Поддельная страница Fio банка

[younghacker 7]

На прошлой неделе пришло предупреждение от FIO банка о появлении новой поддельной страницы.

Главное отличие такой поддельной страницы в том, что на ней появилось дополнительное поле где необходимо указать номер телефона привязанного к банкингу. Если внимательно посмотреть на картинки приложенные к сообщению то можно заметить что в обоих случаях выполняется запрос по одному и тому же адресу. Тоесть адрес является корректным и запрос выглядит вполне легитимным: включено шифрование ssl сертификат шифрования достоверный и актуальный (тоесть выдан авторизованным центром сертификации). Механизм заключается в подмене DNS запроса. Браузер выполняет запрос как будто по правильному адресу, а на самом деле ему возвращается специально подготовленный подменный адрес.

 

Такая атака зачастую проводится через перенастройку вашего WiFi роутера где подменяется адрес NS сервера провайдера или гугла (8.8.8.8; 8.8.4.4) на специальный сервер который будет вместо банка отправляеть все ваши комьютеры и мобильные устройства на поддельный сайт. И всё что вы там введёте будет известно злоумышленникам.

Далее если Ваш счёт представляет интерес атака разворачивается на захват вашего телефонного номера. Один из вариантов перехвата номера если для банкинга у вас используется предоплаченная SIM карточка не зарегистрированная на ваше имя.

 

Что делать?

 

Будьте внимательны.

 

1. Помнить что банковский интерфейс FIO банка не требует ввода номера телефона. И даже не имеет его внутри панели управления.

Я бы вообще рекомендовал номер телефона связанного с интернет банкингом держать в секрете.

2. Привязать телефон к своим документам даже без договора но к документам.

3. Проверить настройку DNS и поставить хороший пароль для WiFi точек доступа.

4. Держать компьютер через который происходит доступ к интернет банкингу в чистоте.

 

Для параноиков

5. Идеально чтобы телефон на который приходят sms-ки был как можно проще. Без андроидов и прочей софвари куда можно установить троян.

 

Как плюс в карму чешского RB могу сказать что у них система с SMS-ками пока-то наиболее надёжная из всех систем которые мне известны в Чехии.

Во-певых используются банковские SMS которые можно открыть только зная BPIN

Во-вторых к счёту привязан не телефон, а SIM карта. Поэтому захват номера без симкарты не имеет смысла.

 

Надеюсь всем понятно, что не стоит ходить в интернет банкинг через чужие точки доступа, а тем более через просто открытые.

 

Эта страница похоже родная

 

А это явная подделка

[MaxS 0]

Есть софт хранящий и вводящий пароли на сайты, так он подобные вещи пасет сразу.

Просто не даст ввести пароли если это не тру сайт.

[younghacker 7]

Есть софт хранящий и вводящий пароли на сайты, так он подобные вещи пасет сразу.

Просто не даст ввести пароли если это не тру сайт.

Вы храните в этом софте пароли к банку? Софт с открытым кодом? Самостоятельно скопмилировать смогут многие?

[MaxS 0]

Вы храните в этом софте пароли к банку? Софт с открытым кодом? Самостоятельно скопмилировать смогут многие?

Как миллионы других и вроде никто пока не жаловался. И при чем тут open source?

[younghacker 7]

И при чем тут open source?

Я спросил первым.

[Шестой 17]

Я не понял ..... для входа в фио банк нужен только логин и пароль ???

То есть ни смс-авторизации, ни ключа не надо ?

[Jin 0]

да, логин и пароль

как и в Mbank

[younghacker 7]

Я не понял ..... для входа в фио банк нужен только логин и пароль ???

То есть ни смс-авторизации, ни ключа не надо ?

Угу, как уже сказал Jin.

SMS-ка появляется только на этапе авторизации платежа. Причём каждого отдельно.

 

ZUNO работает также. Но у него есть небольшой фокус. Если счёт находится в справочнике, то sms-ка вообще не требуется.

При переводе между своими счетами также не нужна SMS.

 

У Equa и KB используется персональный сертификат. Но у KB авторизация сейчас происходит только в момент входа.

Платёжки уходят уже без требования sms-ки. Я считаю что это ошибка. Если заботиться о клиенте то авторизовать

sms-кой нужно каждый платёж.

[MaxS 0]

У Equa никаких сертификатов не заметил, так же логин-пароль и смс на платежи.

Был в volkasbank-е токен генератор кодов, ох и тупой гимор. Сертификаты тоже были там и в РБ, ужас вспомнить...

[Kotig 313]

В Air Bank вообще через sms сертифицируется только первый платёж из серии, потом только повторение пароля. При перехвате сесии понятно что будет, первый платёж будет Ваш и к нему паровозиком ещё несколько, не совсем уже Ваши, на всю сумму счёта.

[Шестой 17]

да, логин и пароль

как и в Mbank

Бу га га шеньки ..... бежать от такого банка надо, не оглядываясь

[younghacker 7]

У Equa никаких сертификатов не заметил, так же логин-пароль и смс на платежи.

https://certificate.eqbk.cz/?lingua=cz

Но сертификат не панацея, утаскивается, а пароль перехватывается.

 

Бу га га шеньки ..... бежать от такого банка надо, не оглядываясь

Куда?

[Шестой 17]

туда, где нормальная авторизация

или через смс, или с ключом

[ocean 1]

Но у KB авторизация сейчас происходит только в момент входа.

Платёжки уходят уже без требования sms-ки. Я считаю что это ошибка. Если заботиться о клиенте то авторизовать

sms-кой нужно каждый платёж.

Это как? У меня в КБ постоянно приходит смс с кодом авторизации транзакции.

[younghacker 7]

туда, где нормальная авторизация

или через смс, или с ключом

Так это в FIO есть. По имени паролю можно только войти, а отправить деньги без SMS-ки не получится.

 

Это как? У меня в КБ постоянно приходит смс с кодом авторизации транзакции.

Значит я в другом КБ! У меня было либо sms-ка только на первую транзакцию после логина, либо sms-ка на вход. Причем менялось несколько раз. А когда-то вообще казалось что это происходит случайным образом. Один раз требует на входе другой раз пускает но спрашивает при первой транзакции. И было это и во времена чистой java и сейчас когда они всё на JavaScript сделали. Ещё в КБ у меня нельзя перевод сделать после 20 часов в пределах своих счетов. А когда-то было можно. Я уже перестал долбить их техсаппорт. Тщетно. Открыл счёт в другом банке.