Первые два примера – цитаты. Не помню убирал ли я какие то ругательства, но скорее всего цитаты полностью.
Сегодня — вторая серия!
Месяц назад неизвестные лица получили мою симкарту в „Билайне“ без документов.Пытались вскрыть Яндекс.Кошелек, хакнули все почты, пришлось поменять все банковские карты (Вы представляете, что это такое??)
Компания якобы провела расследование и заявила, что „нарушения устранены, виновные привлечены и это никогда не повторится“. Мне даже зачислили 2000 рублей на счёт в качестве компенсации (!:))
Однако…
Позавчера в 18 часов вечера моя симкарта снова была выдана неизвестным лицам! И сразу были украдены деньги с Яндекса по одноразовому паролю. Проведя вечер субботы в офисе Билайна, и вспомнив всю ненормативную лексику, я заменила симкарту.
Наутро, вчера, в 12 часов дня моя сим-карта СНОВА была выдана посторонним лицам в городе Екатеринбурге!!!
Я снова приехала в офис Билайна за новой симкой.
И… Через 43 минуты (!!) после этого моя карта была вновь выдана в офисе Билайна кому-то, теперь уже в городе Омске!!!
При том, что в системе стоит запрет на выдачу карты во всех офисах страны и мира, кроме одного, и то — с предъявлением паспорта, водительских прав и кодовым словом!
Мне хотелось бы понять — руководство компании „Билайн“ хочет, чтобы я жила у них в офисе?
Это что за беспредел?! За последние сутки они 3 раза выдали мою симкарту мошенникам без документов, без кодового слова, без моего присутствия, в разных городах страны!
Хотя я приезжала в офис, звонили в службу безопасности, писали, бесполезно.
А ни у кого из сотрудников не возник вопрос — зачем абонент меняет симкарту 5 раз в течение суток? Он-идиот? Конечно нет! Потому что сотрудники компании сами завязаны в процессе, поэтому им и не нужен мой паспорт, кодовое слово, запрет системы на выдачу. Ничего не помогает! Чтобы ты не делал, какие бы защиты не ставил — сотрудники „Билайна“ выдают сим-карты своим подельникам. Которые затем получают доступы к электронным кошелькам, почте и банковским эккаунтам.
Похоже, что в „Билайне“ действует большая преступная группировка, операторы системы по всей стране выдают сим-карты по липовым доверенностям мошенникам, те вскрывают кошельки, деньги пилятся. Говорят, что из Билайна недавно уволили девушку, говорят, что сотрудник получал 2% от добытого.
Итого: я провела выходные в офисе Билайна, два дня без телефона, все три почты взломаны — Гугл, Яндекс, Мейл, украдены деньги с кошелька.
Работают виртуозно: пока я вчера мчалась в офис Билайна в 4-й раз менять симкарту, эти люди успели за 20 минут получить на мой номер новые пароли от почт, зайти туда и ввести новые привязанные телефоны, резервные адреса и даже контрольный вопрос поменять в одном случае(!!)
Но на том эпопея не закончилась — к ночи вчера выяснилось, что прежний владелец моего номера обнаружил, что его текущий, уже другой номер, тоже Билайн, не работает. При звонке в компанию он выяснил, что (находясь в Батуми) он произвел замену симкарты вчера днем в… Бинго! — Сибирском регионе Билайна! Тот же сотрудник, что выдал мою карту с разницей в час!
Понимаете ли Вы, друзья мои, что почта каждого из Вас, восстановление ее пароля, привязано к телефону? Что на свой номер Вы получаете пароли от всех Ваших интернет-банков и карт?
Что у каждого из Вас, кто абонент Билайна, могут вот также просто увести телефон, а за ним — почту, кошелек и все остальное?
История номер два случилась с девушкой, по иронии судьбы разместившей историю с Билайном у себя в Facebook (у нее я и прочел первую историю).
Сегодня я решила обогнать время, а точнее воспользовалась метро, чтобы не стоять в пробке. Захожу в сеть, подключаюсь к вай-фаю, проходит секунд 30 как открывается окошко системное, чтобы я ввела пароль к AppleID. Я не ввела. Сразу же повторный запрос. Отклонила… iPhone мой перезагрузился. И высветилась картинка, что мне нужно с кем-то связаться, чтобы узнать как разблокировать.
Все сразу стало на свои места — хакнули Apple ID. Спустя несколько часов я связалась со службой технической поддержки Apple. Оказалось, что действительно взломали. Как — не говорят. Ок. На восстановление ушло около получаса.
Что мне нужно было сделать, чтобы восстановить:
1. Ответить на контрольные вопросы специалиста, предоставить данные
2. Сменить пароль от почты
3. Зайти в настройки почты и в настройках фильтрации выключить фильтр, блокирующий получение писем с iCloud и подобных серверов Apple
Шаг номер три мне дался только через еще несколько часов. Т.к. мобильная версия моего почтового ящика от apple ID такой функционал не предполагала.
Сделала. Восставновила. НО! ВСЕ ДАННЫЕ СНЕСЕНЫ! Мне сообщили, что злоумышленники часто так делают…
Ок. Я расстроилась, но не отчаялась. Решила восстановить по iCloud. НО! ДАННЫЕ iCLOUD тоже СТЁРТЫ.
Ок. Хорошо. Есть же еще iTunes! Я включаю комп. Пошла мыть руки, пока он к инету подключался… Возвращаюсь — комп перезагружен. Требует ввести четыерхзначный пин-код. Я ввела. Не подошел.
Начинаю паниковать.
Звоню снова в Apple. Отдельно скажу, что специалисты русскоязычной службы поддержки работают отлично, записывают все комментарии.
В общем, мне сказали что с мак буком дело сложнее. И мне надо ехать в сервисный центр с чеком, коробкой, за деньги восстанавливать. Позвонила. За час доехала. Мне сделали за !6! минут и 3к руб.
Самый большой был вопрос о том, сохранятся ли данные на нем. Ибо все новые наработки там. МНЕ ПОВЕЗЛО — данные никуда не делись. Некоторым не везет…
ДЛЯ РАЗМЫШЛЕНИЯ/РИТОРИЧЕСКИЕ ВОПРОСЫ:
1. Как-то люди проснифаили (просканировали) пароли от appleID автоматически при логине в сеть.
2. Скорее всего эти люди ехали со мной в одном вагоне. (я пыталась их сразу визуально вычислить — не удалось)
3. В сервисном центре и в колл центре мне сказали НЕ ИСПОЛЬЗОВАТЬ РУССКИЕ ПОЧТОВЫЕ СЕРВИСЫ. Их в основном и взламывают.
4. Поставьте двух-уровневую авторизацию на сайте appleid.apple.com
5. Обязательно сохраняйте резервные копии iCloud, iTunes.
6. Используйте разные пароли от почты и логина iCloud.
7. Скорее всего писать куда-либо заявления и искать виноватых бесполезно.
8. Если вы заплатите деньги злоумышленникам, то они вам не восстановят доступ.
Ну что еще сказать...? Не ездите на метро, будьте людьми, не портите карму. Делитесь инфой!
На счет метро, как позже выяснилось в разговоре, скорее всего ошибка. Ездить можно, и сломали её аккаунт, по всей видимости раньше, а это лишь совпадение.
А вот еще одна, свеженькая, сегодняшняя, в которой уже я принимал участие.
Телефон доступен для входящего звонка. Перезваниваю. Увели скорее всего почту на mail.ru, т.к. пароль к Apple ID был другим и сложным.
Какой был пароль от самой почты не помнит, т.к. ей особо и не пользовался, а сам Apple ID создавался в попыхах при покупке б/у телефона чёрти когда (четвёрка во времена четвёрки) чёрти где (в штатах). Но сам по себе параноик и пароль был тоже не 12345 и далеко не qwerty. Заблокирован макбук (купленный в штатах родствениками) и телефон. Хорошо есть доступ к другому ноуту, через который и осуществлялась связь с внешним миром. С горем пополам я соединил товарища и поддержку Apple (навесным монтажем, микрофон гарнитуры зажат между динамиками гарнитуры второго телефона и обратно также). К слову, apple id не находился с указанием его почты.
В поддержке не удалось авторизоваться по контрольным вопросам (давно было дело), но удалось по привязанной пластиковой карте.
Спрашивают IMEI телефона (если телефон заблокирован, а коробки нет, IMEI доступен на вкладыше с сим-картой. Я не знал), а нам помог еще серийник от заблокированного компьютера.
На всю процедуру общения с поддержкой Apple ушло около 30 минут. После чего они дали возможность восстановить доступ к Apple ID и убрать блокировку телефона. Сразу этого сделать не получилось и на момент написания этих строк телефон всё еще заблокирован по пин коду (это уже другая история к делу не относящаяся). Дело ведь даже не в том, телефон и, скорее всего, iPad можно разблокировать без проблем, восстановив доступ к учётке. Проблемы начинаются на этапе блокировки компьютеров. MacBook Pro (со слов поддержки Apple) нужно нести в сервис центр или Apple Store. На мой вопрос, можно ли снести всё с ноутбука и переустановить – сказали нет. Видимо залочка идет аппаратная.
Есть пруфы у кого-нибудь?
Меня лично в этой ситуации заинтересовало то, что нужно показать чек на технику. Я вот задумался. Моему ноуту 4 года. Чек за это время сойдёт на нет скорее всего, маловероятно, что я его сохранил. А у знакомого ситуация осложняется тем, что ноутбук ему покупали в подарок в штатах, а потом пересылали. Чек ищут, но скорее всего он где то там, а ноут вполне себе тут. Т.е. если вопрос принципиальный — получаем кирпич? Нет, мне нравится эта штука, украл, но продать не продашь, т.к. ноут заблокирован. Жалко только, что чаще слышишь об украденных айфонах, что воры звонят потом, спрашивают пин-код от телефона (если украли физически его) со словами: «Я его всё равно тебе не верну, либо выброшу, либо разблокирую и продам». Нагло, но правдиво.
Так вот, эти три истории побудили меня написать пост вконтакте и facebook, чтоб друзья были предупреждены, в ленте постоянно встречаются владельцы той или иной техники Apple (увы не знаю как дела в этом плане обстоят у Android и Windows Phone), может кто-то и сделает что-то заранее. Прошло пару часов, а я знаю, что так или иначе с проблемой сталкивались и другие мои знакомые.
Друзья, коллеги, включите на минутку параноика.
<ParanoidMode>
Кто этого не сделал раньше. представьте сколько головной боли подобные ситуации, произошедшие у вас в жизни, могут принести вам. Сколько времени и нервов они могут отнять, возможно даже денег. Оно вам надо вообще?
Если вы используете почту много и там нет двухфакторки – откажитесь от этой почты.
Сделайте переадресацию, сборку на другом сервисе. Yandex постоянно пишет о том, что я могу перенести к ним свою почту с Mail.ru, Gmail и т.п.
Включите двухфакторную аутентификацию где это нужно.
Постарайтесь продублировать авторизованные телефонные номера или подключите возможность привязаться не только к ним, чтобы избежать проблем от операторов сотовой связи, если таковые будут. (у меня, для примера, за последние 2 года были переезды между 4 городами и один из номеров МТС из-за непользования в течение полу года – передали другому человеку). Что если вы привязываетесь к какому то сервису, переезжаете, а потом рраз и нет доступа. Подумайте лишний раз об этом.
Да и вообще стоит ли оно того, чтоб не потратить пол часа времени, пройтись по критичным для себя сервисам и усилить или проверить безопасность своих данных? Это прежде всего нужно вам! Поверьте, службе поддержки Apple, Yandex, Mail.ru или любому другому сервису меньше всего хочется знать «Как звали вашу первую учительницу?».
Это ваши данные и мир в котором пароль от почты или SMS'ка могут причинить реальные проблемы.
P.P.S. Сегодня проверял аккаунты, Mail.ru использует sms для двухфакторной, оказалось, что у меня прописан старый номер телефона. Аккаунт Mail.ru не особо то нужен, но всё же определенные ценные данные там есть, параноя победила :)
P.P.P.S. Четверка не восстанавливается, похоже на то, что Apple отключила какой то механизм у себя на серверах и стандартная процедура восстановления, которую выслали сотрудники тех поддержки Apple, не работает. А выслали они следущую статью: https://support.apple.com/ru-ru/ht201263. Что именно явилось причиной проблемы пока не уточнили у поддержки. Надеюсь старые телефоны можно восстановить не смотря ни на что.
</ParanoidMode>
Комментарии (72)
PHmaster
02.10.2015 22:21+6Параноика-то я включил, а как его теперь хотя бы временно отключить обратно? Спать очень хочется =[
AllexIn
02.10.2015 22:58+19Зашел в статью из-за КДПВ с брелком… Надеялся, что в статье прочитаю о повсеместном внедрении таких брелков…
Статью понимаю и разделяю… но… где мой брелок????
MistaTwista
03.10.2015 00:42+3увы, я сейчас сам с брелком на руках, а везде внедряют поддержку Google Authenticator, а он на телефоне. Как раньше прям, драйвера от модема на диске, драйвера от cd-rom в интернете…
questor
03.10.2015 10:45+1Поддерживаю. В чём новизна статьи — не вижу. «Безопасность важна» + кратко описать пару последних примеров + снова напомнить будьте параноиком = PROFIT!!! И минусовать же нельзя — это же тема безопасности, о ней никогда не бывает достаточно бла бла бла. Священная корова, в общем эта ваша тема безопасности.
А то, что пишутся совершенно однотипные статьи, одни и те же однотипные истории — это никого не волнует.
Спасибо автору за то, что убрал примеры под кат — я развернул только первый, глянул первый абзац и понял, что это читал — закрыл. Остальные даже не стал смотреть. Тема брелка не раскрыта.MistaTwista
03.10.2015 11:52+1последний кат вы точно не читали, но в целом он повторяет второй. Дело не в профите. У меня нет самоцели продвижения на хабре, цель лишний раз напомнить и предостеречь людей.
Я вот себя параноиком считал, однако почта яндекса и Mail.ru была без дополнительной защиты. Mail.ru и сейчас, кстати, там тупо не включилась двухфакторка :) поле ввода пароля работает если ввести неверный – ругается. И ничего не делает если ввести верный пароль, хотя я ответ сервера не смотрел, может там понятное.
Статей про то как настроить безопасность много, а действовать начинают обычно живые примеры, которые рядом или с тобой происходят. Все 3 произошли рядом со мной, на расстоянии 1 руки, это и побудило напомнить.
Некоторые мои друзья (далеко не все), прочитавшие эту статью — включили дополнительную аутентификацию, а значит цель моя достигнута.
Keyten
06.10.2015 20:37И, как ни странно, я впервые ощутил в себе параноика. До этого по большей части было всё равно.
Спасибо.
EvilPartisan
11.10.2015 02:25Меня одного мучает паранойя, что вся эта дополнительная аутентификация привязывается к ТЕЛЕФОНУ в том или ином виде(что смс, что аутентификатор)!!! Что может быть менее надежным, чем телефон!?
joann
02.10.2015 23:05-1Хех вот почему я не когда не хотел к номеру привязывать а тока к google authenticator
c0yc
05.10.2015 10:08А что мешает использовать и то и то? Да и google authenticator доступен, если не изменяет память, при привязанном телефоне, на случай если с google authenticator беда (в таком случаи приходит смс на телефон). У меня какой-то глюк уже с пол года, google authenticator не хочет нормально работать, хоть и переустанавливал пару раз, коды левые генерирует, не проходят. Теперь лишь смс работает. С чем может быть проблема не знаю.
grossws
05.10.2015 10:12С синхронизацией времени (неправильное время и/или таймзона на устройстве, с которого генерируете код).
Iceg
02.10.2015 23:34+5P.S. Еще бы все сервисы подтянулись с необходимыми изменениями, а то в банках до сих пор используют «ключевое слово» для общения с сотрудниками колл-центра. И, хорошо если я ошибусь, но ни один банк пока не сделал авторизацию через телефон нормально.
А нормально это как? У сити, например, авторизация через номер карты и специальный телефонный пин, которые набираются после дозвона, — это считается секурным?
И ещё как-то странно видеть призывы включить аутентификацию по телефону после первого описанного случая.AllexIn
02.10.2015 23:53И ещё как-то странно видеть призывы включить аутентификацию по телефону после первого описанного случая.
Где такой призыв?
Вообще, двухфакторная авторизация не обязательно включает в себя телефон. Она включает два любых метода авторизации.
Ну а во вторых смысл двухфакторной авторизации в том, что даже если один из ключей будет скомпрометирован — второй не даст злоумышленнику получить доступ к системе.Iceg
03.10.2015 01:24+3Пока кроме телефона второго фактора я не встречал. Вот это я и посчитал призывом, да.
upd
ну разве что ежеминутный генератор кодов, но это вроде ещё диковинка
saggid
04.10.2015 18:14+1Steam отправляет код на вашу почту при каждой новой авторизации на новом устройстве. Без знания кода войти в аккаунт не получится
MistaTwista
03.10.2015 00:47ни в коем разе к телефону. Это скорее от безысходности, когда больше ничего нет :) нормально это как нибудь не очевидно для окружающих. Я вот думал, что удобно было бы если бы сотруднику банка показывалась часть кодового слова, а приходилось бы называть другую часть. Или показываем рандомных 3 слова, сотрудник их читает, а ты называешь цифрой верное. Ну в таком ключе. Я не специалист по безопасности и не знаю так ли эти варианты надежны, но интуиция подсказывает, что они более безопасны чем стандартный метод.
Alexeyslav
03.10.2015 09:16От подслушивания это все равно не спасёт.
Насколько я слышал, в некоторых банках анализируют еще и голос абонента, знание кодового слова может не помочь. иногда могут спросить не только кодовое слово, а еще что-то из доступной информации — дату рождения и т.п. защита слабая, но и она отсекает некоторый процент не подготовившихся мошенников узнавших только номер карточки и кодовое слово.MistaTwista
03.10.2015 11:55согласен, сталкивался с радномными вопросами из анкеты, но все они вполне предсказуемы и однотипны. В том плане, что если мошенники пользовались этим банком какое то время они с вероятностью 99% будут знать все возможные вопросы оператора. Про голос не знал, интересно как быть с охрипшим голосом или плохой связью.
Alexeyslav
03.10.2015 12:37Все звонки записываются, если мошенники часто пользуются одним и тем же банком, их легко вычислить.
KorDen32
03.10.2015 22:17habrahabr.ru/company/croc/blog/184980
От себя добавлю, что если раньше мне требовалось много информации при звонке в банк называть для действий со счетом, сейчас часто спрашивают по минимуму, для аналогичных операций…
Klaster
04.10.2015 06:29Видимо вас там уже знают? Меня вообще не спрашивают, а сразу обращаются по имени.
MistaTwista
04.10.2015 13:27Вероятно «аутентификация» происходит по телефону. Интересно на сколько подробно можно узнать информацию о счете без вопросов :)
Alexeyslav
05.10.2015 10:36Скорей определяют по голосу, на мониторе у них высвечивается «98% совпадение» и подтягивается сразу весь необходимый профиль.
Небось, у них даже особенности телефонного тракта учитываются и они смогут определить смену телефона даже по искажению голоса.
HomoLuden
05.10.2015 10:17+3— Назовите, пожалуйста, кодовое слово: на «ЛЯ» начинается, на «ГУШКА» заканчивается…
— «ТРАКТОР»
— Ответ верный, ждите соединения.
chieftain_yu
05.10.2015 10:30Таким образом, вероятность злоумышленника узнать ключевое слово с одного раза — 1/3.
Вероятность группы злоумышленников угадать кодовое слово с трех звонков (с перерывами, в разные дни) — около единицы.
Либо надо уведомлять пользователя о том, что его кодовое слово пытались назвать — каждый раз, независимо от успешности.
Anisotropic
03.10.2015 00:36+3>В общем, мне сказали что с мак буком дело сложнее. И мне надо ехать в сервисный центр с чеком, коробкой, за деньги восстанавливать. Позвонила. За час доехала. Мне сделали за !6! минут и 3к руб.
Вот это больше всего доставило. Корпорация добра, однако.ZloyHobbit
06.10.2015 07:30+1Меня вообще крайне удивило, что имеется принципиальная возможность взломав телефон что-то сделать с ноутбуком. Я сам никакими огрызками не пользуюсь, но примерно представляю, что в случае взлома моего смартфона и получения полного к нему доступа, худшее что я потеряю это историю почты и аккаунт вконтакте. (Причем с большой вероятностью и то и другое смогу восстановить).
isden
06.10.2015 11:23Для этого нужно:
1. Явно включить функцию Find My Mac в настройках ноута.
2. Иметь доступ в аккаунт icloud.
А вообще штука, КМК, достаточно полезная, особенно в сочетании с шифрованием диска.
tyderh
03.10.2015 03:08+1Вообще, есть обидная ситуация: Яндекс для включения двухфакторной аунтификации… требует привязать ящик к номеру телефона.
realscorp
03.10.2015 07:59+6Так и не увидел в статье дельных советов — как защититься от перевыпуска сим-карты.
В наших реалиях множество важных сервисов используют двухфакторную аутентификацию в качестве однофакторной — привязка к номеру телефона самый яркий пример.
Тут можно параноика хоть включить, хоть выключить, хоть за соски к автомобильному аккумулятору подцепить — толку ноль. Сама система такая.FaNtAsY
03.10.2015 08:28+1как защититься от перевыпуска сим-карты
К сожалению, никак. Это уровень компании — провайдера. Если их сотрудник скомпрометирован, и при этом в компании не внедрена система защиты от перевыпуска, вероятность угона есть.
Не так давно читал на Хабре о системе перевыпуска карты в зарубежных компаниях. Там на телефон, почту приходит код, который нужно сообщить сотруднику. Без этого кода замена карты невозможна.Klaster
03.10.2015 13:10+1Я не указал почту, а сим утеряна(собственно поэтому я и обратился за заменой), куда придет код? В статье было написано как раз, что возможно и без кода. Надо просто подождать 40минут.
FaNtAsY
03.10.2015 15:47Подождать 40 минут не имеет смысла, к сожалению. Т. к. основной смысл защиты от перевыпуска — второй фактор аутентификации через почту или номер.
Klaster
03.10.2015 18:40+4Мысль не в этом таки была. Здесь не техническая проблема, проблема опсоса, в том, что ему наплевать. Если в банке разгребают моментально каждый случай и отрубают руки по самую майку, то случаев когда сотрудник присвоил деньги — по пальцам пересчитать. И не надо никаких технических мер. В статье один и тот же абонент бьется головой об стену а его симку все время выдают левым кадрам, билайн просто плевать хотел на проблемы безопасности. Не поднялось никакой тревоги, случай произошел — реакции не последовало.
FaNtAsY
05.10.2015 10:42Думаю, проблема и в том, и в другом. Если было бы не наплевать, было бы техническое решение. Как в том же банке, где сотрудник просто не может присвоить себе счёт клиента.
Klaster
05.10.2015 14:18Сотрудник владеет всеми данными, включаю статистику(как часто используется счет, где когда и тд) что бы вывести деньги так что бы было незаметно и что бы не подумали на него. Но каждый случай разбирается досканально и при любых подозрениях можно вкиснуть очень некисло, не дай бог рецедив, тогда вплоть до уголовки с моментальным отстранением до выяснения. Там реально жестко все а технические возможности есть без этого просто никак. У меня там знакомая работает. Не так давно был случай, пришел один чел с чужим паспортом, снял деньги, то ли похож, то ли фотку вклеил, не помню подробностей. Потом приходит владелец и спрашивает где деньги? Влип сотр, на деньги, премию. что то еще. С ним руководитель отделения и его зам, те просто влипли на премию(которая у них бОльшая часть зп) и еще от руководства выхватили.
c0yc
05.10.2015 10:35Так, к слову. Пару лет назад померла симка Пчёлайна. Пришел к ним в офисе, в руках симка. Говорю не работает, замените пожалуйста. Паспорт в руках, закрыт. Спрашивают номер, спрашивают пару последних номеров куда я звонил — выдают симку. Паспорт не смотрят. В итоге, имея доступ к личному кабинету и имея детализацию по звонкам — иди и забирай симку. Не знаю, практика у них такая или что. С женой (еще до свадьбы) помню ездили симку ее восстанавливать лет 5 назад. Только симка была на отца ее зарегистрирована. Паспорт конечно посмотрели, фамилии вроде схожи, симку дали.
grossws
05.10.2015 10:53Видел противоположный случай. Перерегистрация симки с оригинального владельца (умерший близкий родственник) на нового. Одинаковая фамилия, наличие работающей старой симки на руках, паспорта и копии свидетельства о смерти — недостаточно (нужен оригинал). Тоже пчелайн.
Так что раз на раз не приходится.Alexeyslav
05.10.2015 13:55+3Похоже на архитектурный косяк… система открытая донельзя — делай что хочешь и от злоупотребления останавливает только люди на местах.
Ну тобишь функциональность выдачи новой карты доступна независимо от запретов и защит, а все эти запреты — всего лишь дополнительные строки в профиле абонента, может даже красные. Или большая зеленая кнопка «абонент предоставил паспорт», разблокирующая нужную функцию.
webkumo
03.10.2015 10:00Более-менее адекватные банки в управляющих смс-ках проверяют айди симки. При смене айди (симки) — операции блокируются пока доступ новой симке не разрешат (по телефону/лично в офисе).
MistaTwista
03.10.2015 11:57а можно, хотябы в личку, названий адекватных банков с такой проверкой? пруфы врядли где-то есть видимо?
webkumo
03.10.2015 12:17Ваша статья далеко не первая на хабре, касающаяся проблемы увода симок — в предыдущих статьях отписывались люди, которые указывали на конкретные банки, которые блокировали операции по смс при смене симки. Так же видел комментарии от служащих банков, которые указывали на этот функционал в их банках. Вообще самый простой способ узнать — спросить у представителей конкретного банка. Если они не знают, что это такое, и не могут ни у кого узнать — значит функционал не поддерживается.
MistaTwista
03.10.2015 12:22Кто бы сомневался, что она первая :) спасибо, посмотрю и своим задам вопрос.
KorDen32
03.10.2015 22:25Слышал про некоторые из таких банков, что блокировка не мгновенная, ID по всей видимости кэшируется (т.е. проверяется не каждый запрос), поэтому если подгадать время (был запрос от вас, через пять минут перевыпустили симку и сделали запрос с новой) — можно успеть получить SMS на новую симку до блокировки… Либо сами операторы передают с задержкой…
ccosta
03.10.2015 19:33Могу сказать про банк Тинькова: год назад после восстановления симки в офисе оператора надо было заново привязывать через оператора банка.
Vedga
03.10.2015 18:42Перевыпуск симки — это для девочек на рецепшен. Технари просто отловят смс на заданный номер (или отправят его с этого номера). Или сделают звонок с номера жертвы. Или перехватят такой звонок. А вот найти такую утечку и ее авторов будет на-амного сложнее…
Roquie
04.10.2015 11:01Купить около метро/оформить на себя еще одну симкарту другого провайдера, вставить её в телефон за 500 руб. и на особо важных сервисах использовать этот номер для аутентификации. Уж лучше так, чем завязывать всё на одном телефоне.
chieftain_yu
05.10.2015 10:34+4И не забывать о периодической активности этого телефона чтобы номер не вернулся в свободный доступ.
И отслеживать автоназначение левых услуг, выдаивающих баланс.
И так далее, и тому подобное.
vlivyur
06.10.2015 14:10Давно такая мысль посещает. Воткнуть её в старый телефон, подрубить к домашнему компу, ну и софтово реализовать пересылку необходимых смс, там же можно реализовать периодическую активность, чтоб не сдох номер. Сейчас правда мысль уже крутится не подрубать к компу, а на смартфоне чтоб работало, без участия компа.
alff31
03.10.2015 10:04+1В сбербанке самое дно, злобная двухфакторная аутентификация на сайте (на вход и далее на любой чих пароль на телефон приходит). Хотя https и у меня сложный цифробуквенный пароль. Зато имея телефон/симку можно легко увести деньги на чужой счет, отправив смску на номер 900. Подтвержение операции приходит опять в виде смски на тот же телфон. Пользуюсь, но опасненько. Как это исправить, я не знаю.
TheRaven
05.10.2015 11:38Именно по этому их следует посылать скорым поездом в лес с предложением подключить мобильный банк. Они еще такие удивленные глаза делают, когда говоришь что это небезопасно.
evocatus
03.10.2015 10:37+2Вы тут пишите как легко взламывают телефоны. Тогда какой смысл привязывать почтовые ящики к телефону, если это даёт полный доступ к аккаунту?
MistaTwista
03.10.2015 12:20+3Как и написали выше я нигде не пишу про то, что НУЖНО привязывать к телефону, двухфакторная ? sms, она может быть через ключ One Time Password (OTP) аппаратный или в виде приложения. Печаль в том, что по всей видимости нужно носить при этом 2 телефона. 1 обычный, а второй с ключами, чтоб если основной заблокируется/украдется – воспользоваться вторым было возможно, а вот аппаратные не понятно где использовать и как.
Вот есть у меня OTP устройство, генерирует пароли, но это банковская игрушка, остальные ее не особо то и поддерживают. Яндекс позволяет включить генератор только через свое приложение Яндекс.Ключи, если я правильно помню.
Google Authenticator к ним привязать не удалось.
Альфабанк позволяет использовать подобное приложение, но платно. Получается уже 3 разных приложения.
Причем Google Authenticator открывается без пароля, не знаю как у Альфы дела обстоят с этим.
У гугла мне политика меньше нравится чем у Яндекса, я не нашел способ дополнительной защиты (про iOS речь) приложения почты, Inbox или тот же GA. Они просто открываются и работают. Большая часть людей использует 4х значный пин-код устройства (причем далеко не все отличаются фантазией), который можно подсмотреть и получить доступ к почте и критичным данным.
Да что говорить, постоянно вижу людей в магазине, которые расплачиваясь картой совершенно открыто вводят пин-код.
Мне там выше задавали вопрос, зачем я это пишу? Еще один жизненный пример. Краем уха услышал разговор. Из сумки вытащили документы, теперь ношу с собой только копии, потому что замучалась восстанавливать. Люди шевелятся только ПОСЛЕ события.
Я из города Сочи, там есть ОПГ – цигане. Я их в лица уже знаю почти всех и вижу как их дети вырастают и приходят на помощь родителям. Они работают по одной схеме уже много лет, практически в одних и тех же местах, пытаясь скрыться более современной атрибутикой, но их всё равно видно, по взгляду, по стилю, по поведению. Пользуются глупостью и не внимательностью людей. Последнее время они на столько борзо себя вели, что приходилось людям (потенциальным жертвам) показывать, что они сами подставляются. Да и от себя отгонял их неоднократно. Но задумываться сами люди начнут, скорее всего, ПОСЛЕ потери чего то ценного. Такие «цигане» есть в любом курортном городе, местные люди обычно стараются предупредить. В барселоне мне официант как то сказал: «Не держи фотик на столе и телефон спрячь, пробегают и забирают». Это ведь просто, но не всегда очевидно. Курорт дополнительно расслабляет людей. А сколько можно потратить нервов?Alexey2005
04.10.2015 00:16-3Нужно самому воспользоваться упомянутым «сервисом» Билайна, привязав все ящики к левой симке, зарегистрированной на какого-нибудь бомжа. Тогда у мошенников возникнут сложности с определением имён почтовых ящиков и аккаунтов соцсетей. Угнав симку, мошенники будут пытаться зайти на FB Ивана Ивановича Бомжикова, тогда как у него и компьютера-то нет…
sim-dev
03.10.2015 14:49+5Жалко, что никто так и не подумал о главном: проблема не в том, параноик вы или нет, проблема не в том, сильный у вас пароль или слабый… Проблема в том, что вы доверяете свои данные «облаку» — неизвестно кому неизвестно почему, хотя в пользовательском соглашении всегда написано, что это облако не отвечает за сохранность ваших данных.
И пока вы будете доверять интернету вообще, проблема будет. Чем больше технологий, завязанных на интернет будет внедряться, тем страшнее будут последствия в случае утечки пароля, ID или еще чего-то подобного.
Человечество построило огромную гильотину и положило голову в нее, при этом постоянно и непрерывно смазывает стопорный механизм — что в конце концов человечество ждет?! Рано или поздно механизм сработает.
Эмбрион скайнета уже шевелеится в матке глобальной сети.
a696385
03.10.2015 14:55Вот еще одна история от меня самого, благополучно угнали машину на следующую ночь после окончания КАСКО, следов разбитых стекол нет, как будто открыли с ключа. Далее, через 3 дня, звонок на мой номер телефона с предложением выкупить. Узнали где живу, номер телефона, время окончания страховки. Со страховыми компаниями тоже не все так гладко.
alexpp
03.10.2015 20:57Недавно то ли в ЖЖ, то ли где-то еще читал аналогичную историю про Билайн. В системе стояла отметка — не менять симку по доверенностям, менять в строго определенном офисе при предъявлении определенного списка документов.
И что вы думаете? Билайн менял симки где угодно, не руководствуясь пометками в системе. Тот самый человеческий фактор, когда рядовому сотруднику плевать на них, т.к. он не несет за нарушение никакой ответственности.
После той истории оператор тоже выдал некую сумму в виде компенсации.
halyavin
04.10.2015 10:38Злоумышленники уже научились уводить и двух-факторную аутентификацию через фишинг: London Calling: Two-Factor Authentication Phishing From Iran. На сколько я знаю, от такого защищают только U2F ключи.
MistaTwista
04.10.2015 13:47Человеческий фактор и невнимательность, судя по скринам.
Если не паниковать во время получения подобных сообщений, можно реагировать адекватно, обращая внимание на детали: доменные имена, SSL ключи (их наличие и путь до сертификационных центров), номера телефонов и email адреса.
Иначе говоря этот взлом мало чем отличается от sms типа: «Ваш сын попал в полицию, нужно 100500 рублей перевести на телефон такой-то», это сработает на людях либо не имеющих ценных данных, либо потерявших страх.
Страх будет приобретен обратно, как я и писал выше, только ПОСЛЕ потери. И внимание вернется и параноик включится.
Часто взлом и расчитан на простака.
Linux-ботнет — открытый ssh для root и слабый пароль. Сломанный WiFi — слабенький ключик. Сайт на Wordpress стандартный адрес админки и перебор логина admin (хотя по вторичным факторам найти действующих пользователей может быть проще). Это всё нацеленно на массовость. Понятно, если возьмутся целенаправленно мало кто выстоит, но на массовости можно проскочить незамеченным. Пока ты незаметный :)
Внутренний контроллируемый параноик это ведь хорошо, научиться с ним жить можно, зато он лишний раз маякнет если чего его смущает. Проще называть это интуицией, тогда не так болезненно звучит.
Я не параноик. Я человек с развитой интуицией.
darii
05.10.2015 11:47А где на сегодняшний день U2F работает кроме сервисов гугла?
halyavin
05.10.2015 11:51+1На GitHub'e: GitHub supports Universal 2nd Factor authentication.
grossws
06.10.2015 17:34Ещё бы Амазон подключился к этой инициативе…
Кстати, yubico пока продаёт ключи со скидкой в 20% для тех, кто подтвердит, что он с github'а. Из интересный у них yubikey neo (со встроенной смарткартой, поддерживающей стандарт openpgp).
devbutch
04.10.2015 14:12+1Ещё года 3-4 назад, я бережно делал бэки (и не по одной штуке) на всё что можно и пользовался простым телефоном. И почти не замечал никаких неудобств. Сменив телефон на смартфон и ощутив всю прелесть «вливания» в него различной информации (некоторые пароли, которые не успел ещё запомнить; номера карт знакомых, которым иногда необходимо перевести деньги; наброски мелодий или слов к песням; списки дел; фоты, которые всегда синхронятся методом «потом»; и самое главное — привязка множества сервисов к номеру телефона) я почти забыл свою бэк-привычку. И с кайфом от удобства использования, повился страх (наверное это подходящее слово) — ведь пробожив телефон, ты теряешь сразу столько накопленной для себя инфы, плюс сливаешь инфу по знакомым (аля переписки, фоты итд) и плюс открываешь гору возможностей для того, чтобы обобрать себя до нитки. Вспоминается история Кирка Хэмметта. Человек столько трудов потерял вместе с телефоном.
Как итог несколько правил:
1. Делать регулярно бэки.
2. Поставить пароль на тел. (Даже если его хакнут — то это отнимет какое-то время, за которое можно успеть заанлочить тел)
3. Ознакомится и «опрактиковться» с этим.
4. Не тратить время на заявления в полицию — сколько знаю случаев, заниматься им не будут. Биллинг дорогостоящая операция — никто не будет делать запрос для вашего телефона. Нормальные сотрудники сразу скажут, что это практисечки бесперспективно, а ненормальные — заведут дело, не будут им заниматься, но зато будут несколько раз в течении полу года дергать «типа» на доследствие. А по факту просто поддерживать дело в «рабочем» состоянии, для видимости того, что им всё-таки занимаются.
Odinokij_Kot
07.10.2015 19:13+1Лок на маке лежит в биосе. По этому сливаем прошивку из флешки, редактируем область найденную по сигнатуре и заливаем обратно.
Самолично так отвязал порядка пяти маков от блокировки.
Что удивило, после разлочки девайс можно с лёгкостью привязать к другому аккаунту не отвязывая от исходного. С первоначального аккаунта девайс пропадает. Идентификация маков в облаке проходит по какому-то идентификатору ( возможно маку сетевой, или uuid какой), думал, что при первом выходе в инет девайс опять заблочится и придётся перешивать ещё и идентификатор. Но оказалось ему на предыдущие локи фиолетово, при условии, что изначальнальная операционка снесена и переустановлена. Если биос разлочить и грузануть старую операционку, она помнит про лок и опять лочит биос.
По этому вынимаем диск или флеш из мака, снимаем лок, сливаем на другом устройстве данные с диска/флеша, потом затираем всё на нём. Дальше всё грузим с установочной флешки, восстанавливаем раздел восстановления и саму операционку.
Как делают в офф сервисе — не знаю.
seokirill
Сжечь офис Билайна