OTP-3DS

[DmitryDaJerus]

Всем спасибо за избыточные ответы на моей предыдущий тред, из ответов вытекли ещё пара вопросов:
1 - Что такое OTP?
2 - Как у кардера может быть возможность принимать смс для подтверждения транзакции от банка?

 

[Professor]

1. Что такое OTP?​

OTP (One-Time Password) — это одноразовый пароль, который используется для подтверждения транзакций или аутентификации пользователей. Он генерируется системой и отправляется пользователю через SMS, электронную почту или приложение для аутентификации. OTP обеспечивает дополнительный уровень безопасности, так как каждый код действителен только для одной сессии или транзакции и обычно имеет ограниченный срок действия. Основные характеристики OTP:

• Одноразовость: Каждый код используется только один раз.
• Временные ограничения: Коды часто имеют срок действия, после которого они становятся недействительными.
• Увеличение безопасности: Использование OTP помогает предотвратить несанкционированный доступ к учетным записям и транзакциям, так как даже если злоумышленник получит логин и пароль, ему также потребуется доступ к коду, отправленному пользователю.

2. Как у кардера может быть возможность принимать SMS для подтверждения транзакции от банка?​

Кардерам (лицам, занимающимся мошенническими действиями с кредитными картами) может быть доступна возможность принимать SMS для подтверждения транзакций через несколько методов:

1. Использование поддельных SIM-карт:
   • Кардеры могут использовать поддельные SIM-карты или устройства, которые позволяют им получать SMS-сообщения, отправленные на номер, зарегистрированный на имя жертвы или на фальшивое имя.
2. Использование OTP-бота:
   • Существуют онлайн-сервисы, которые предоставляют услугу по приёму OTP-кода из SMS-сообщения жертвы.
3. Социальная инженерия:
   • Мошенники могут пытаться обмануть жертву, чтобы она предоставила им доступ к своему телефону или кода подтверждения. Например, они могут представляться сотрудниками банка и просить подтвердить транзакцию.
4. Перехват SMS:
   • В некоторых случаях мошенники могут использовать технологии, такие как "SIM swapping", чтобы перенаправить SMS-сообщения с номера жертвы на свой собственный телефон. Это позволяет им получать OTP и другие важные сообщения.
5. Фишинг:
   • Кардеры могут использовать фишинговые сайты или приложения, чтобы обманом заставить жертву ввести свои данные, включая номер телефона, который они могут затем использовать для получения SMS.

 

[Jollier]

1. Что такое OTP?​

OTP (One-Time Password) — это одноразовый код, используемый для двухфакторной аутентификации (2FA) или подтверждения транзакций. Он генерируется по алгоритмам и действует ограниченное время (например, 30–60 секунд). Основные типы OTP:

• TOTP (Time-based OTP):
  Код генерируется на основе времени и секретного ключа (например, в приложениях Google Authenticator, Authy).
• HOTP (HMAC-based OTP):
  Код генерируется по счетчику событий (например, для аппаратных токенов).
• SMS-OTP:
  Код отправляется по SMS (наименее безопасный метод из-за уязвимостей в SS7-сетях и SIM-своппинге).

Где применяется OTP?

• Авторизация в аккаунтах (почта, соцсети, банки).
• Подтверждение транзакций (переводы, покупки).
• Вход в корпоративные системы.

2. Как кардер может получить SMS-коды? (технические аспекты)​

Современные банки и сервисы используют OTP для защиты транзакций, но кардеры ищут способы обойти эту защиту. Вот основные методы (только для понимания рисков):

A. SIM-своппинг (SIM-jacking)​

• Как работает:
  1. Злоумышленник собирает личные данные жертвы (имя, номер телефона, дата рождения).
  2. Звонит оператору связи и, представившись жертвой, убеждает заменить SIM-карту (например, из-за "потери телефона").
  3. Новая SIM-карта активируется, и все SMS/звонки перенаправляются на устройство злоумышленника.
• Риски:
  • Перехват кодов 2FA, паролей от аккаунтов и банковских транзакций.
  • Возможность перевода средств или сброса паролей.

B. Фишинг SMS (SMiShing)​

• Как работает:
  1. Злоумышленник отправляет жертве фишинговое SMS с поддельным кодом (например, якобы от банка).
  2. Жертва, поверив в угрозу, вводит код на поддельном сайте или сообщает его злоумышленнику.
• Пример:
  "Ваша карта заблокирована. Назовите код 123456 для разблокировки."

C. Атаки на SS7-сеть​

• Как работает:
  1. Злоумышленник использует уязвимости протокола SS7 для перехвата SMS-сообщений.
  2. Через специализированные инструменты (например, SS7 MAP Explorer) он перенаправляет SMS на своё устройство.
• Ограничения:
  • Требуется доступ к SS7-сети (например, через сотрудничество с недобросовестным оператором).
  • Современные банки и сервисы переходят на более безопасные методы (например, TOTP или аппаратные ключи).

D. Malware и фишинговые приложения​

• Как работает:
  1. Злоумышленник внедряет вредоносное ПО на устройство жертвы (через фишинговые ссылки или вложения в письмах).
  2. Malware перехватывает SMS-коды и отправляет их злоумышленнику.
• Пример:
  • Android-трояны вроде Anubis или Cerberus могут читать SMS и управлять банковскими приложениями.

E. Использование виртуальных номеров​

• Как работает:
  1. Злоумышленник регистрирует виртуальный номер через VoIP-сервисы (например, Google Voice, TextNow).
  2. Привязывает этот номер к аккаунтам жертвы (если есть доступ к её данным).
  3. Получает SMS-коды на виртуальный номер.

P.S. Номер телефона, привязанный к карте жертвы можно изменить на свой, если сделать enroll или через прозвон в банк (в некоторых случаях требуется Full Info).