LyChat
Навіщо Гороховський бреше? https://yangx.top/yzheleznyak/10888
Please open Telegram to view this post
VIEW IN TELEGRAM
LyChat
xAI Ілона Маска запустила Aurora - свій власний генератор картинок
Домовились щоб не блокувати Telegram
Сьогодні в LinkedIn побачив цікавий кейс - у дівчини шахраї через Дію взяли кредити
З її поста відомо що:
- Вона побачила як до її Дії приєднався новий пристрій
- В OTP банку виявили що кілька днів тому на її старому рахунку ФОП створили акаунт в додатку і віртуальну карту
- До цього акаунту прив'язали її старий номер, який не активний півтора роки
- В Дії був інший номер телефону
Думаю що саме через доступ до OTP банку шахраї змогли авторизуватися в Дії (в банківському додатку використали старий номер, а далі вже через BankID отримали доступ). Хоча сама дівчина пише що номер в Дії був інший, тому не розуміє як це сталось.
Що було далі:
- Шахраї почали подавати заявки на кредити
- Дівчина бачила цю активність в реальному часі
- Підтримка Дії порадила видалити пристрій через кнопку, яка не спрацювала
- Кількість кредитів продовжувала зростати
Якщо чесно, цей випадок показує наскільки все погано з безпекою:
- Захисні механізми в Дії реально заважають тільки звичайним користувачам
- Навіть в топових банках типу Монобанку немає нормальної 2FA
- Достатньо доступу до SIM щоб пройти всі "перевірки"
- Через Дію можна зареєструватись де завгодно і набрати кредитів
Найцікавіше, що навіть сама жертва не розуміє як саме змогли додати новий пристрій до її Дії, бо номери телефонів різні.
Але як нам відомо, роль кібербезпеки перебільшена 😉
З її поста відомо що:
- Вона побачила як до її Дії приєднався новий пристрій
- В OTP банку виявили що кілька днів тому на її старому рахунку ФОП створили акаунт в додатку і віртуальну карту
- До цього акаунту прив'язали її старий номер, який не активний півтора роки
- В Дії був інший номер телефону
Думаю що саме через доступ до OTP банку шахраї змогли авторизуватися в Дії (в банківському додатку використали старий номер, а далі вже через BankID отримали доступ). Хоча сама дівчина пише що номер в Дії був інший, тому не розуміє як це сталось.
Що було далі:
- Шахраї почали подавати заявки на кредити
- Дівчина бачила цю активність в реальному часі
- Підтримка Дії порадила видалити пристрій через кнопку, яка не спрацювала
- Кількість кредитів продовжувала зростати
Якщо чесно, цей випадок показує наскільки все погано з безпекою:
- Захисні механізми в Дії реально заважають тільки звичайним користувачам
- Навіть в топових банках типу Монобанку немає нормальної 2FA
- Достатньо доступу до SIM щоб пройти всі "перевірки"
- Через Дію можна зареєструватись де завгодно і набрати кредитів
Найцікавіше, що навіть сама жертва не розуміє як саме змогли додати новий пристрій до її Дії, бо номери телефонів різні.
Але як нам відомо, роль кібербезпеки перебільшена 😉
LyChat
Сьогодні в LinkedIn побачив цікавий кейс - у дівчини шахраї через Дію взяли кредити З її поста відомо що: - Вона побачила як до її Дії приєднався новий пристрій - В OTP банку виявили що кілька днів тому на її старому рахунку ФОП створили акаунт в додатку…
Головна проблема в тому, як побудована архітектура Дії. Замість власної надійної системи ідентифікації, вона використовує банківську (BankID).
Здавалося б логічно - банки ж серйозні установи. Але є нюанс: банки будують свою безпеку тільки для захисту грошей. Їм достатньо щоб шахрай не вкрав кошти, а витік даних чи доступ до держпослуг - це вже не їх проблеми.
Тому виходить така схема:
1. Шахраї отримують доступ до банку через SIM-карту
2. Банк їх "впізнає" бо ж номер той самий
3. А Дія довіряє банку і дає доступ через BankID
4. Все, тепер можна брати кредити через Дію де завгодно
Найгірше що цей принцип "довіри" банкам лежить в основі роботи Дії. І поки його не змінять - такі випадки будуть повторюватись.
До речі, достатньо загуглити "кредит через дію" - і ви побачите десятки сайтів, які пропонують оформити кредит "лише за 15 хвилин через Дію".
Здавалося б логічно - банки ж серйозні установи. Але є нюанс: банки будують свою безпеку тільки для захисту грошей. Їм достатньо щоб шахрай не вкрав кошти, а витік даних чи доступ до держпослуг - це вже не їх проблеми.
Тому виходить така схема:
1. Шахраї отримують доступ до банку через SIM-карту
2. Банк їх "впізнає" бо ж номер той самий
3. А Дія довіряє банку і дає доступ через BankID
4. Все, тепер можна брати кредити через Дію де завгодно
Найгірше що цей принцип "довіри" банкам лежить в основі роботи Дії. І поки його не змінять - такі випадки будуть повторюватись.
До речі, достатньо загуглити "кредит через дію" - і ви побачите десятки сайтів, які пропонують оформити кредит "лише за 15 хвилин через Дію".
LyChat
Головна проблема в тому, як побудована архітектура Дії. Замість власної надійної системи ідентифікації, вона використовує банківську (BankID). Здавалося б логічно - банки ж серйозні установи. Але є нюанс: банки будують свою безпеку тільки для захисту грошей.…
Please open Telegram to view this post
VIEW IN TELEGRAM