double authentication

[ny_quant]

Сегодня произошел изумительный разговор. Значит, звонят мне из банка.

Б: Is it ny_quant?
Я: Yes
Б: Could you confirm that it is your number with last four digits ****?
Я: (немного удивившись, т.к. именно по этому телефону он мне и позвонил) Yes
Б: Is it your cell phone?
Я: Yes
Б: May I send you a text with the identification code? You'll have to read it back to me.
Я: Дядя, ты дурак?

Comments

[aka-human.livejournal.com]

Он хотел убедиться, что Вы умеете читать.

[xgrbml.livejournal.com]

О!

[yankel.livejournal.com]

Ну, звоночек то мог и форвардится на другой аппарат.
Я уж не помню, можно ли форвардить SMS

[ny-quant.livejournal.com]

Звоночек с моего телефона, который у них зарегистрирован как мой? Ну, допустим я его зафорвардил. Надо полагать себе же. И что дальше?

[yankel.livejournal.com]

Ну, скажем телефонный номер 1234 принадлежит Кванту.
Вы - не Квант. Вы каким то образом умудрились форварднуть звонки на другой телефон и настоящий Квант об этом не знает.

Слишком легко сейчас работает porting номеров.

Но, в принципе, я согласен, что аутентикация - так себе.

[ny-quant.livejournal.com]

// Вы - не Квант. Вы каким то образом умудрились форварднуть звонки на другой телефон и настоящий Квант об этом не знает.

При этом настоящий Квант продолжает получать все другие звонки.

В любом случае, пользы от одноразового вторичного кода идентификации примерно никакой.

Если бы можно было форвардить SMS, то под угрозой была бы вся система двойной идентификации, т.к. коды посылаются именно как текст.

[yankel.livejournal.com]

кстати, таки можно :)

https://www.techrepublic.com/blog/smartphones/easily-forward-calls-and-sms-on-android-phones/

[ny-quant.livejournal.com]

Если я правильно понял, там объясняют как можно зафорвардить звонки и тексты со СВОЕГО телефона. Не понять каким образом это можно сделать с телефона, который не покидал моего кармана.

[yankel.livejournal.com]

Вы когда нибудь имели дело с сервисами, вроде Google Voice или вот этими http://www.flynumber.com/

Смысл в том, что вы покупаете виртуальный номер, а потом форвардите звонки и СМСки на любой другой.
Например, мой номер на Google Voice форвардит звонки сразу на 3 "настоящих" номера.

[ny-quant.livejournal.com]

Я лично не пользуюсь, но концепция мне вполне понятна. Непонятно как этим может воспользоваться злоумышленник. Ведь тут недостаточно хэкнуть мой Google Voice флайнамбер, надо именно хэкнуть мой мобильник что у меня в кармане.

[yankel.livejournal.com]

По идее, если он хакнул ваш Google Voice и дописал в списочек свой номер, все звонки будут одновременно идти на его телефон и на ваш.И СМСки - тоже.
Если вы звонок не заметили - он в шоколаде

[ny-quant.livejournal.com]

Выходит, что такая проблема может быть у вас, но не у меня.

[yankel.livejournal.com]

Угу :)
Поэтому я никогда не даю гугловский номер для индентификации.
Только мобильный.

[karpion.livejournal.com]

Дядя как раз не дурак. Дядя сейчас попытается залогиниться под Вашей учёткой в банк, и банк вышлет Вам identification code. Вы этот код прочитаете дяде, дальше рассказывать?

[ny-quant.livejournal.com]

Дядя не знает про меня ничего кроме имени и телефона. Чтобы залогиниться нужно ещё user name & password.

Но самое главное, что я знал о том, что он мне должен был позвонить.

[karpion.livejournal.com]

А если другой дядя знал, что первый должен был позвонить? А если это код восстановления пароля?

Короче говоря - очень похоже на атаку с применением соц.инженерии.

[spamsink]

Вот именно. Идентификационные коды не предназначены для произнесения вслух.

[ny-quant.livejournal.com]

Возможно, но знает ли об этом банк?

[(Anonymous)]

Российские -- да. Вовсю пишут на своих сайтах и рассылают предупреждения клиентам, что никогда, никогда, никогда не сообщайте никому коды из смс, даже если это просит у Вас сотрудник банка. И вообще, настоящие сотрудники такого не попросят.

[ny-quant.livejournal.com]

У нас этого нет.

[nlothik.livejournal.com]

> Значит, звонят мне из банка

Из банка ли?

[ny-quant.livejournal.com]

Да, я там был за полчаса до того и они мне сказали, что позвонят.

[karpion.livejournal.com]

Но отсюда не следует, что звонок был именно из банка.

[ny-quant.livejournal.com]

Следует, конечно. Никогда они мне не звонят, а тут вдруг позвонили, и надо же какое совпадение — через полчаса после того как они мне сказали, что должны позвонить. Там было ещё одно совпадение — он мне задал именно тот вопрос, который должен был.

[sydorov47.livejournal.com]

Кретины.

[ormuz.livejournal.com]

чтоб на call audio record осталось, и этот рекорд был привязан к транзакции в базе данных.

не знаю зачем, может работники банка так деньги тырят, а тут за ними контроль. или клиенты, потом, говорят, что им не звонили - тоже контроль.