Летом 2017 года я писал об общей ненадежности телефонной аутентификации (на английском языке). Конечно, с тех пор были внесены некоторые улучшения в варианты двухфакторной аутентификации для популярных сервисов, но SMS остается одним из наиболее часто используемых каналов. Но не просто канал. Во многих случаях доступ к учетным записям можно получить с помощью SMS.
Конечно, лучший способ предотвратить это — не использовать SMS в качестве канала для сброса пароля или двухфакторной аутентификации и перейти на TOTP. Однако в отсутствие этой функции процесс перевыпуска SIM-карты можно немного усложнить, явно запретив операции через прокси-серверы. Такая возможность есть у всех распространенных операторов и называется «запрет действий прокси» или «запрет прокси-сервисов». Но, конечно, не стоит ожидать, что запрет будет работать. Владельцы салонов связи зачастую плохо подготовлены к этому.
Комментарии RSS OK по электронной почте
После этой статьи я тоже поставил такой же запрет на Теле 2. Однако, есть еще Зубельбанк. У них сегодня была утечка. В общем, крупные IT-компании в замешательстве. Например, два года назад я сменил адрес проживания, и «Зубельбанк» снова вытащил мою карту. Там был новый адрес, все было хорошо, но когда я попытался открыть вклад, старый адрес был удален. Вот и все, это шторы. Провайдер Wi-Fi звонит мне каждые два-три месяца по поводу телевизора, и каждый раз я говорю им, что не смотрю телевизор в доме. Очень трудно поставить галочку. Клиенты подвергаются преследованиям. Не звоните Нет, они продолжают звонить. Возможно у оператора ситуация еще хуже.
Это не только крупные компании, которые нарушены. Относительная дезорганизация происходит повсеместно. Внутренние процессы и системы редко оттачиваются до совершенства. Это очень дорого, и часто нет понимания, что не вылизывать их может быть еще дороже.
На самом деле операторов следует штрафовать, если они без предупреждения перепродают номера, которые не используются в течение некоторого времени. В результате все зарезервированные услуги должны быть немедленно переподключены на другой номер, что является нонсенсом. А к некоторым услугам можно обращаться долгое время. Например, я не ходил на госуслуги около года, но у меня был старый телефон, с которого мне пришлось звонить в госуслуги, чтобы получить новый номер. Так что да, я забыл о том, что государственные услуги подключаются к старым номерам. И именно на них хранятся ВУ, паспорта и все остальные документы. Но жаль, что TOTP сейчас очень редок и в основном только SMS. Аутентификатор очень полезен. Жаль, что его недооценивают.
BrusSENS , я так подсел на яндекс.деньги. Мою симку перевыпустили с мегафоном, а потом замучился заполнять и отправлять анкету нотариусу, доказывая яндексу, что я не дурак. С тех пор я не имею дела с овощами.
В начале 2010-х годов я работал разработчиком банковского ПО в крупной компании, чье ПО использовали многие банки. Я был свидетелем случаев санкционированного «захвата» банками-клиентами местных компаний. Люди приходили в отдел мобильных телефонов в торговом центре и говорили, что их SIM-карты не работают, что они не могут принимать звонки и т. д. Они показывали доверенность, которая выглядела так, будто была напечатана на фирменном бланке, но на самом деле имела незаверенную печать. А это был конец апреля, и в мае все должны были уйти в отпуск. Как правило, когда бухгалтерша возвращалась из избы после отпуска, ее ждал неприятный сюрприз. Конечно, дети их быстро нашли, но нервы просили людей
Вообще регистрация по доверенности это своего рода вандализм. Почему он не может связаться с владельцем и спросить ?
У меня номер с договором, чтобы его ‘украсть’ нужно принести паспорт и только потом что-то решать. Вот как это работает в Украине, но в России может быть иначе
Как украсть номер
Здесь нет пиратства, и вам сразу сообщат, что при смене SIM-карты номер был полностью украден. На самом деле, конечно, это не угон. Потому что вы можете вернуть свой номер. Но когда вы дочитаете этот раздел до конца, вы поймете, почему я называю эти действия именно так. Чтобы заменить SIM-карту и на время вернуть свой номер, злоумышленник должен либо прийти с вами в офис оператора, либо получить от вас доверенность. Разумеется, ни того, ни другого в распоряжении захватчика нет, поэтому он создает подставного адвоката. Остается вопрос, как он это сделает. Для таких подделок, где у захватчиков есть ваши паспортные данные и т.д., подойдет нотариус. Поверьте, создать такую доверенность в современных условиях — не самая сложная задача, а узнать ваши паспортные данные при необходимости будет еще проще. Создав доверенность, захватчик приходит в офис оператора и подходит к закрытию офиса. На самом деле, это логично. Ближе к закрытию консультанты устают, не имеют особого желания изучать документы и, самое главное, не могут получить новую SIM-карту до следующего утра. Таким образом, за ночь злоумышленник будет иметь тесную связь с вашим мобильным номером. Вот и все. Новая SIM-карта выдана, SIM-карта мобильного телефона заблокирована, а номер временно находится в руках злоумышленника. А дальше начинается веселье!
Да, вы наверняка заметите, что ваш номер не работает, а если вы, например, абонент МТС, то вам пришлют SMS о замене SIM-карты и позвонят в контактный центр, уделив вам несколько минут, но, конечно, вы не успеете это сделать. В общем, в любом случае вернуть свой номер вы сможете только на следующий день после того, как злоумышленник уже сделает все, кроме выброса SIM-карты. Да, злоумышленник явится в офис учреждения-держателя. Там, как правило, будет проведена видеосъемка, да, он предъявит паспорт, но, как правило, в этом случае они будут пьяны или бомжевать. Это будет сложно, а если и найдете, то у них ничего нет. Это связано с тем, что сразу после получения SIM-карты она выдаст вашего захватчика. Как правило, мы не идем в полицию и не думаем про себя, что будет дальше.
Что мы делаем.
На самом деле защититься от этого нового вида мошенничества очень просто, стоит только сообщить оператору, что мы запрещаем действие нашего номера через прокси. Тогда злоумышленник не сможет заменить SIM-карту на поддельную или даже фальшивую. Предъявив свой паспорт, только вы сможете совершать любые действия со своим номером. А теперь поговорим о том, как можно запретить любые действия с доверенностью на ваш номер.
После этого вы не сможете получить новую SIM-карту и опустошить свою банковскую карту. Будьте бдительны!
Как защититься от мошенничества с перевыпуском SIM-карты
Клиенты могут подключить свой мобильный банк, чтобы получать SMS-оповещения обо всех действиях, совершенных в Интернете и по банковской карте. Для этого им необходимо подключить свой номер телефона к счету. С одной стороны, этот процесс значительно упрощает нашу жизнь. С другой стороны, он открывает более широкие горизонты для мошенничества.
На черном рынке в Интернете можно найти и купить у пользователей самую разную информацию — от недвижимости до паспортных данных и номеров телефонов. С помощью этой информации и фиктивных доверенностей мошенники могут обращаться, например, в удаленные салоны связи в разных районах и перевыпускать SIM-карту жертвы. Предлогом для обращения может быть что угодно — от виртуальной потери телефона до повреждения на нем SIM-карты. После перевыпуска SIM-карты одноразовый код мобильного банка отправляется уже не жертве, а банку. Как только банк подтвердит, что уникальный идентификатор SIM-карты (IMSI) изменился, он заблокирует транзакцию до тех пор, пока SIM-карта не будет перевыпущена. Чтобы снять блокировку, злоумышленникам необходимо получить кодовое слово, известное только владельцу карты. Для этого они могут прибегнуть к телефонному мошенничеству — вишингу: злоумышленник, используя телефонную связь, определенную роль (например, сотрудника банка), под различными предлогами выведывает у держателя карты конфиденциальную информацию или побуждает его выполнить какое-либо действие с его счетом или с его (картой). Если этот этап успешно завершен, преступник может потратить деньги жертвы.
SIM-карты по-прежнему остаются одним из самых уязвимых мест в защите персональных данных; клонирование SIM-карты может обеспечить широкий доступ практически к любому сервису, мессенджеру, услуге мобильного банкинга и т. д. Помимо охоты на знаменитостей в социальных сетях с целью дальнейшей рассылки писем страха, в последнее время преступники в киберпространстве часто используют копии SIM-карт для доступа к онлайн-банкам и кражи денег. Рекомендуется проводить профилактику. Рекомендуется написать заявление о запрете в офис телекоммуникаций на перевыпуск SIM-карт без возможности оформления доверенности. Заказать версию можно только в конкретном отделении оператора мобильной связи и только непосредственно из вашими руками. Никому не говорите CVV, кодовое слово или код из SMS — даже по телефону или в разговоре с «сотрудником банка». Обратите внимание на SMS: оно может содержать информацию о том, что SIM-карта была перевыпущена, или о попытках получить доступ к электронному банкингу — в этом случае следует обратиться к оператору мобильной связи и в банк».
К сожалению, у пользователей нет возможности перевыпускать SIM-карты через совместные ставки с представителями мобильной связи. Однако мы постараемся дать несколько рекомендаций о том, как обезопасить себя, если вы осознаете эту опасность. В конце концов, почему сим-карты «воруют»? В большинстве случаев это делается для получения доступа ко второму фактору авторизации личности в платежном приложении. В связи с этим мы советуем пользователям следующее Во-первых, большинство банков позволяют пользователю выбрать не SMS, а push-уведомление, которое отправляется по зашифрованному каналу связи. Таким образом, пользователь подстраховывается тем, что в случае «пиратства» SIM-карты он получает второй фактор аутентификации. Во-вторых, для банковских целей можно создать отдельную SIM-карту. Она может использоваться только для этих целей. Даниил Чернов, руководитель направления Solar Appscrener компании «Ростелком», отметил. Солнечный.
Роскачество совместно с экспертами в области киберпространства подготовило несколько важных правил, которым нужно следовать, чтобы не стать жертвой мошенников.
Пресс-служба «МегаФона» заявляет. Блокируйте SMS-сообщения в течение 24 часов после замены SIM-карты. Даже если мошеннику удастся перевыпустить SIM-карту, он не получит одноразовый код для подтверждения банковской операции. Этого времени достаточно, чтобы абонент понял, что возникла проблема со связью, связался с оператором и отменил замену бредовой SIM-карты. Банкам предлагается специальный продукт, позволяющий получать реальную информацию об обмене SIM-карты, чтобы пресечь аферу и защитить своих клиентов от мошенничества.
В пресс-службе Сбербанка подчеркнули, что самая надежная защита для клиентов — это информированность, бдительность и внимательность. Клиентам рекомендуется незамедлительно направлять информацию в свой банк при подозрении на мошенничество. На странице своего сайта банк разместил правила кибербезопасности.
Между тем, в среду сайт сетевого СМИ «Банк Сегодня» пострадал от нарушения авторских прав при перевыпуске SIM-карт. Завладев номером телефона, мошенники получили доступ к электронной почте владельца. Мошенники быстро сменили пароль от электронной почты и изменили номер подключенного мобильного телефона. После этого сайт был «легко взломан».
Этот вид мошенничества не совсем новый и, в отличие от фишинга и телефонного мошенничества, не так широко распространен. Они требуют большей подготовки, чем мошенники. Они часто сочетают переоформление SIM-карт с фишингом или телефонным мошенничеством, чтобы получить недостающую информацию от своих жертв. Следуйте советам Роскачества, чтобы минимизировать возможный ущерб», — резюмирует Илья Лоевский, заместитель руководителя Роскачества.
Как защитить свою SIM-карту от перевыпуска с поддельным юристом
Здесь мы наткнулись на обсуждение, в котором сим-карта была перевыпущена на подставного юриста где-то в деревне в Москве. Затем деньги были выведены с Киви-кошелька после получения кода подтверждения транзакции.
Чтобы избежать подобных случаев, хочу сообщить вам о своем личном опыте: 1. в «Билайне» вы получаете универсальный пароль — без него перевыпустить карту невозможно. 2. на Мегафоне можно установить запреты на прокси и пароли на услуги.
Насчет МТС не знаю, так как не пользуюсь, и опыта с ним нет — хотелось бы узнать, можно ли установить пароль на МТС.
Fixin пишет: Мегафон позволяет устанавливать запреты на прокси и сервисные пароли. ———
Подскажите пожалуйста как это делается . Если просто подойти к стенду Мегафона, то не думаю, что они о таком слышали. Где об этом написано на Мегафоне?
Я поступил иначе. В офисе «Билайн» в ответ на мою просьбу в комментарии о номере написал: «Не заменяйте SIM-карту на запасную!» и написал комментарий о номере. Теперь каждый раз, когда я открываю свой номер на компьютере «Билайн», сотрудник видит эту надпись. Я считаю, что благодаря этой надписи сотрудник понимает, что если он заменит ее, то совпадение гарантировано.
fixin пишет: Вы можете получить универсальный пароль от Билайн ———-
Как вы это сделали? Можете дать совет? :shuffle:
BonusMan пишет: Я не уверен, что я сделал по-другому. Я сделал кое-что по-другому. В офисе Билайн в ответ на мою просьбу в комментариях к номеру я написал «Не заменяйте сим-карту на прокси» в комментариях к номеру. Теперь каждый раз, когда я открываю свой номер на компьютере «Билайн», сотрудник видит эту надпись. Я считаю, что благодаря этой надписи судья понимает, что подмена номера гарантированно приведет к срыву матча. ———-
(Нотариальная доверенность «сильнее» этой надписи), т.е. даже если такая надпись является официальным запретом, владелец нотариальной доверенности имеет полное право снять такой запрет:)
Дама пишет: Как вы это сделали? Посоветуйте пожалуйста, очень хочется узнать как вы это сделали. ———-
У Билайна есть опция — запретить прокси http://moskva. beeline. ru/customers/help/safe-beeline/ugrozy-mobilenykh-moshennikov/zapret-deystvyi-po. -doverenosti/. Это лучше, чем брать с собой доверенность:)
fixin пишет: Не знаю, как это работает в МТС, я им не пользуюсь ———-
В МТС есть кодовые слова, но они вообще не работают. Кодовые слова хранятся в базе данных в открытом виде, поэтому уборщицы и другие рядовые сотрудники без проблем их находят. Пароли менее защищены. Кроме того, у каждого Opso есть несколько реселлеров и субселлеров. Как они получают доступ, хранят и обрабатывают эту информацию? А вы знаете? Я не знаю, но могу предположить).
BonusMan пишет: В ответ на мой запрос в офисе Билайн прокомментировали номер: «Пожалуйста, не заменяйте SIM-карту на прокси!». Я написал на. ———-
А в гостиной или программе агента такого положения может и не быть. В этом случае вам придется идти во все салоны и просить их сделать такой же комментарий. Это не решение проблемы.
mike2710 пишет: Логично, что эти цифры не должны быть «уточнены». ———-
У мошенников могут быть свои люди, имеющие доступ к деталям. Банковские SMS могут негативно влиять на SIM, так почему бы не восстановить такую хорошую SIM?
Если Opsos будет выпускать SIM-карты с электронной подписью, подобных глупостей станет меньше. Пока что они только говорят об этом. Также, если эта ЭЦП будет использоваться для подписания транзакций в системе платформы, это было бы здорово.
Fixin Write: 2. Мегафон позволяет запретить прокси и сервисные пароли. ———
В каком районе? В офисе Мегафона в Санкт-Петербурге мне сказали, что перевыпуск сим-карт физическим лицам с доверенностью возможен не только для организаций.
Fixin пишет: В МТС, не знаю, ———
В МТС есть «Не действует прокси». Связано с «личным кабинетом». Действует с февраля 2014 года (вроде).
Liss41 пишет: У МТС есть услуга ‘запрет запрета’. Она подключена к ‘личному кабинету’. С февраля 2014 года (вроде) ———.
Мой знакомый подключил эту ‘услугу’. Недавно он захотел поменять свою сим-карту на микро сим, поэтому пошел в ближайший киоск МТС, имея при себе только водительское удостоверение. Девушка с радостью поменяла симку. Вы можете сами поискать цену на водительские права на свободном рынке. Думаю, копия диплома не помешает:-)
dima_ekb писал(а): Лицензия была только одна. Они с девушкой поменяли симку. ———
Fixin пишет: Как защитить свою сим-карту от перевыпуска фальшивым юристом: ——————————
Правильный ответ — это не способ. Тот, кто занимается этим вопросом, поймет, о чем я. Единственной защитой в настоящее время является использование IMSI проверенного банка.
Есть очень хорошее решение для решения суда от 12 сентября 2014 года по старым МТС и человеку, лишившему 500 000 человек.
liss41 пишет: Человеческий фактор. ———
А если деньги украдены, насколько это поможет?
Миша Японец пишет: «Единственная защита — использовать IMSI-банк. В настоящее время единственной защитой является использование IMSI-банка. ———
Насколько я понимаю, защита IMSI работает только один раз. Мы не знаем, как она работает. Провайдер просто дает сигнал банку сменить SIM-карту? Тогда общий номер сгниет.
dima_ekb писал(а): Лицензия была только одна. Они с девушкой поменяли симку. ———
Мой друг работал в парикмахерской, и его начальник попросил его восстановить SIM-карту «для хороших парней». Он отказался, сказав, что достаточно быть умным.
dima_ekb пишет: Я понятия не имею, как это работает: должен ли опсос сам сигнализировать банку о смене SIM-карты? ———-
Вероятно, через HLR-запрос http://smsc. ru/testhlr/. Почему иногда это работает с перебоями? (Не удивлюсь, если это связано с человеческим фактором).
Должен ли опсос сам сообщить в банк о смене сим-карты ———-
Естественно. А как может быть иначе? У меня этот вариант сработал «с точностью до наоборот». Карту не меняли вообще, но банк потребовал от меня заново идентифицировать себя.
dima_ekb пишет: Возможно, опсос сам должен сигнализировать банку о смене сим-карты? ———-
Тинькофф_Кредитные системы, 1 янв 2014, 13:54
Что касается ситуации со ссылкой, то такая схема не будет работать в нашем банке, где действует верификация IMSI. Чуть ниже мы приводим справочную информацию о том, что это за зверь и с чем его едят.
IMSI (International Mobile Subscriber Identity) — это международный идентификатор мобильного абонента, обычно состоящий из 15 цифр.
IMSI хранится на SIM-карте, и мобильное устройство отправляет IMSI при регистрации в сети. IMSI связывается с номером мобильного телефона контакта, когда банк отправляет сообщение об активации карты и получении временного пароля для входа в интернет-банк.
При замене SIM-карты (без изменения номера телефона) IMSI меняется, но не привязывается автоматически к банковской системе. Это означает, что если злоумышленник, знающий номер мобильного телефона клиента, попытается получить код входа и пароль/подтверждение транзакции, банк проверит IMSI перед отправкой сообщения, и если совпадения не будет, сообщение не будет получено. Сообщение не отправляется и приходит следующее SMS.
‘В целях безопасности при замене SIM-карты была заблокирована передача пароля на ваш мобильный телефон. Для разблокировки, пожалуйста, позвоните в свой банк. ТКС Банк (ЗАО)’ ———-