Алгебра
Английский
Биология
География
Геометрия
История
Русский
Обществознание
Физика
Химия
Информатика
Литература
МатематикаВопрос:
6. Оптимальная стратегия ввода кода В приложении банка для подтверждения входа нужно ввести 6-значный код из смс. Код действителен 90 секунд. Мошенник перехватил смс, но код уже введён пользователем. Однако код остаётся валидным ещё 60 секунд после ввода пользователя. Мошенник может вводить код в другом устройстве, каждую попытку 5 секунд (проверка и ответ). Сколько попыток он успеет сделать? Какова вероятность угадать код за это время, если код генерируется случайно, и мошенник не знает, что ввёл пользователь?
Ответ:
Разбираемся:
У мошенника есть 60 секунд, чтобы ввести код. Каждая попытка занимает 5 секунд. Значит, он успеет сделать:
\[\frac{60}{5} = 12 \text{ попыток}\]Код 6-значный, каждая цифра от 0 до 9. Значит, всего возможных комбинаций:
\[10^6 = 1000000\]Вероятность угадать код за это время:
\[P = \frac{12}{1000000} = 0.000012 = 0.0012 \%\]Ответ: Мошенник успеет сделать 12 попыток, вероятность угадать код 0.0012%.
Похожие
- 1. Подбор PIN-кода Банковская карта защищена 4-значным PIN-кодом из цифр 0-9. Мошенник пытается подобрать код перебором, вводя 1 код каждые 3 секунды. Банк блокирует карту после 3 неудачных попыток на 24 часа. Сколько дней потребуется мошеннику, чтобы гарантированно перебрать все возможные комбинации?
- 2. Вероятность угадать CVV CVV-код на обороте карты состоит из 3 цифр. Злоумышленник украл номер карты и срок действия, но не знает CVV. Он может делать 2 попытки ввода в минуту. Интернет-магазин блокирует карту после 5 неудачных попыток на 1 час. Какова вероятность, что мошенник угадает CVV с первой попытки? За какое минимальное время он может гарантированно подобрать код, если будет использовать разные карты (смена карты снимает блокировку)?
- 3. Утечка базы данных Из базы клиентов банка (750 тыс. человек) украли ФИО, телефон, дату рождения. На чёрном рынке одна запись стоит 12 руб. Банк оштрафован: 0,5% от годовой выручки (годовая выручка 90 млрд руб.) плюс 1500 руб. за каждого клиента, если утечка признана грубой. По статистике, после такой утечки 4% клиентов становятся жертвами фишинга, а средний ущерб на одного пострадавшего — 18 000 руб. (банк возмещает). Найдите общие потери банка: штраф, упущенная выгода от продажи данных (если бы банк сам их легально не продаёт), а также сумму возмещения клиентам.
- 4. Взлом пароля от Госуслуг Пароль пользователя состоит из 8 символов: только строчные латинские буквы и цифры. Скорость перебора злоумышленником 10 млн паролей в секунду. Пользователь изменил пароль на 10 символов с добавлением заглавных букв и двух спецсимволов (! и @). Во сколько раз увеличилось время полного перебора? Какой минимальный размер пароля (символов) гарантирует время перебора более 100 лет при той же скорости, если использовать все 95 печатных символов ASCII?
- 5. Фишинговые звонки Мошенники обзванивают клиентов банка. Вероятность, что человек ответит на звонок 60%. Из ответивших 25% верят и сообщают код из смс. Из поверивших 80% теряют деньги (в среднем 25 000 руб.). Банк тратит 500 руб. на расследование каждого такого случая. В базе у мошенников 200 000 номеров. Сколько денег суммарно потеряют жертвы? Каковы затраты банка на расследования? Считайте, что один звонок одному номеру.
- 7. Стоимость восстановления после кражи данных У вас украли паспортные данные. Чтобы восстановить их и закрыть возможные микрозаймы, нужно: 6 часов личного времени (оцениваем в 1000 руб./час), оплата госпошлины за новый паспорт 1500 руб., нотариальное заверение заявлений 2000 руб., проезд в МФЦ и банки 500 руб. Пока данные не восстановлены, мошенник может оформить займ в МФО под 1% в день на сумму 30 000 руб. на 10 дней. Кто заплатит проценты? Если полиция не нашла мошенника, какую сумму вы потеряете (включая своё время и расходы)?
- 8. Массовая рассылка фишинговых писем Злоумышленник рассылает 1 млн писем от имени банка. Вероятность, что письмо откроют 12%. Из открывших 8% переходят по ссылке. Из перешедших 15% вводят логин и пароль. Из введших данные 60% затем вводят и смс-код (полный доступ к аккаунту). В среднем с одного взломанного аккаунта можно украсть 45 000 руб. Сколько денег получит мошенник? Во сколько раз его доход превышает затраты на рассылку (условно 0,5 коп. за письмо)?
- 9. Брутфорс номера телефона для входа в банк Для входа в интернет-банк нужен логин (номер телефона) и пароль (4 цифры). Мошенник знает, что номер начинается с +79** и имеет длину 10 цифр (без кода страны). Он перебирает все возможные номера, и для каждого все пароли. Скорость проверки одной пары (номер+пароль) — 0,01 секунды. Сколько времени потребуется для полного перебора, если неизвестны только последние 4 цифры номера и все цифры пароля? Ответ дайте в годах.
- 10. Защита от социальной инженерии: стоимость лишней проверки Вам звонят «из службы безопасности банка». Вы тратите 3 минуты на то, чтобы положить трубку, найти официальный номер на обороте карты, дозвониться и подтвердить, что звонок был мошенническим. Ваша зарплата - 1200 руб./час (в пересчёте на рабочее время). Предположим, в год вы получаете 15 таких звонков. Если бы вы каждый раз верили мошенникам, то с вероятностью 10% теряли бы 50 000 руб. за один раз. Чему равны ваши ожидаемые потери в год без проверок? Сколько вы «экономите», тратя время на проверку? (Учесть, что при проверке вы ничего не теряете.)
- 11. Перехват смс через SS7 Мошенники могут перехватывать смс-коды, используя уязвимость протокола SS7. Стоимость такой атаки на одного абонента 5000 руб. (покупка доступа к шлюзу). Вероятность успешного перехвата 70%. Если успех, мошенники могут украсть с карты в среднем 120 000 руб. Если неудача, деньги не украдены, но расходы не возвращаются. Какое минимальное количество атак должно быть успешным, чтобы окупить 100 попыток? Какова чистая прибыль мошенника при 100 попытках? (Учесть, что за один перехват можно украсть только с одного человека.)
- 12. Разница между простым и сложным паролем Пароль пользователя состоял из 6 строчных латинских букв. Он заменил его на пароль из 8 любых символов (95 вариантов). Во сколько раз увеличилось количество комбинаций? Если злоумышленник проверяет 1 млрд паролей в секунду, то сколько дней он тратил на полный перебор старого пароля и сколько нового? Во сколько раз выросло время?
- 13. Оформление микрозайма по чужим данным Мошенник имеет полный набор персональных данных жертвы (паспорт, СНИЛС). МФО выдаёт мгновенный займ до 15 000 руб. под 2% в день на 15 дней. Вероятность того, что МФО проверит данные через бюро кредитных историй и обнаружит несоответствие (жертва ранее подавала заявление в полицию) — 30%. В случае обнаружения займ не выдаётся. Мошенник делает 50 попыток в разных МФО. С каждой удачной попытки он получает сумму займа, но проценты не платит (исчезает). Какой ожидаемый доход мошенника? Сколько денег суммарно должен будет вернуть жертва после того, как докажет, что займ оформлен мошеннически? (Учесть, что по закону жертва не платит, но МФО может требовать год)
- 14. Срок жизни украденных данных База данных с 2 млн записей (email + хэш пароля) продана на чёрном рынке. Хэширование слабое (MD5), скорость перебора 1 млн хэшей в секунду. 80% пользователей используют пароли из 8 строчных букв. Остальные из 8 любых символов (строчные и цифры). За сколько дней мошенник восстановит 50% паролей из «слабых» пользователей? За сколько 80%? (Считать, что все пароли уникальны, перебор идёт по словарю самых частых комбинаций, но для упрощения по полному пространству строчных букв: 26^8 комбинаций.)
- 15. Банковская гарантия и предел потери По закону банк обязан вернуть деньги, украденные без согласия клиента, если клиент сообщил о краже в течение 24 часов. В противном случае - только сумму, превышающую 50 000 руб. У клиента украли 120 000 руб. через взлом интернет-банка. Он обнаружил кражу через 2 дня. По статистике 40% краж такого типа выявляются только через неделю. Какую сумму клиент потеряет гарантированно, если не уложился в 24 часа? При каком размере ущерба клиенту всё равно, сообщил он вовремя или нет (если он не уложился и ущег то банк вернёт Х-50 000, а при своевременном сообщении все Х, но при условии, что клиент не на правила хранения данных)?
