Перейти к содержанию

Почему двухфакторной аутентификации недостаточно

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Традиционный спор «нужен ли антивирус» довольно часто выглядит так:

— Да не нужен мне ваш антивирус, у меня красть нечего! Ну заразят, ну зашифруют компьютер — переставлю систему начисто, удалю все вирусы, а ничего ценного на компьютере у меня нет.

— Но банковская карточка-то у тебя есть? В интернет-магазинах ты что-то покупаешь?

— Ха, так у банка двухфакторная аутентификация, она меня защитит. Даже если украдут номер карточки, то деньги списать не смогут.

Как показывает практика, смогут. Во-первых, совсем не все интернет-магазины используют защиту 3D Secure, то есть совсем не любые транзакции требуют подтверждения кодом из SMS. Получается, можно что-то купить на вашу карту так, что вы об этом даже не узнаете, пока не посмотрите в историю покупок. Да и что уж там, даже CVC-код (три цифры с обратной стороны карты) нужен не везде — кое-где можно потратить денежки с вашей карты и без него.

Во-вторых, мошенники научились перехватывать SMS с кодами безопасности, которые отправляют банки, и выводить все деньги, которые есть на карте. Не так давно именно таким способом в Германии киберпреступники провернули крупную операцию по хищению средств с кредиток незадачливых пользователей. Давайте немного подробнее разберем, как это произошло.

ss7-banking-attack-featured.jpg

 

Читать далее >>

Ссылка на комментарий
Поделиться на другие сайты
  • 3 weeks later...
wumbo12 Профи

wumbo12

Опубликовано
Опубликовано (изменено)

Всё прочитал...    Мошенник не может перехватить смс данные - лучший способ использоваться  и надежное решение это iPad Pro , iPhone 6 + Adguard Premium =). Ни кто не мог сломать актуальные ОС=)..

Изменено пользователем wumbo12
Ссылка на комментарий
Поделиться на другие сайты
Dimya Профи

Dimya

Опубликовано
Опубликовано

Лучше было,когда на Предприятии кассир деньги(бумажные-не буквально) выдавал.

Жизнь,понятно,и прогресс вперёд идут-и скоро все люди "зачипованы" могут стать.Дело к этому,похоже и продвигается...

Ссылка на комментарий
Поделиться на другие сайты
Mrak Корифей

Mrak

Опубликовано
Опубликовано

Двухфакторная аутентификация кажется надежной защитой: если доступ к телефону есть только у вас, то кто же еще может прочитать текстовое сообщение, которое на него придет?

Как видите, прочитать его может любой, кто получит доступ к системе ОКС-7 и заинтересуется именно вашими текстовыми сообщениями и деньгами на вашей банковской карте.

 

Обычно стоит сменить мобильный номер или симку (даже с сохранением номера на физически новой сим-карте), как банки упираются без доп.подтверждения присылать смски на новую симку. Неужели тут эта защита не сработала? 

Ссылка на комментарий
Поделиться на другие сайты
Yna Продвинутый

Yna

Опубликовано
Опубликовано

Я правильно поняла, что став оператором на какой нибудь "Гваделупе", я получу полный доступ к общей базе и смогу перехватить смс любого известного номера?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • IStogov
      Почему не другой антивирус?
      От IStogov
      А здесь я предлагаю рассказать истории неудач.
      Почему же вы не пользуетесь чем-то еще кроме касперского. Как вы пользовались и случилось что-то страшное или не очень страшное, но очень обидное и вы перстали пользоваться каким-то антивирусом и перешли на Касперского.
      Не скрывайте, расскажите и вам станет легче, а люди поймут почему альтернативы Касперскому просто нет.
      пишите в этой теме
      А когда сайт строить будем вынесем возможность писать такие истории из форума куда нибудь повыше.
    • KL FC Bot
      CVE-2024-10924, уязвимость для обхода аутентификации на WordPress
      От KL FC Bot
      Плохие новости для компаний, использующих сайты на базе WordPress с механизмом двухфакторной аутентификации, реализованным через плагин Really Simple Security. Недавно обнаруженная в этом плагине уязвимость CVE-2024-10924 позволяет постороннему человеку аутентифицироваться на сайте под видом легитимного пользователя. Поэтому плагин рекомендуется обновить как можно быстрее.
      Чем опасна уязвимость CVE-2024-10924
      Как бы иронично это ни звучало, но уязвимость CVE-2024-10924 в плагине с названием Really Simple Security имеет CVSS-рейтинг 9.8 и классифицируется как критическая. По сути это ошибка в механизме аутентификации, из-за которой атакующий может залогиниться на сайте как любой из зарегистрированных на нем пользователей, с полными его правами (даже админскими). В результате это может привести к перехвату контроля над сайтом.
      На GitHub уже появились доказательства возможности эксплуатации этой уязвимости. Более того, судя по всему, ее применение можно автоматизировать. Исследователи из Wordfence, обнаружившие CVE-2024-10924, назвали ее самой опасной уязвимостью, обнаруженной ими за 12 лет работы в сфере безопасности WordPress.
       
      View the full article
    • KL FC Bot
      Коды аутентификации от сервиса, в котором у вас нет аккаунта | Блог Касперского
      От KL FC Bot
      Мы уже писали о том, что делать, когда вам неожиданно приходит сообщение с одноразовым кодом для входа в принадлежащий вам аккаунт, который вы не запрашивали (спойлер: скорее всего, это попытка взлома, и пора задуматься о надежной защите всех своих устройств).
      Но иногда бывает и иначе: вам приходит сообщение с кодом двухфакторной аутентификации от некоего сервиса… вот только аккаунта в этом сервисе у вас нет и никогда не было. В этом посте поговорим о том, из-за чего так может получиться, а также о том, как на подобные сообщения следует реагировать.
      Откуда берутся SMS с кодами для входа в сервисы, в которых вы не регистрировались
      Есть два базовых объяснения того факта, что вам приходят одноразовые коды для входа в аккаунт, который вам совершенно точно не принадлежит.
      Первое, оно же наиболее вероятное объяснение: до того, как вы приобрели данный номер телефона, он уже кому-то принадлежал, но был отключен после прекращения контракта телеком-оператора с данным абонентом. Это называется «переиспользование телефонных номеров» — совершенно нормальная практика у поставщиков сотовой связи.
      Соответственно, предыдущий владелец номера когда-то действительно зарегистрировал на него аккаунт. И теперь либо он сам пытается в него войти, либо какой-то злоумышленник пытается этот аккаунт взломать. Попытки входа приводят к тому, что на номер телефона, который теперь уже принадлежит вам, приходят SMS с одноразовыми кодами.
      Второе объяснение: кто-то непреднамеренно пытается зарегистрировать учетную запись на ваш номер телефона. Возможно, этот кто-то «ошибся номером», то есть вводил другие цифры, но опечатался. А может быть, этот кто-то ввел случайный набор цифр, который, так уж вышло, оказался вашим номером телефона.
       
      View the full article
    • Marcus
      почему тут не видно пользователя AlexeyK 🙂 ?
      От Marcus
      Я извиняюсь за неуместный вопрос, почему тут не видно пользователя AlexeyK 🙂 ?
    • Виталий Чебыкин
      Почему именно "Требуется перезагрузка"?
      От Виталий Чебыкин
      Добрый день, хотел бы поинтересоваться почему после обновления версии в моем случае с KES 11.8 до 12.3 версия для Window, ПК просит перезагрузку? Хотя компьютер периодически выключается и включается но все равно требует перезагрузку. Можно ли как то включить обновление версии при выключении/включении ПК? как например это происходит с обновлениями Windows. 
       
      PS  Стоит ли задача перед разработчиками о возможности обновлений при выключении/включении ПК?
×
×
  • Создать...