Comments | dmitrmax: Кража личности и денег

dmitrmax

Кража личности и денег

Jul 19, 2021 15:30

Интересный материал появился на Фонтанке о том, как потерять телефон, учетку от ГосУслуг и попасть на кучу денег.

Хотя в статье не описаны досконально действия мошенников, я предполагаю, что получение доступа к ГосУслугам позволило мошенникам выпустить новый паспорт, а далее вместе с ним и доступ к выпуску электронной подписи, по которой уже можно ( Read more... )

госуслуги, события, телефоны, бюрократия, во дела!, lifehack, ЭДО

Comments 15

myx_ostankin July 19 2021, 14:34:26 UTC

Хм... если я правильно понял статью, то главной ошибкой фигуранта этой истории было то, что он установил на телефон приложение для Госуслуг, которое а) непонятно, зачем вообще нужно на телефоне и б) почему-то позволяет пользователю быть практически постоянно залогиненным.

dmitrmax July 19 2021, 14:47:19 UTC

Ну госуслуги на телефоне - это личное дело каждого. Что касается вечного токена, то это by design такое решение, которое позволяет залогинться раз, а потом авторизовываться 4-х или 5-ти значным ПИН-кодом. Если бы этого не было, то приходилось бы авторизовываться каждый раз логином/паролем/2FA. В общем-то даже банковские приложения, если я правильно понимаю, работают так же - первый вход по полной, потом придумываешь ПИН-код и ходишь по нему.

Главной ошибкой, я всё же думаю, было то, что дало злоумышленникам доступ к содержанию флэш-памяти: либо херовая блокировка, либо отсутствие шифрования. И скорее всего отсутствие ПИН-кода на СИМ-карте, хотя с ГосУслугами она связана не была.

myx_ostankin July 19 2021, 16:20:46 UTC

По-моему, отсутствие пин-кода на симке тут никакой роли не играет. Смартфону для работы не нужна симка, Госуслуги к ней тоже напрямую не привязаны. Таким образом, получается главная уязвимость - это некий ключ шифрования или токен доступа к Госуслугам, который шифруется пин-кодом. Если устройство не зашифровано или плохо заблокировано, то теоретически этот пин-код был вскрыт перебором. Либо у приложения Госуслуг нет защиты от перебора, либо перебирали через прямой доступ к памяти устройства ( ... )

dmitrmax July 19 2021, 17:07:32 UTC

Защита SIM-карты поможет от сценария, когда злоумышленник пытается сбросить пароль от ГосУслуг по номеру телефона. Да, там кроме этого обычно спрашивается какая-то контрольная инфа, но будем считать, что она у злоумышленника есть (например, какие-то цифры паспорта).

Thread 6

shelepiha July 19 2021, 14:51:34 UTC

Что такое токены авторизации ?

dmitrmax July 19 2021, 17:00:14 UTC

После того, как вы вводите свой логин/пароль и, если он включен, второй фактор (СМС), сервер присылает вам токен - просто некоторый объем инфы, который серверу необходим для того, чтобы понимать, что все ваши последующие запросы именно от вас. Затем, каждый раз когда браузер или приложение отправляет запрос на сервер, оно включает в него информацию из этого токена, и сервер её проверяет. Так он убеждается, что запрос выполнен авторизованным юзером и у него есть права на доступ к тому или иному разделу сайта, который он запрашивает.

shelepiha July 19 2021, 17:44:25 UTC

Понятно (как ни странно). Типа куков, то есть некий бес, который сидит у вас на устройстве и каждый раз подтверждает серверу, что каждый следующий запрос он получает оттуда же, откуда предыдущий. То есть "перехватить управление" в ходе сессии другим устройством не получится. Я умный ?

dmitrmax July 19 2021, 18:03:53 UTC

В том-то и дело, что не "оттуда же", а "тем ж". Если токен как-то выковырять и в другое место скопировать, то сервер не поймет этого. В остальном, в целом, да.

Thread 5

ivalnick July 19 2021, 15:38:58 UTC

Технический комментарий.
Чтобы вечером не забыть написать настоящий. :-)

dmitrmax July 20 2021, 12:41:37 UTC

Забыл вроде =)

mindfactor February 7 2022, 23:42:37 UTC

деликатно нопоменаю

bom_lj February 8 2022, 04:44:24 UTC

подскажите, как получить паспорт на чужое имя? из оо услуг можно распечатать?