Альфа-банк: безопасности бывает слишком много

[vitus_wagner]

Некоторое время назад я тут купил себе новый телефон. И тут же пошел и поменял сим-карту, поскольку новый телефон умел 4G, а старая сим-карта - нет.

Когда я после этого попытался залогиниться в интернет банк, мне сказали "обнаружена смена сим-карты, не пустим". Ну в общем, вполне разумная мера безопасности.
Нужно либо звонить в колл-центр и доказывать там свою идентичность кодовым словом, либо идти с паспортом в отделение банка.

Кодового слова я, естественно, не помнил, пошел в отделение банка. Там меня заставили переставить на телефоне приложение (и вводить в него заново номер карочки) и выдали мне новый пароль к интерент-банку. Который нужно было немедленно поменять

Ну вроде все работает. В интернет-банк пускают, одноразовый пароль в СМС-ке присылают, приложение логинится, в яндекс деньги можно перекинуть денег.

Но оказалось не все. Платить по шаблонам, которые не требуют дополнительного SMS-подтверждения - можно, а при платеже, которому требуется подтверждение "Обнаружена смена сим-карты". При попытке дозвониться в колл-центр я выяснил, что во-первых ключевого слова я не помню, а во-вторых, то что я помню не удовлетворяет требованиям к ключевым словам. Видимо требования за 7 лет поменялись.

Что-то они там перемудрили с безопасностью. Я пришел в отделение банка с паспортом и телефоном с этой самой новой сим-картой, а они не могут сразу во всех базах прописать, что моя сим-карта теперь вот эта. Хотя казалось-бы - пришли мне SMS-кой одноразовый пароль и попроси предъявить тому сотруднику, который только что проверил мой паспорт и карточку.

Comments

[cross_join]

А в браузере интернет-банк разве не работает?

[vitus_wagner]

Вот в браузере-то он и выдает сообщение "операция не может быть произведена, обнаружена смена СИМ-карты".
При попытке отправить SMS с одноразовым паролем на операцию.

[cross_join]

Т.е. скрипт на веб-страничке имеет доступ к кишкам вашего телефона?

[phd_ru]

Программа на сервера банка имеет доступ к кишкам опсоса. А уже скрипт на страничке общается с программой.

[unreal-undead.livejournal.com]

И не такие уж это и кишки, IMSI запросить через HLR может практически кто угодно, есть бесплатные веб сервисы.

[cross_join]

Ну, то есть работа с интернет-банком через веб-браузер без установки дополнительных программ невозможна.
Охренительный сервис.

[livelight]

Какие такие дополнительные программы? Просто браузер (в норме - на стационарном компе), в нём веб-морда банка. А она уже спрашивает пароль и посланный после этого по СМС код. А банк внутри себя сам общается с опсосом.

[cross_join]

На предмет чего банк общается с опсосом, если он не может проверить данные опсоса? Речь шла о смене сим-карты при сохранении номера. Как банк проверит, что в телефоне нескомпрометированная сим-карта? На каждый чих образаться к опсосу? А если роуминг?

[vitus_wagner]

Насколько я понимаю, угроза от которой защищаются таким образом заключается не в злонамеренности опсоса, а в злонамеренности отдельных сотрудников опсоса. Причем скорее торгующих симками, чем рулящих HLR.

Поэтому запрос к базе данных "А какому IMSI у нас сегодня соответствует вот этот MSISDN, на который мы хотим SMS послать?" является вполне разумной мерой безопасности. Если в базе опсоса произошли изменения. то ждем подтверждения этих изменений пользователем MSISDN по независимому от опсоса каналу. (потому что владельцем симки и связанного с ней MSISDN является не носитель телефона, а опсос, а носитель телефона - только пользователь).

[livelight]

Точнее, пользователь является носителем симки, каковую носит в своём телефоне, но владельцем СВЯЗИ между симкой и MSISDN является опсос.

[vitus_wagner]

Кредитная карта, как известно, является собственностью банка.
Симка - это примерно то же самое.

[livelight]

А купленный в кредит телефон является собственностью выдавшего кредит банка, пока кредит не выплачен :)
Я просто в данном случае прикопался к словам "носитель" и "владелец".

[livelight]

Очевидно, для отправки кода двухэтажной авторизации по СМС банк общается с опсосом. И он имеет иногда возможность выяснить у опсоса, что с прошлого обращения СИМ-карта поменялась. А иногда он приходит к такому выводу, даже если карта не менялась, я в Альфа-банке раз 10 на это налетал.

[vitus_wagner]

А я вот за 7 лет - первый раз. Причем в моем случае карта действительно поменялась. Возможно, другой опсос. У меня МТС.

[livelight]

Тоже мтс

[cross_join]

Потому и пишу - охренительный сервис.
Заход с браузера в европках и манипуляции со счетом не предусматривают никаких взаимодействий с телефоном.
Подтверждение перевода по СМС - только при покупке по карте в сети, это уже двухфакторная аутентификация.
В обсуждаемом случае получается трехфакторная (карта или логин + смс + идентификация симки) для простейших вещей.

[livelight]

> работа с интернет-банком через веб-браузер без установки дополнительных программ невозможна.

нет

> Охренительный сервис.

хум хау :)

[vitus_wagner]

Вот такие у нас тут в России параноики. Им SMS надо отправлять не на номер вообще, а на конкретную симку.
Что, кстати, от фейкового роаминга по-моему не спасает.

Дополнительный прикол в том что у них похоже есть три разных базы IMSI - одна для входа в интернет-банк (где мне исправили с первого захода), вторая для верификации платежей в интернет-банке и третья - для верификации платежей через мобильное прилоежние. Потому что когда тетка правила базу данных для верификации платежей в интернет-банке, она спросила, пользуюсь ли я мобильным приложением, и когда я сказал "Да", стала исправлять "и там тоже".

[inkelyad]

В обсуждаемом случае получается трехфакторная (карта или логин + смс + идентификация симки) для простейших вещей.
Вроде бы нет. Первый 'то что я знаю' - это логин/пароль в банк-клиент. Второй 'то что у меня есть' - факт владения симкой. Этого достаточно для захода в интерфейс банка. А смс - это часть протокола проверки симки.
Таким образом проверяется, что симка та самая и во владении того, кто банк-клиент запустил. А то что протокол приходится замыкать через человека - это недостаток используемых интерфейсов - они порядком зарезаны, как я выше указывал.

Вот когда банк клиент запускается на телефоне, использует правильно реализованный пин и смс принимается на другом телефоне - там уже получается три. Нужно не только пин знать, но и набирать его именно на том телефоне, где надо. Т.к. пин - он только на одном телефоне подходит. Получается два токена владения. Тот телефон, где банк клиент стоит и симка, на которую SMS посылают.

Но и в этом случае требование набора этого пароля - удар по юзабилити. Если я правильно понимаю, ничего не мешает, не уменьшая безопасность, смартфонному банк-клиенту замкнуть петлю через видео/звуковые/bluetooth интерфейсы участвующих телефонов, не требуя набора пароля рукам.

[cross_join]

1-й этап - авторизация на сайте
2-й этап - авторизация ввод кода, присланного по смс
Авторизация симки - это уже третий фактор.

[inkelyad]

Три этапа-шага не означают три фактора.

Третьим фактором должно быть что-то, что не дает залогиниться, если его нет. Как в примере с пином и двумя телефонами. Чтобы залогиниться, нужно:
1) знать логин+пин
2) иметь на руках телефон, для которого пин создавался
3) иметь на руках симку, куда пароль придет.
Если хотя бы одно из пуктов не выполняется - залогиниться не можем, даже если хотим.

А если просто одноразовый пароль в виде sms, то для залогинивания нужно:
1) знать логин+пароль
2) иметь на руках симку, куда пароль придет
И все - этого достаточно, чтобы суметь авторизироваться, если хочешь. Третьего пункта нет.

[inkelyad]

Ну и сразу уточнение.

Проверка IMSI - это не добавление фактора, а замена фактора '"владею"(могу использовать для связи) телефонный номер...' на 'владею (имею на руках) конкретную физическую вещь'.

[nepilsonis]

c 2017 двухфакторная авторизация в Еврорсоюзе обязательна для операций с суммами больше 10 eur.
https://www.finextra.com/blogposting/13651/angst-over-the-ebas-psd2-two-factor-authentication-directive
Недавно вышло ещё разъяснение, что послать номер по смс — это не двухфакторная авторизация.

[cross_join]

У нас сейчас сентябрь 2017 года, никаких изменений не произошло, не планируется и в обществе не обсуждается. Более того, безконтакные платежи в размере до 20 евро везде в ходу: нужно только приложить банковскую карту к терминалу, не вводя код.
Ссылки там левые, источников вроде ваших по сети можно наделать сколько угодно.

[inkelyad]

A так?
Это свежие новости.

Directive (EU) 2015/2366 on payment services in the internal market (PSD2) entered into force in the European Union on 12 January 2016 and will apply as of 13 January 2018.


страница самого документа. Ну и сам документ (PDF)

Where payment service providers apply strong customer authentication in
accordance with Article 97(1) of Directive (EU) 2015/2366, the authentication based
on two or more elements categorized as knowledge, possession and inherence shall
result in the generation of an authentication code.

(Страница 20, Статья 4)
Для безконтакнтных платежей, да, планку повысили.

Subject to compliance with the requirements laid down in paragraphs 1, 2 and 3 of Article 2,
payment service providers are exempted from the application of strong customer
authentication where the payer initiates a contactless electronic payment transaction provided
that both the following conditions are met:
the individual amount of the contactless electronic payment transaction does not
exceed EUR 50;

(Страница 23 статья 11)

Общую планку тоже немного повысили:

Subject to compliance with the requirements laid down in paragraphs 1, 2 and 3 of Article 2,
payment service providers are exempted from the application of strong customer
authentication, where the payer initiates a remote electronic payment transaction provided
that both the following conditions are met: the amount of the remote electronic payment transaction does not exceed EUR 30;

(Страница 24, статья 15)