есть сейчас, поможет пользователю Яндекс.Денег сохранить свои деньги если у него украли пароль, но не поможет, если в его браузер внедрен специально написанный троян.

Так ли сложно написать такой троян? Для этого достаточно квалификации среднего программиста, знакомого с javascript и сутью атаки.

Все основные браузеры позволяют расширять и дополнять свою функциональность с помощью браузерных расширений. Расширения как правило пишутся на javascript и им доступно содержание любой страницы, которую посещает пользователь, более того, они могут его менять. Например, есть расширения, которые блокируют рекламу или предупреждают пользователя, когда он посещает потенциально опасные сайты.

Подмена данных транзакции в Яндекс.Деньгах может быть легко сделана с помощью браузерного расширения. Для демонстрации я потратил немного времени, чтобы написать такое proof-of-concept расширение для браузера Google Chrome. Расширение активируется только когда пользователь заходит в свой личный кабинет в Яндекс.Деньгах и пытается пополнить телефон с помощью Яндекс.Денег («Товары и услуги» далее «Мобильная связь») на сумму менее 20 рублей. Номер телефона, который вводит пользователь, расширение заменит на номер+1, т.е. например если пользователь хочет положить деньги на номер (903) 555 5555, то деньги реально попадут на номер (903) 555 5556. Расширение предупреждает о том, что номер подменен. Любой, кому не жалко потерять небольшую сумму до 20 рублей, может поставить это расширение в свой браузер Chrome и попробовать пополнить свой номер Яндекс.Деньгами, затем проверить в истории транзакций, что реально деньги ушли на номер+1. (Если вы введете свой номер минус 1, то деньги попадут на ваш реальный номер). Само расширение очень простое, его исходный код я выложил на github. Публикация расширения и исходного кода предназначена только для ознакомления и для того, чтобы показать, что подмена данных в браузере не представляет никакой сложности.

Очевидно, что атакующий, который хотел бы лишить пользователей их Яндекс.Денег, мог бы написать расширение, которое подменяет данные транзакции, и рекламировать его как расширение которое блокирует рекламу, позволяет увидеть, кто заходил на вашу страничку ВКонтакте и т.д. Найдется немало пользователей, которые его установят, и при очередном платеже Яндекс.Деньгами их платеж будет перенаправлен на реквизиты атакующего.

Указанная уязвимость напрямую касается пользователей Яндекс.Денег, которые выбрали в настройках подтверждение транзакций с помощью одноразовых паролей в приложении. Те, кто выбрали SMS, лучше защищены, потому что имеют возможность контролировать содержание транзакции, которую они подтверждают. Однако и для них картина не такая радужная, потому что Яндекс.Деньги предоставили потенциальным взломщикам еще одну лазейку — аварийные коды.

Пользователи Яндекс.Денег подтверждают каждую расходную операцию с помощью одноразового пароля. Это должно защитить их деньги, однако на практике во многих случаях защита не работает. Яндекс.Деньги предлагают два способа получения одноразовых паролей — SMS и коды из мобильного приложения «Яндекс.Деньги» для iOS, Android и Windows Phone." />
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

 

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

  • собирать системную информацию;
  • воровать информацию из браузеров;
  • прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
  • отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
  • делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru