23.10.2021 18:21
mrzerg 157 68000 Источник

Несколько месяцев я изучал тему интернет мошенничества с целью собрать наиболее полный список действий, которые обезопасили бы меня от жуликов и их махинаций. Итогом изучения стал чек-лист, которым хочу поделиться со всеми. Его цель - сделать взлом цифровых активов сложным и бессмысленным.

Предлагаю читателю выполнить как можно больше пунктов данного чек-листа, а лучше все, потому что они работают в совокупности. Должен сказать, что это будет сопряжено с некоторыми неудобствами при использовании смартфона. Но тут каждый выбирает: удобство или безопасность. К неудобствам быстро привыкаешь и они перестают быть таковыми, а на счёт безопасности - взлом аккаунтов может стоить больших денег, времени и нервов.

Для удобства пункты отсортированы по важности и разбиты на блоки: Обязательные, Важные и Желательные. Также есть список Правила цифровой гигиены и Что делать в экстренной ситуации. Как выполнить то или иное действие можно легко найти в интернете, поэтому в целях наглядности привожу сами действия и короткие пояснения. В заключительной части статьи приведу несколько реальных примеров.

Я постарался собрать наиболее полную коллекцию, однако если у вас есть что добавить, - напишите в комментариях.

Превентивные меры

Обязательные

Действие

Пояснение

1

Установить пин код на сим-карту

в случае утери/кражи смартфона жулик не сможет быстро воспользоваться вашим номером, вы выиграете время

2

Установить кодовое слово в офисе вашего моб.оператора

чтобы моб.оператор идентифицировал вас на горячей линии не по одним паспортным данным

3

Оформить в офисе моб.оператора запрет на действия с доверенностью

чтобы жулики не смогли сделать дубликат сим-карты по поддельной доверенности

4

Оформить запрет на регистрацию сделок с недвижимостью без личного присутствия

чтобы исключить продажу квартиры по поддельной доверенности или поддельной ЭЦП

5

Настроить оповещение о выпуске ЭЦП в личном кабинете госуслуг

если мошенники выпустят от вашего имени поддельную ЭЦП, вы об этом узнаете сразу

6

Настроить двухфакторную аутентификацию на сайтах госуслуг, налоговой, mos.ru, росреестра

мошенники не смогут залогиниться даже если узнают пароль

7

Установить определитель номера на смартфон

чтобы заранее знать когда звонят мошенники

8

Установить антивирус на смартфон

защита от троянов, шпионов и другого вредоносного ПО

9

Регулярно обновляйте ПО на вашем смартфоне, включая обновления безопасности

защита от актуальных способов атак и закрытие уязвимостей

10

На разные сайты и приложения придумайте разные пароли или пользуйтесь менеджером паролей

если пароль от госуслуг совпадает с паролем на простой форум, то взломав этот форум хакер получит пароль к госуслугам

11

Настроить оповещение о каждом логине на сайт госуслуг

если мошенники получат доступ к вашему аккаунту, вы об этом сразу узнаете

12

Установить суточные лимиты трат и переводов по банковской карте

мошенники не смогут вывести больше этой суммы. Повысить лимит им будет сложнее

13

Оформить в вашем банке получение подтверждений банковских операций через push, а не через sms

sms ненадёжный протокол, он подвержен прослушке и атакам

14

Оформить запрет услуги “Мобильный перевод” в офисе моб.оператора

в случае компрометации сим-карты, с неё не выведут деньги

15

Настройте смартфон скрывать тексты уведомлений на заблокированном экране

в случае кражи телефона мошенники не смогут прочитать банковские коды на заблокированном экране

Важные

16

В аккаунте Google (Apple) указать номер запасного телефона и запасную почту

в случае компрометации аккаунта это понадобится для восстановления доступа

17

Установите автоблокировку экрана смартфона не более чем 30 сек

если телефон украдут, он успеет заблокироваться

18

Не используйте разблокировку по лицу

19

Запомните кодовые слова и контрольные вопросы для всех банков в которых обслуживаетесь

чтобы в экстренных ситуациях, не теряя времени, подтвердить вашу личность в call центре

20

Выучите наизусть номера близких

чтобы в экстренных ситуациях позвонить близким не со своего номера

21

Подключите оповещения о запросах вашей кредитной истории

вы будете сразу уведомлены о любых намерениях оформить на вас кредит

22

Привязанный к банковскому аккаунту телефон держите всегда при себе

в случае выпуска мошенником дубликата сим-карты, вы об этом сразу узнаете. Почему нельзя держать отдельную симку для банковских операций

23

Отключите автосохранение паролей на смартфоне и компьютере

иначе в случае кражи телефона вор сможет увидеть все сохраненные пароли, в т.ч. те которые сохранили с компьютера

24

Установить лимиты на автопополнение баланса сим-карты

в случае компрометации сим-карты мошенники не выведут все деньги с банковской карты

25

Запишите номера горячих линий банков и сотового оператора на основной и запасной телефоны

чтобы в экстренных ситуациях вы могли быстро найти и позвонить на горячую линию

26

Отключите автополучение MMS на вашем устройстве

есть старая уязвимость позволяющая загружать вирусы на устройство через MMS

27

Лишите прав на просмотр sms и звонков те приложения, которым это не нужно

троян может быть встроен в безобидное приложение, у которого есть права к sms

27.1

Проведите ревизию расширений в вашем браузере, неиспользуемые расширения удалите

мошенники выкупают старые расширения и заливают вредоносный код в качестве апдейтов

27.2

Проведите ревизию приложений на смартфоне, неиспользуемое и старое удалите

мошенники выкупают старые приложения и заливают вредоносный код в качестве апдейтов

28

Настройте push уведомления о письмах с эл.почты

чтобы не пропустить важное уведомление с государственного или банковского сервиса

29

Пометить как НЕ спам номера телефонов моб.оператора и банков, которыми вы пользуетесь

чтобы не пропускать смс касательно безопасности

30

Установите антивирус на домашний компьютер

защитита от вирусов, троянов, шпионов

31

Устанавливайте самые последние обновления вашей операционной системы и приложений, включая обновления безопасности

это позволит закрыть обнаруженные уязвимости, защититься от атак и последних версий вирусов

32

Отключить возможность удаленного соединения с вашим компьютером: запретить удаленный рабочий стол, закрыть внешние порты

один из распространенных методов взлома заключается в переборе открытых портов у потенциальных жертв и простые пароли на Удаленный рабочий стол

33

Обслуживайтесь в банке через call центр которого нельзя изменить номер привязанного телефона

мошенники разными способами получают персональные данные и могут привязывать свой телефон к аккаунту жертвы

34

Установите отпечаток или пароль при бесконтактной оплате смартфоном (либо отключите её)

если мобильник украдут, воры не смогут им платить

Желательные

35

Носите с собой запасной телефон с рабочей сим-картой

чтобы быстро заблокировать основной телефон в случае его утери или кражи

36

Установите на смартфоне пин-код на просмотр файлов, фоток и открытие мессенджеров

в случае кражи телефона ваши файлы, контакты и переписка не попадут мошенникам

37

Если это возможно запретите удалённое восстановление доступа по дистанционным каналам

если вы всё же забыли пароль от какого-либо аккаунта - создайте новый

38

Оформите в ФНС запрет на регистрацию юр.лица с использованием ЭЦП

чтобы исключить регистрацию ИП или ООО на ваше имя по поддельной ЭЦП

39

Если это возможно оформите запрет на смс банк

sms ненадежный протокол

Правила цифровой гигиены

40

При подозрительном или тревожном звонке от кого-угодно сразу же положить трубку. Не берите трубку пока сами не разберетесь в ситуации. Перезванивайте только на официальные номера

защита от телефонных мошенников

41

Не платите вперёд, откажитесь от предоплат в любых сделках и ситуациях если фирма или человек для вас малоизвестны

защита от онлайн и офлайн мошенников

42

Не давайте ксерить или фоткать свой паспорт нигде кроме как в отделениях банков и гос.структур. Не отсылайте сканы документов по эл.почте

уменьшаем вероятность утечки персональных данных. Если настаивают на снятии копии, носите с собой свою копию, в которой замазана часть информации. Если копирования никак не избежать, хотя бы не давайте ксерить все страницы. Как оформляют карты по скану паспорта

43

Не оставляйте в залог загран.паспорт с биометрическим чипом

тот, у кого в руках есть биометрический загран.паспорт, может открыть ИП. Такая услуга есть как минимум у зелёного банка

44

Перед оплатой в интернете внимательно проверяйте домен

чтобы не попасться на фишинг

45

Проверяйте реквизиты перевода непосредственно перед платежом

46

Не держите большие суммы на карте которой расплачиваетесь в магазинах и интернете

в худшем случае мошенники смогут украсть лишь небольшую сумму

47

Прикрывайте ладонью терминал когда вводите пин код

защита от кражи данных карты

48

Не светить CVV2 (не переворачивать лишний раз карту обратной стороной)

защита от кражи данных карты

49

Внимательно давайте разрешения приложениям на sms и прием звонков

защита от шпионских программ, которые крадут данные

50

Не давайте доступ к записной книжке мессенджерам и банковским приложениям

таким образом вы сообщите внешнему миру меньше информации о себе

51

Проверьте администраторов устройства в настройках смартфона

там должны быть только проверенные приложения, которым эти права действительно необходимы

52

Установите пароль на загрузку устройства если такой имеется в моделе вашего смартфона

дополнительный фактор защиты

53

Оформите eSim если модель смартфона и оператор связи это позволяют

eSim удобнее и надежнее обычной сим карты

54

Не торопитесь переходить по ссылкам, где требуется ввод личных данных. Если перешли - проверьте что сайт настоящий

одна из основных угроз, которые продолжают работать по сей день, это фишинговые ресурсы. Мошенники могут украсть персональные данные, узнать ответы на контрольные вопросы, подкинуть вам вирус

55

Не сохраняйте данные своей карты в ненадёжных сервисах или приложениях

их могут взломать и украсть данные всех банковских карт этого сервиса

56

Будьте внимательны на сайтах с пиратским контентом

можно наткнуться на вредоносное ПО, например на шпионские программы, которые крадут пароли

57

Не запускайте на своем компьютере крякнутые программы и генераторы ключей. Если нужно воспользоваться крякнутым ПО, запускайте его на виртуалке

вирусы встраивают в пиратские программы и генераторы ключей

58

Не устанавливать потенциально опасные приложения: неофициальная качалка музыки, пиратский контент и пр.

они могут содержать трояны

59

При открытии любого файла, который вам прислали даже знакомые люди, будьте внимательны. Самый распространенный способ заражения компьютера - жертва сама запустила вредоносный файл

вредонос может содержаться в файле любого формата, может быть зашифрован для обхода антивирусов. Ваши знакомые могут не знать что отправляемый ими файл содержит вредонос

60

Файлы, которые вы получили по эл.почте, через мессенджеры или скачали сами из интернета, проверяйте на virustotal.com

фишинговое письмо ничем не отличается от обычного, это одна из основных схем заражения вредоносами. Лучше перестрахуйтесь. Для удобства установите расширение

61

За границей снимать деньги с карты только в отделениях банков

защита от скимминга

62

За границей старайтесь расплачиваться только наличкой

защита от скимминга

63

Не давать никому в руки банковскую карту. Все операции должны проходить в вашем присутствии

защита от кражи данных карты

64

Не логиньтесь в свои аккаунты с чужих устройств

на этих устройствах может быть троян или шпион

65

Не храните на компьютере очень важные файлы

если придётся форматировать комп из-за вируса-шифровальщика, данные будет невозможно вернуть. Лучше хранить на съёмных носителях

66

Не храните на смартфоне важные или секретные файлы и переписку. Будьте морально готовы что телефон может попасть в чужие руки

чтобы исключить утечку персональных данных и личной переписки. Сделайте так чтобы ваш телефон можно было дать любому человеку без каких-либо рисков

67

Не подключаться к бесплатным вай-фай

исключить атаки на вас через незащищённые сети

68

Устанавливайте приложения только из Google Play/App Store и с хорошим рейтингом

защита от вирусов и троянов

69

По возможности не пользуйтесь банкоматами в нелюдных местах

защита от скимминга

70

Крупные суммы держать в банке к которому не подключено дистанционное управление

исключить вероятность дистанционной кражи

71

Не храните сканы документов в облачных провайдерах

уменьшить вероятность их утечки, например при краже телефона

72

Не устанавливайте root права на смартфон

в случае попадания трояна, он сможет делать всё что угодно на вашем устройстве

73

Потренируйтесь в блокировке вашего устройства с телефона близкого человека

тренировка в случае кражи вашего устройства

74

Не давать в руки телефон малознакомым людям

защита от кражи данных и от установки вредоносных программ

75

Пользуйтесь проверенными крупными операторами связи

уменьшить вероятность взлома

76

Сделать аккаунты вк и фб невидимым никому кроме друзей

общедоступные фото выкачиваются из соцсетей и хранятся на левых серверах, которыми пользуются мошенники. Удалить свои фото с таких серверов невозможно

77

В профилях соцсетей сообщайте минимум информации о себе, фото на аватарке сделайте в полный рост, на удалении (или удалите), замените фамилию на никнейм

мошенники пользуются поиском по фото, по номеру телефона, по фамилии и имени. Таким образом они собирают информацию и продумывают варианты атак

78

Иметь дома наличку

на случай если придется заблокировать карты и счета, защищая их от мошенников

79

Периодически меняйте: кодовые слова, ответы на контрольные вопросы, пароли от личных кабинетов

персональные данные могут утекать даже из банков, мошенники могут устраиваться в call центры банков, поэтому хорошей практикой будет периодическая смена сенситивной информации, пример 

80

Периодически проверяйте информацию на сайтах Госуслуг и Налоговой: выданные вам ЭЦП, участие в организациях, сведения о вашем имуществе, уведомления росреестра, ФССП. В настройках почты проверяйте что отсутствует переадресация на левые ящики, а также подозрительные сессии и привязанные устройства

в случае уведомлений о действиях, которые вы не совершали, надо быстро предпринимать действия. Проверить не зарегистрировано ли на вас юр.лицо можно в лк налоговой или здесь

81

Периодически меняйте свой гражданский паспорт

если относиться к паспорту как к ключу ко всем вашим данным и паролю для идентификации вашей личности, то профилактическая замена паспорта раз в несколько лет вреда точно не нанесёт. А может оказаться даже полезной. Однако этот пункт признаю необязательным к выполнению

Что делать в экстренной ситуации

Если украли телефон

82

С запасного телефона залогиньтесь в свой google/apple аккаунт и пометьте телефон как украденный. Или сделайте erase device

если запасного телефона нет, то  проделайте это с телефона близкого/друга который находится рядом. Если вы один, переходите сразу к следующему пункту

83

Заблокируйте сим-карту по горячей линии мобильного оператора

попросите прохожего, таксиста, охранника, полицейского дать вам телефон. Если людей нет, доберитесь до ближайшего салона связи

84

Звоните на горячие линии банков, в которых обслуживаетесь, блокируйте все банковские карты и счета

действуйте быстро

85

Заблокируйте все важные аккаунты (эл.почта, госуслуги, налоговая, росреестр, финансы, соц.сети, эл.документооборот)

86

Сообщите близким и друзьям что ваш телефон украли, а также сделайте пост в соцсетях

чтобы мошенники не звонили от вашего имени друзьям и не занимались шантажом. Тут пригодятся заученные номера близких

87

Написать заявление в полицию

возможно с номера будут делать противоправные действия, у вас будет доказательство что вы к ним не имеете отношения

88

Выйти из всех мессенджеров на этом устройстве

чтобы вору не досталась переписка

89

Отвязать это устройство из аккаунта google, мессенджеров, госуслуг, финансовых приложений, соц.сетей

чтобы вор не мог делать свои дела в ваших аккаунтах

90

Поменять пароли от важных аккаунтов: эл.почта, госуслуги, налоговая, банковские аккаунты, соц.сети

с ноутбука или домашнего ПК, когда уже будет выпущен дубликат сим-карты

Если на вас оформили поддельную ЭЦП

91

Позвонить в УЦ и аннулировать сертификат

сертификат должен быть аннулирован удостоверяющим центром, который его выпустил

92

Заблокировать ЭЦП на госуслугах

стоит понимать что блокировка в личном кабинете госуслуг не аннулирует сертификат

93

Написать заявление в полицию

Если на ваше имя незаконно открыли ИП

94

Написать заявление в полицию, как можно скорее

95

Написать возражение в ФНС о незаконной регистрации ИП, как можно скорее

96

Обратитесь к адвокату

Если пришло смс о действиях которые вы не совершали

97

Убедиться что это реальное смс и оно пришло с настоящего номера банка или платёжной системы

это значит что вашей картой пользуется злоумышленник

98

Заблокировать все карты и счета в этом банке

успеть пока жулики не вывели все деньги

99

Позвонить в банк, сообщить о попытке взлома, следовать указаниям банка

Если сим карта внезапно отключилась

100

Позвонить моб.оператору и выяснить причины отключения

101

Если причина это мошенники - заблокировать банковские карты и счета до разрешения ситуации

Если потеряли паспорт

102

Напишите заявление в полицию, получите талон-уведомление

Если на вас незаконно оформили микрозайм

103

Напишите заявление о мошеннических действиях в организацию, выдавшую микрозайм

Помните, что большое количество денег не доходят до жуликов, а оседают в банках

104

Напишите жалобу в интернет-приемную Банка России

105

Получите от кредитора копии поддельного договора о кредите и копию паспорта, на который он был выдан

106

Напишите заявление в полицию, приложите копии документов о поддельном кредите

Если был несанкционированный вход в почтовый аккаунт

107

Вернуть доступ к аккаунту и поменять пароль

108

Заблокировать все важные аккаунты (госуслуги, налоговая, росреестр, финансы, соц.сети, эл.документооборот)

109

Поменять пароли на всех важных аккаунтах

110

Удалить подозрительную сессию, отвязать подозрительные устройства

111

Открыть настройки аккаунта и убедиться что мошенник не настроил переадресацию писем на свой ящик

112

Проверить все важные аккаунты на предмет действий которые вы не совершали

не оформлена ЭЦП, не оформлено ИП, не взяты кредиты, нет участия в левых ООО, не поданы заявления на гос.услугах, не подписаны документы в системе ЭДО

Если взломали аккаунт на гос.услугах

113

Заблокировать все важные аккаунты (налоговая, росреестр, финансы, соц.сети, эл.документооборот)

114

Позвонить по телефону горячей линии гос.услуг и следовать указаниям оператора

Примеры

  1. Украли телефон, получили доступ к эл.почте и личному кабинету моб.оператора, изменили кодовое слово в банке, вывели деньги с кредитки. Можно было предотвратить, выполнив пункты: 1, 2, 17, 35, 82-90. Полное описание в статье.

  2. Жулики изготовили фэйковую базовую станцию сотовой связи. Пострадавший совершил звонок из зоны действия этой станции, после чего данные о сим карте попали в руки мошенников. Затем они изготовили клон сим карты и, пользуясь услугой “Мобильные платежи”, украли деньги со счета. Никаких смс или звонков при этом не было, пострадавший случайно заметил что денег на счёте сильно убавилось. Можно было предотвратить, выполнив пункты: 14, 24. Полное описание в статье.

  3. Жулики взломали эл.почту жертвы на яндексе и привязали к аккаунту его же карту. Далее несколькими платежами вывели небольшую сумму. Можно было предотвратить, выполнив пункты: 97, 98, 99. Полное описание в статье.

  4. Классическая схема телефонного развода со службой безопасности банка, прокурором и Центробанком. Жулики хорошо подготовились к атаке, в диалогах использовали фото родственников, запугивали. В итоге девушка под диктовку оформляла кредиты и переводила деньги на “защищенные” счета. Ущерб 700к. Можно было предотвратить, выполнив пункты: 7, 13, 40. Полное описание в статье.

  5. У пострадавшей на устройстве был троян. Звонок от “службы безопасности”, длительное общение с мошенниками, женщина сообщила что пришло смс с кодом, но код не называла. В итоге жулики привязали свой номер телефона и перевели на свой мастер-счет 230к. Можно было предотвратить, выполнив пункты: 7, 8, 40. Полное описание в статье.

  6. Звонок из “службы безопасности”, длительный разговор, мошенники просили открывать приложение Альфа банка и спрашивали пришло ли смс. В итоге код из смс пострадавшая не назвала, но деньги со счёта были украдены. Вероятнее всего на устройстве был троян или шпион, который отсылал смс на сервер мошенников. Можно было предотвратить, выполнив пункты: 7, 13, 40. Полное описание в статье.

  7. Жулики каким-то образом узнали кодовое слово и ответы на контрольные вопросы. Далее привязали свой номер телефона к  банковскому аккаунту жертвы и опустошили карту, загнав ее в овердрафт. Карту без подключенного овердрафта загнать в овердрафт сложно, но можно. Подобная атака предотвращается, выполнением пунктов: 33, 79, 97, 98, 99. Полное описание в статье.

  8. Жулики каким-то образом узнали кодовое слово и ответы на контрольные вопросы жертвы, привязали свой номер к его банковскому аккаунту, оформили кредитную карту и вывели с неё 93 000 руб. Можно было предотвратить, выполнив пункты: 7, 21, 33, 40, 79. Полное описание в статье.

Заключение

Многие думают что никогда не попадутся на уловки мошенников, что уловки уже устарели и их легко раскусить. Но спешу огорчить - это не так. Для начала, само понятие “мошенники” очень обобщённое. Существует довольно много сортов, вот некоторые из них: 

  • кардеры (используют ворованные данные банковских карт), 

  • скиммеры (воруют данные банковских карт), 

  • хакеры (взламывают аккаунты, воруют данные, придумывают новые схемы, шпионаж), 

  • телефонные разводилы (социальная инженерия, шантаж), 

  • оффлайн мошенники (аферы вне интернета, воровство телефонов, данных банковских карт, персональных данных),

  • вирусописатели (создание и распростронение вредоносных программ),

  • изготовители поддельных документов и сканов (снабжают теневой рынок липовыми документами)

Каждая из этих групп специализируется на разных способах мошенничества и атак. Они общаются в даркнете, пользуются услугами друг друга, обмениваются информацией и образуют целую так называемую теневую экономику. Мошенники не глупые и не безграмотные люди, накопили много знаний о своём “ремесле”, постоянно обмениваются информацией, совершенствуют навыки, ищут лазейки, плодятся и размножаются. Они  будут придумывать новые неочевидные схемы. Однако движений от государства или банков по защите населения в этом направлении как-то не особо наблюдается, не смотря на то что СОБР периодически приходит в гости к мошенникам. Хотя есть довольно простое решение против мошеннических call центров. В интернете продолжают появляться статьи о кражах с банковских карт и телефонных разводах, а также выходит неутешительная статистика о том, какой ущерб был нанесен цифровыми мошенниками. Но банкам выгодно делать сервисы удобными, т.к. это увеличивает прибыль, а эти удобства не всегда связаны с безопасностью. Поэтому в ближайшее время надеяться лучше только на себя, быть готовым и уметь защититься от атак.

Я клоню к тому что 100% защиты от мошенников к сожалению нет. Попасться может каждый. Но можно минимизировать риски, а ещё лучше сыграть на опережение и сделать возможные атаки невыгодными и сложными. Важно выполнить как можно больше пунктов из чек-листа чтобы обеспечить максимальный уровень защиты, который работает в комплексе. Я буду рад если данная статья предотвратит хотя бы одно мошенничество!

Литература, полезные ссылки

Комментарии (157)


  1. gleb_l
    23.10.2021 18:56
    #23622754

    n+1. Проверять мыло и пароли на сайтах типа haveIbeenpwned?


    1. DasEzh
      24.10.2021 16:45
      #23625266
      +8

      Баян, но всеже:

      Однажды к гуру прищел ученик и сказал:

      - Учитель, посмотри какой я придумал сложный пароль, никто не сможет его подобрать!

      - этот пароль плохой.

      - но почему?

      - Потому что он есть в интернете.

      Через какоето время ученик опять приходит и шговорит:

      -Теперь мой пароль точно хороший я проверил его нет в интернете.

      - теперь есть; Отвечает учитель.


      1. SpyzeR
        24.10.2021 19:24
        #23625686
        -1

        Зря вы так - совет дельный. Просто скачайте базу хешей и проверяйте локально.


        1. DasEzh
          24.10.2021 21:10
          #23625968

          Вот скачать локально базу действительно дельный совет. Потому как появление фейковыйх сайтов типа haveIbeenpwned, которые буду в выдаче выше оргинала, ИМХО,дело времени.При условии что подобные улуги будут востребваны в будущем.


          1. toxicdream
            25.10.2021 16:22
            #23628906

            Так там же логин/почта проверяется.

            Или что-то уже изменилось?


            1. DasEzh
              25.10.2021 17:21
              #23629100

              Ну вобщем да, только мыло, но вообще отличная идея собирать актуальные емейлы, люди сами несут их тебе. :)


              1. tmin10
                25.10.2021 18:08
                #23629220

                Для недоверчевых — выкачать базу урезанных хешей и проверить локально.


                1. 0xC0CAC01A
                  25.10.2021 22:41
                  #23630152

                  А зачем выкачивать, нельзя проверить наличие хеша в базе онлайн?


                  1. tmin10
                    26.10.2021 11:22
                    #23631308

                    Чтобы совсем никакой информации не отдавать вовне)


    1. ABOMETP
      30.10.2021 11:51
      #23647904

      такого рода сервисы имхо сами собирают инфу от желающих проверить, и пополняют базу реальных адресов


  1. WildLynxDev
    23.10.2021 19:21
    #23622812
    +3

    Что лучше для безопасности:

    Госуслуги: быть зарегистрированным или нет?

    Госуслуги: выпустить ЭЦП самому или нет?

    Налоговая: быть зарегистрированным или нет?

    Налоговая: выпустить ЭЦП самому или нет?

    Налоговая: Какие заявления (желательно со ссылкой на форму и номер) желательно им написать что бы заблокировать все действия с ЭЦП? Вообще все действия которые могут применить мошенники кроме "Явился лично с паспортом"?

    Как делается пункт 4?


    1. edogs
      24.10.2021 11:14
      #23624354
      +1

      Госуслуги и налоговая — лучше быть зарегистрированным и выпустить эцп, т.к. регистрация для мошенника не сложнее взлома, а так по крайней мере будет шанс увидеть что что-то происходит.


    1. Savevur
      24.10.2021 12:52
      #23624622

      Госуслуги: выпустить ЭЦП самому или нет?

      Налоговая: выпустить ЭЦП самому или нет?

      А там есть такая возможность?

      Налоговая: Какие заявления (желательно со ссылкой на форму и номер) желательно им написать что бы заблокировать все действия с ЭЦП? Вообще все действия которые могут применить мошенники кроме "Явился лично с паспортом"?

      А там есть такая возможность?

      Как делается пункт 4?

      Объяснят в МФЦ. Ходил туда раз пять, то у них не, то пропало, то потерялось, а вот в базе отметка есть. Дурдом.


      1. x86d0cent
        24.10.2021 19:56
        #23625772

        А там есть такая возможность?

        Есть конечно - без ЭЦП даже 3-НДФЛ (например, для получения налогового вычета) на сайте налоговой не подать.

        А вот где "Настроить оповещение о выпуске ЭЦП в личном кабинете госуслуг" - не нашел.


        1. Savevur
          24.10.2021 20:25
          #23625844

          Вы уже про следствие. Есть ЭЦП можете то-то и то-то.

          Вроде автор вопроса хотел узнать можно ли на сайте Госуслуг или налоговой оформить саму подпись? По-моему нельзя.

          А вот где "Настроить оповещение о выпуске ЭЦП в личном кабинете госуслуг" - не нашел.

          В данный момент нет единой базы подписей, чтобы оттуда Госуслуги подтягивали наличие. А подписи оформляют десятки шарашкиных контор. Гражданин в полном неведении.


          1. x86d0cent
            24.10.2021 21:09
            #23625966
            +1

            Я и про возможность выпуска ЭЦП и про следствие. Может быть я не очень ясно выразился, но на сайте налоговой ЭЦП сделать можно, и после этого появляются те самые возможности по отправке деклараций. На сайте госуслуг может и нельзя - не знаю.


            1. Savevur
              24.10.2021 21:32
              #23626014

              Без посещения налоговой? Не знал.

              А можно там же удалить существующую и сделать новую? Если можно, тогда смысла нет делать обычному гражданину, чтобы прикрыться от мошенников.


              1. x86d0cent
                24.10.2021 23:59
                #23626340
                +1

                Да, без посещения. Я слышал, что для этого должна быть какая-то "проверенная" запись на госуслугах и, соответственно, не у всех такая возможность есть.

                Отозвать сертификат подписи можно, новую сделать тоже можно.

                Но насколько эту ЭЦП можно использовать для мошеннических действий - сказать не берусь, она вроде бы только для отправки в налоговую документов, не связанных с предпринимательской деятельностью: 3-НДФЛ отправить, распорядиться переплатой, сообщить о наличии имущества... Ну т.е. создать проблем кому-то, наверное, можно, подав от его имени некорректную декларацию или соощить об имуществе, которого нет. Но как злоумышленник может с этого получить выгоду - не совсем понятно.


        1. mrzerg Автор
          29.10.2021 20:04
          #23645998

          "Настроить оповещение о выпуске ЭЦП в личном кабинете госуслуг"

          хм, что-то тоже не нашёл. Проследите чтобы стояла галка в Профиль->Безопасность->Оповещение на электронную почту. Оповещения о выпуске ЭЦП должны приходить. С такими настройками я получал ЭЦП в Такскоме, и сразу же после моего посещения, пришло письмо из госуслуг что я получил ЭЦП


  1. smart_alex
    23.10.2021 19:35
    #23622854
    +43

    Итак, резюме к статье:

    чтобы «простому крестьянину» в один момент не лишиться всего, нужно всего лишь соблюдать 90 простых правил и быть изощрённым экспертом в информационной безопасности.

    Мило, очень мило, но тут есть одна проблема: тот, кто сможет соблюсти эти 90 правил уже как бы не совсем «крестьянин» и далеко не такой «простой». :)

    А что делать всем остальным?


    1. ptica_filin
      23.10.2021 19:43
      #23622890
      +3

      Прямо все 90 не обязательно. Пин-код на сим-карту поставить не очень сложно. Раньше в досмартфонные времена он был, по-моему, по умолчанию даже включен. Заменить СМС на Push приложения банков часто предлагают сами. Подключить антивирус смартфон часто тоже предлагает сам. Очень важный пункт 36 тоже вполне доступен "простому крестьянину", если он не совсем дурак и хотя бы читает/смотрит/слушает новости. О мошенничестве, когда звонят и разводят на деньги, рассказывают настолько постоянно и уже столько лет, что я удивляюсь, как до сих пор находятся люди, которые на него ведутся.

      Это всего несколько пунктов из 90, но они уже перекрывают существенную часть опасностей.


      1. smart_alex
        23.10.2021 19:55
        #23622946
        +1

        Смотрите: у нас есть десятки векторов угроз (и при этом постоянно появляются новые) какие-то вы закрыли, какие-то — нет. При таком положении вещей, рано или поздно, так или иначе, вы всё равно можете «попасть». Проблема тут не в том, что вы «попадёте», а в том, что речь идёт о нанесении вам неприемлемого (по размеру и последствиям) ущерба.

        И если речь идёт об «айтишниках», то ещё можно надеяться на какой-то уровень защиты, но когда мы говорим о массе населения — то никто из «нормальных» людей даже не будет читать эту статью (не говоря о том, чтобы что-то делать для своей защиты).


      1. boroda_el
        23.10.2021 21:00
        #23623180
        +1

        Вот что то не могу понять отчего защищает этот пин код. Только оттого что симку не переставить в другой мобильник? Почему это на 90% важно?


        1. ptica_filin
          23.10.2021 21:07
          #23623210
          +3

          Именно. Чтобы симку из спёртого мобильника не вставили в свой и не получили доступ к смскам из банков и прочим местам с двухфакторной авторизацией и привязкой к номеру телефона.


          1. poige
            24.10.2021 17:35
            #23625366

            Насколько я помню, некоторые банки отслеживают изменение IMEI. Есть вот такая инфа аж из 2016-о: «… Для борьбы с этим представители Минкомсвязи и Центробанка хотят запрашивать данные о смене абонентом SIM-карты. Эксперты считают, что это необходимая мера, повышающая безопасность клиентов. …»


            1. x86d0cent
              24.10.2021 19:59
              #23625788

              Не исключаю про IMEI, но ни разу такого не слышал. А то, на что вы ссылку дали - это не про IMEI, это про IMSI. Он меняется, когда абонент (или злоумышленник) получает у оператора другую сим-карту, привязанную к номеру абонента.


              1. poige
                25.10.2021 17:14
                #23629080

                Да, я понимаю, что там не IMEI, просто несколько концептуально связанные вещи.


      1. FatherYan
        24.10.2021 12:12
        #23624504
        +2

        Кстати насчёт замены СМС на пуш спорно. СМС намного надёжнее в плане доставки, если вы находитесь в местах с не идеальной связью или за границей, где из-за диких тарифов интернет большинство отключает (смс тоже не дёшево, но терпимо). Т. е. следуя данному совету мы существенно повышаем вероятность вовремя не узнать о попытке взлома.


        1. usrsse2
          24.10.2021 16:49
          #23625272

          Если пуш не дошёл, банк присылает SMS.


          1. JerleShannara
            25.10.2021 01:22
            #23626414

            Порой через 2-4 минуты, то есть о факте того, что у вас спёрли миллион вы узнаете уже сильно потом.


      1. cck7777
        24.10.2021 19:20
        #23625672

        Пункт 36 мне больше нравится в формулировке "Что-то не так? Блокируйте карту. Я схожу в своё отделение".


      1. VIPDC
        25.10.2021 19:24
        #23629512

        Чем push лучше СМС?

        Push вводиться сам, смс я ввожу ручками, т.е удаленно не сделать.


      1. kvk-2019
        26.10.2021 17:26
        #23633030

        Не знаю, насколько устарела вот такая информация: "Таким образом, Apple не только предупреждает о незащищенности канала передачи между APNs-сервером и приложением пользователя, но и берет обязательство с разработчика не передавать через push-уведомления персональную или конфиденциальную информацию, в том числе транзакционную информацию, к которой коды подтверждения операции, безусловно, относятся.", статья 18 года и я продолжаю ей доверять и считать, что на андроидах всё примерно так же.


        1. XanKraegor
          30.10.2021 08:04
          #23647476

          Сейчас уже только сертификаты и оконечное шифрование, хотя редакция гайда тоже от 2018 года. Кстати, в действующей редакции Apple Developer Program License Agreement соотвествующий пункт 4 тоже присутствует на странице 49. Однако, сомнительно, что Apple не в курсе использования Push-уведомлений банками для доставки одноразовых кодов и сообщений и входе, балансе и др. Скорее всего, пункт этот, как и большая часть соглашения, присутствует, чтобы никто не предъявил претензий самой Apple.


      1. sunki
        25.11.2021 12:55
        #23747653

        В пин коде особого смысла нет, его легко восстановить.


    1. ifap
      23.10.2021 23:10
      #23623482

      Остальным соблюдать всего 1 правило: банк — отдельно, телефон — отдельно. Т.е. ничто финансовое не должно быть завязано на телефон.


      1. Kuzyok777
        25.10.2021 21:58
        #23630022

        а в современном банке можно открыть счёт без мобильного номера?


        1. ifap
          26.10.2021 00:05
          #23630352

          Врать не буду — не пробовал, но не сомневаюсь, что да.


    1. peacemakerv
      25.10.2021 21:40
      #23629982
      +2

      Всем остальным запомнить простую заповедь, начавшуюся с цыган: если тебе предлагают что-то, что ты сам не просил - это мошенники.


  1. sav13
    23.10.2021 19:50
    #23622924
    -2

    Может проще выполнить один пункт?

    1. Не хранить деньги на карточке


    1. boroda_el
      23.10.2021 21:02
      #23623188
      +2

      Не пользоваться смартфоном

      Не пользоваться телефоном (лучше исключить даже стационарный)

      И кто ты после этого?


      1. ifap
        23.10.2021 23:11
        #23623488
        +4

        Между прочим, совет буквально верный: не хранить деньги на карточке (карточном счете).


        1. x86d0cent
          24.10.2021 00:27
          #23623634
          +3

          Можно не хранить, но если по карте разрешен овердрафт - разница вообще не велика. Если не разрешен - теховер никто не отменял (но тут вариантоа, конечно, меньше), а примеры 4-6 и 8 на имеющиеся карты вообще не завязаны. Хотя, конечно, какую-то часть векторов атаки при отсутствии денег на картсчете (и отсутствии кредитного лимита по карте) удастся закрыть.


      1. JerleShannara
        24.10.2021 13:44
        #23624784

        Посмотрел объём трафика за прошлый месяц на телефоне, сделал для себя вывод — смартфон в моём случае прекрасно заменяется на обычную кнопочную звонилку. Для прочего можно взять планшет, даже не устанавливая в него симку.


  1. boroda_el
    23.10.2021 21:08
    #23623214

    Если сим карта внезапно отключилась

    84

    Позвонить моб.оператору и выяснить причины отключения

    Очень любопытный совет. Из моего субъективного опыта последние 100% случаев (3 случая за 13 лет) сим карта отключалась по причине неисправности оной. Звонить можно было только 112.


    1. Squoworode
      23.10.2021 23:15
      #23623496

      Заблокированная оператором сим-карта выглядит почти так же: телефон говорит "в регистрации в сети отказано, доступны только аварийные вызовы".

      Вангую, что имелось в виду "позвонить оператору с другого телефона на городской номер".


  1. SlFed
    23.10.2021 22:01
    #23623342
    +2

    Еще можно отдельно телефон для звонков и СМС и отдельно смартфон.


    1. svr_91
      24.10.2021 13:19
      #23624706
      +2

      В телефонах тоже есть бэкдоры

      https://habr.com/ru/post/575626/


  1. Serge78rus
    23.10.2021 22:15
    #23623364
    +12

    Как-то это противоречит друг другу

    Не давать в руки телефон малознакомым людям
    попросите прохожего, таксиста, охранника, полицейского дать вам телефон.
    Или это дискриминация людей на себя, как умного, и всех остальных, как лохов?


    1. Fodin
      24.10.2021 05:38
      #23623978

      В объяснении первого пункта раскрывается смысл. Не давать телефон бесконтрольно, типа "Звони, я попозже зайду, заберу", чтобы не поставили шпиона или вирус.


    1. RiddickABSent
      24.10.2021 15:04
      #23625014

      Полицейский:

      «Вы имеете право хранить молчание. Всё, что вы скажете, может и будет использовано против вас в суде. Ваш адвокат может присутствовать при допросе. Если вы не можете оплатить услуги адвоката, он будет предоставлен вам государством. Вы понимаете свои права?»


  1. AVX
    23.10.2021 23:08
    #23623478

    Меня жена иногда спрашивает - "Ты машину закрыл?"

    Я отвечаю - " Чего там брать-то?"

    Смысл в том, что если взять нечего, то и нет почти проблем. Мошенникам Вы не интересны.

    Кстати, "27 Пометить как НЕ спам номера телефонов моб.оператора и банков, которыми вы пользуетесь" - практически не реально. У них огромный пул номеров, и каждый раз звонят с разных. Я как-то что-то выяснял по телефону, так по каким-то вещам у них регламент, что ОНИ САМИ должны позвонить (вроде как я доступ к онлайн банку восстанавливал, после того как система посчитала что я что-то плохое делаю, а я сделал много попыток взять кредит, но не завершал, а смотрел какие суммы платежа получатся при разных вариантах). А у меня был антиспам включён - так я не сразу понял, почему не звонят, потом увидел в спаме попытки звонков. Пришлось опять звонить и повторно объяснять, отключать антиспам и ждать звонка...

    Пин-код на симку есть смысл ставить только если И на разблокировке телефона есть код. Иначе нашедший телефон просто не станет вынимать симку и прямо на нём всё сделает.

    CVV на карте можно тупо паяльником срезать. Главное потом не забыть - это может доставить (и более вероятно) проблем.


    1. edogs
      24.10.2021 11:51
      #23624450
      +4

      Меня жена иногда спрашивает — «Ты машину закрыл?»

      Я отвечаю — " Чего там брать-то?"

      Смысл в том, что если взять нечего, то и нет почти проблем. Мошенникам Вы не интересны.
      Интересны. Оформят кредит и выведут кредитные деньги.

      CVV на карте можно тупо паяльником срезать.
      Формально делает карту недействительной, заметят — должны изьять.


      1. AVX
        24.10.2021 13:39
        #23624768

        Формально делает карту недействительной, заметят — должны изьять

        Так я никому и не показываю. Как и советуют. Банкоматы и терминалы пока не умеют такое распознать.


        1. edogs
          24.10.2021 17:33
          #23625360

          Вообще не вполне понятно, зачем сейчас нужно использовать карту как таковую.
          Гугл пей или аналоги позволяют реквизиты карты не использовать, а их собственные «реквизиты» создаются под каждый платеж в общем и целом одноразово, поэтому утечка тоже не грозит.


          1. Tarakanator
            26.10.2021 14:14
            #23632092
            +1

            1)Грозит. Московское метро предлагало акцию месяц за рубль. Естественно с услугой автопродления если платишь картой или через опсоса. НО я оплатил через google pay. Подумал раз в условиях не указано автопродление при оплате через google pay да и как оно 2-й раз деньги спишет, то я в безопасности. Однако нет, деньги списали. Правда потом вернуть смог.
            2)Я крайне недоволен стоковыми прошивками андроида, а прошивая что-то стороннее гугл пытается заблокировать google pay. Так что возможно скоро от него придётся отказаться, хотя да, удобно. Но носить 2 смартфона менее удобно.


    1. vova4ka_ua
      24.10.2021 14:22
      #23624900

      В некоторых банках есть возможность изменить CVV на свой, или установить динамиченский CVV, он действует только час, доступен только в банковском приложении. Пользуюсь, удобно. Даже если где то сохранил данный карточки - платеж не пройдет.


      1. x86d0cent
        24.10.2021 20:05
        #23625796

        Платеж и без cvc/cvv может проходить. Более того, при сохранении данных карты сохранять cvc/cvv нельзя по правилам платежной системы. То есть если вы где-то привязали карту и используете ее при последующих оплатах, то либо cvc/cvv после первого платежа не используется, либо вводится каждый раз (что бывает, но реже).


    1. VIPDC
      25.10.2021 19:28
      #23629530

      Я CVV всегда заклеиваю черной изолентой. Держится отлично, в банкоматах не застревает


  1. tuxi
    24.10.2021 00:47
    #23623688

    cvc2 либо стереть,либо заклеить кусочком изоленты. Есть схемы когда под терминалом на кассах в магазинах стоит камера и снимает обратную сторону карты, фиксируя время оплаты и распознавая cvc2 код.


    1. codecity
      24.10.2021 03:03
      #23623864

      У некоторых банков есть динамический CVC2 — меняется каждые 30 мин и получить можно только в моб. приложении. Тот что нанесен на карте не действует.


  1. andy_p
    24.10.2021 00:53
    #23623702
    +8

    #91 Уезжайте из страны, где для спокойной жизни необходимы эти 90 правил.


    1. mk2
      24.10.2021 01:30
      #23623748
      +4

      В другой стране будут свои N правил — часть такие же (телефон), часть отличающиеся (местные банки/операторы/законы). От все этих правил можно на Марс разве что улететь.


      1. DistortNeo
        24.10.2021 14:15
        #23624880

        По крайне мере, в других странах имеется zero liability: если вы стали жертвой мошенников, то это проблема банка, а не ваша.


        1. scarab
          24.10.2021 19:17
          #23625664

          Во-первых, здесь речь ведётся не только о безопасности банковских карт.

          Во-вторых, аналог zero liability есть и нормально работает и в российском законодательстве.


          1. uanet
            25.10.2021 17:10
            #23629066
            +2

            Вот 2 примера из жизни:

            1. Работодатель за океаном выпустил для меня (на моё имя) visa paycash (тогда не было ограничений на пополнение), обо мне зная буквально "как зовут" и город/страну. Т.е. указал дату рождения не мою. Я чудно снимал деньги в банкомате, натыкался на лимит укр банков(?) в 300 баксов в день, с учётом комсы укр банков (Приват и Надра) - 200-290 из банкомата. Закончилось тем, что в Болгарии, где я не был никогда, сняли 300 евро, в сумме тогда 420+баксов (тут вставить картинку "а что, так можно было?"). Чисто случайно я это обнаружил в день снятия или на следующий - мне посоветовали побежать в банкомат сделать попытку снятия (чтоб показать, где я), прислал фотки паспорта (там справили дату рождения, вроде бы). Чуть больше месяца разбирательства - карту перевыпустили, деньги - вернули. Думаю, скиммер в банкомате Надра был (на жд вокзале был банкомат, заряженный нужными купюрами), хотя и не факт. Вот это - "zero liability", хотя могли придолбаться буквально ко всему.

            2. "Классика жанра" - у знакомых тухнет симка в телефоне (восстановили у оператора), в Приват звонят, авторизуются голосом (скорее всего, утечка данных, которую Приват не признает никогда), на аудиозаписи называя фамилию неправильно (!) - фамилия на украинском отличается от русского написания, плюс западные украинцы на русском обычно не общаются - т.е. банк облажался в явном виде. Оформляют голосом перевод кредитных средств на другую карту (есть такая услуга)... Понятно, что банк занимает позицию "сами виноваты, разгласили..." (в эпоху соц сетей шедевр "девичья фамилия" - отдельный перл). Но далее всё забористо совсем: менты ловят мошенников, они признаются, их сажают. Приват стоит на своём - активно пытаясь выбить деньги, звоня всем родственникам и на работу. Судятся с Приватом. Выигрывают. Приват национализируется. Приват подаёт апеляцию, снова судятся, Приват снова проигрывает... Короче, сменилось 2 президента, пока это закончилось. Годы, нервы и деньги на авдоката. И я не уверен, что "уже там всё" - кажется, Приватом до сих пор чел пользоваться не может. Сумма, правда, чуть больше была - около 1-2K$ в гривне (там майдан как раз был), на момент разборок в суде оно превращалось и в менее 500$.

            Почему не стоит держать деньги "на карте" - встречал простое объяснение:

            если крадут кредитные деньги - это "деньги банка", и банк будет с этим разбираться. А вот "ваши" - то Вам и разбираться, и попробуйте испольнить решение суда в Вашу пользу.

            CVV обычно соскабливаю ключами, ножом или "что под руку попало" - никогда никаких проблем в супермаркетах не было. Если с картой что - прихожу в Приват ногами - "где-то я пролюбил карту", "карту схавал банкомат" - дают новую (бесплатно), забывал пин-код - меняй хоть в отделении, хоть через приват24. А вот Ощадбанк - забыли пин - перевыпустим карту, конечно за деньги.

            Приложения банков в телефон не ставлю - тоже есть случаи, когда у людей крали деньги с украденных смартов (и не возвращал банк такое). Да, ходить на сайт с 5" телефона - неудобно, да ещё пароли вводить. Но браузер - единственный вектор атаки (если не считать камер наблюдения).

            Не знаю, как в РФ с "порталом ГосУслуг" - в Украине умудрились через "Дию", требующую только новую id-карту, и официально не работающую с обычным паспортом, оформить кредит на чела без "дии" и с паспортом-книжкой. Так что "башку в песок" может закончится печально.

            Мир меняется, и уже не просто "лох не мамонт"(с) Мавроди, уже целые поколения оказываются не готовы к жизни в новых реалиях. А те, кто думают, что готовы - тоже нередко занимают место лоха.


            1. scarab
              25.10.2021 17:43
              #23629158

              Касательно "работодателя за океаном" - там, "за океаном", платёжные карты могут выпускать едва ли не все подряд - сотовые операторы, магазины и так далее. За Украину не в курсе, но в РФ это могут делать только банки. В чём-то оно лучше, в чём-то хуже.

              Встречный вопрос: в один прекрасный день Вы обнаруживаете, что баланс Вашей карты равен нулю. Куда и как Вы будете обращаться, если "работодатель выпустил карту, зная только имя и фамилию"?

              если крадут кредитные деньги - это "деньги банка", и банк будет с этим разбираться. А вот "ваши" - то Вам и разбираться

              Тоже слышал такое объяснение. Полный бред.

              Объясню почему: совершая платёж по карте, Вы даёте банку распоряжение перевести такую-то сумму такой-то торговой точке. В случае дебетовой карты это будут Ваши деньги, лежащие на счёте в банке; в случае кредитки - это денежные средства, которые банк выдаёт Вам в кредит.

              Законным путём такое распоряжение можете давать только Вы - это явно предусмотрено в договоре на выпуск и обслуживание платёжной карты.

              Соответственно, если распоряжение даёте Вы - банк его исполняет, а взятые в кредит денежные средства (в случае платежа кредиткой) придётся вернуть в установленном порядке. А вот если распоряжение дал кто-то другой - то у него такого права нет и банк не имеет права исполнять его, вне зависимости от того, кредитная это карта или дебетовая.

              В итоге всё разбирательство сводится к тому, что держатель карты говорит: "я не давал такого распоряжения, банк не имел права переводить деньги". А банк говорит - "нет, это держатель карты сам совершил операцию".

              Если суд принимает сторону держателя карты - банк обязан аннулировать операцию и вернуть денежные средства, вне зависимости от того, Ваши они или взяты в кредит. А если суд принимает сторону банка - то операция считается Вашей и Вы несёте за неё полную ответственность. Так что кредитная там карта или дебетовая - разницы нет.

              Возможно, эта байка пошла как раз из-за океана, у них там представления о картах, счетах и прочем очень сильно отличаются от принятых на пространстве бывшего СССР.


              1. x86d0cent
                25.10.2021 18:00
                #23629198
                +1

                За Украину не в курсе, но в РФ это могут делать только банки.

                Не совсем - еще могут небанковские кредитные организации. Связной-кукуруза, Озон и тому подобные карты как раз такие. У них есть ряд нюансов: например, по умолчанию обычно нет картсчета (т.е. нельзя перевести деньги на карту банковским переводом по реквизитам счета), и средства на карте не застрахованы АСВ.


  1. codecity
    24.10.2021 03:05
    #23623868

    Слишком ресурсозатратно — не каждый сможет соблюдать, а ведь здесь нужна строгость. Некоторые действия требуют периодичности, а значит вносить в календарь, иначе выполнять не будешь.


    1. todoman
      24.10.2021 09:32
      #23624158
      -3

      Хорошо, не делайте ничего.

      Я пришлю вам реквизиты, чтобы вы переписали свою квартиру на меня. И номер карточки, куда пришлите все ваши деньги. Чтобы сразу, без промежуточной возни. Всё равно ведь "ресурснозатратно".


      1. telpos
        24.10.2021 10:04
        #23624228
        +4

        Так это надо что-то делать. Проще ничего не делать, и деньги сохранятся, и время, и силы


    1. mrzerg Автор
      29.10.2021 20:26
      #23646084

      у меня так и сделано. Периодические проверки занесены в календарь. Каждую неделю приходит напоминалка. Потратить в субботу 5 минут времени ничего не стоит


      1. codecity
        30.10.2021 00:57
        #23647054

        Если слишком много ресурсов тратить на это — то некогда будет деньги зарабатывать — нечего будет охранять.


  1. Mitch
    24.10.2021 10:49
    #23624306

    Сложилось впечатление что судя по статье 2 самые большие дыры это:

    • сим карта

    • госуслуги

    А скоро еще "оплату лицом" подвезут кстати, вот это по моему будет всем дыркам дыра.


    1. VIPDC
      25.10.2021 19:35
      #23629544
      +1

      +согласно примеров утечки банка (знания кодовых слов). Вообще работники банка самая большая дыра, это и утечки данных, у разглашение технологий защиты при увольнении


  1. gazkom
    24.10.2021 11:09
    #23624348

    Есть мнение, что оформление запрета на регистрацию сделок с недвижимостью без личного присутствия никак не влияет на мошенничество с помощью ЭЦП. Запрет не дает регистрировать сделки по доверенности. ЭЦП же приравнивается к собственноручной подписи, поэтому если за вас выпустили ЭЦП, этот запрет не сработает.


    1. Savevur
      24.10.2021 12:55
      #23624634

      Истинно так.

      С помощью ЭЦП можно этот запрет снять.

      Но сделки с ЭЦП запрещены без вариантов.


      1. Savevur
        24.10.2021 13:30
        #23624732

        Вроде есть исключение для ипотеки и определенных ЭЦП

        Запрет на проведение сделок с недвижимостью с помощью электронной подписи не будет распространяться на цифровую ипотеку, сообщает Федеральная кадастровая палата Росреестра на своем сайте. То есть, сведения от банков по-прежнему можно будет подавать в электронном виде, без личного участия гражданина. Бумажного заявления от кого-либо из участников сделки для этого не требуется.

        Есть и другие исключения: сделки с недвижимостью можно будет оформлять с использованием электронной подписи, если она была выдана удостоверяющим центром Федеральной кадастровой палаты, и если в оформлении сделки принимают участие нотариусы или госорганы, которые взаимодействуют с Росреестром в электронном виде. В этом случае владельцу недвижимости тоже можно не писать специальное бумажное заявление на использование электронной подписи.

        https://www.cnews.ru/news/top/2019-08-12_vlasti_zapretili_elektronnye_podpisi_dlya_vseh


        1. mrzerg Автор
          29.10.2021 20:30
          #23646106

          да, увы это так. Но оформив данный запрет мы хотя бы снизим вероятность афёр с недвижимостью


    1. SatyrB
      22.11.2021 18:12
      #23735175

      На сделки по обычной доверенности такой запрет никак не влияет.


  1. pvsur
    24.10.2021 11:58
    #23624468

    Если не секрет, как для гуглпэй сделать обязательную разблокировку для любой оплаты, даже на 1 рупь ? В настройках его такого нет...


    1. n3kitOzz
      24.10.2021 12:25
      #23624532

      Не нашел в настройках, но как я помню, при первой настройке можно поставить установку "разблокировать экран для оплаты".

      Можно попробовать переустановить.


      1. mrzerg Автор
        29.10.2021 20:32
        #23646120

        на андроидах такого вроде пока нет. На эплах есть


    1. andersong
      25.10.2021 11:23
      #23627522

      На своем сяоми поставил пароль с помощью Защиты приложений — позволяет поставить пароль на любое приложение.


  1. poige
    24.10.2021 12:47
    #23624606
    +4

    Установите автоблокировку экрана смартфона не менее 30 сек

    если телефон украдут, он успеет заблокироваться

    Это называется «не более, чем через 30 сек», а ещё точнее «не позднее, чем через».

    Но уж точно не «не менее».


  1. iiwabor
    24.10.2021 12:56
    #23624636

    Я бы еще добавил - "Регулярно навещать и созваниваться с родителями" - тогда они меньше себя накручивают ("сын/дочь не звонит? а вдруг что-то случилось?!") и меньше шансов что попадутся на удочку в стиле "мама я сбил человека"


  1. Savevur
    24.10.2021 13:18
    #23624700
    +2

    4

    Оформить запрет на регистрацию сделок с недвижимостью без личного присутствия

    чтобы исключить продажу квартиры по поддельной доверенности или поддельной ЭЦП

    Этот запрет можно снять с помощью ЭЦП.

    Статью писал теоретик.

    В России ЭЦП при сделках с недвижимостью запрещена всегда, кроме случая когда недвижимости как бы еще нет - ипотека.

    Основная опасность лишиться недвижимости.

    Лишить могут непосредственно используя подставное лицо или нотариуса или мошенники в МФЦ и т.д. и т.п.

    Единственная защита - сделать обременение на недвижимость.

    Но в любом случае, мошенники могут оформить юр.лицо используя ЭЦП и сделать на нем долги больше чем стоимость недвижимости. Лишать уже будут коллекторы.

    На данный момент против этого в России защиты нет лично для меня. В налоговой отказались принимать моё заявление о запрете регистрации юр. лица без личного присутствия. Говорят, что база только для уже существующих юр.лиц. А если его нет, то и нельзя туда ничего внести.

    Все остальные ребусы в этой теме - это мелочь.


    1. Savevur
      24.10.2021 13:32
      #23624748

      Есть еще исключение, кроме ипотеки по дефолту разрешены отдельные ЭЦП при определенных сделках. Но думаю мошенникам такую подпись получить маловероятно.

      Есть и другие исключения: сделки с недвижимостью можно будет оформлять с использованием электронной подписи, если она была выдана удостоверяющим центром Федеральной кадастровой палаты, и если в оформлении сделки принимают участие нотариусы или госорганы, которые взаимодействуют с Росреестром в электронном виде. В этом случае владельцу недвижимости тоже можно не писать специальное бумажное заявление на использование электронной подписи.

      https://www.cnews.ru/news/top/2019-08-12_vlasti_zapretili_elektronnye_podpisi_dlya_vseh


  1. moskIToff
    24.10.2021 13:42
    #23624774
    +1

    много отличных советов, некоторые из списка уже давно стоят по умолчанию (особенно в большинстве банков и госучреждениях), другая часть - здравый смысл, а остальное - просто паранойя которая вам принесет больше неудобств чем пользы (напр. лимит переводов с карты - когда вам понадобиться сделать большой перевод сразу же начнете себя проклинать и тд). Да и вообще что бы взломать кого-то сейчас нужно много усилий и месяцы работы с аккаунтами человека, данными и вообще соц инжерению надо подключать, очень малый шанс что разные сервисы не затригерят взлом... если у вас вынесли какую-то сумму а вы не возглавляете список Форбс что бы за вами охотились многие, то скорее всего это не русские хацкеры а ваша жена которая захотела себе новую кофточку или кто-то из близких кто имеет физический доступ к вашым устройствам.


    1. sunki
      25.11.2021 13:18
      #23747779

      Да вообще никаких усилий не надо. Покупаете данные о человеке за копейки, потом перевыпускаете ему sim по левым документам.


  1. iridiumhawk
    24.10.2021 13:47
    #23624792
    +1

    После пункта №17 можно не читать дальше. Это абсолютно нереально. Когда у тебя сотни регистраций на разных сайтах, то либо сохраняешь разные пароли, либо используешь везде один и вся безопасность идет лесом.


    1. moskIToff
      24.10.2021 13:53
      #23624802
      -1

      можно записывать в ворд док и хранить на сьемнике, или просто на физической карточке и в сейф :) (а еще проводить жертвоприношения богам криптографии что бы их задобрить)


    1. tmin10
      24.10.2021 13:53
      #23624804
      +3

      Keepass? Вводу мастер-пароль и вот у меня все пароли от сайтов (разные) доступны. Ещё можно FIDO ключи использовать для сайтов, которые позволяют.


      1. kvk-2019
        24.10.2021 18:11
        #23625476

        Если не ошибаюсь, с 95 Хрома FIDO/U2F перестаёт работать, только FIDO2/WebAuth. Надо будет проверить. Наверно, пробегусь, когда Фейсбук сменит (или нет) название. Не исключено, что и ещё что-то поменяют тогда. Хотя, скорее всего, там обратную совместимость должны оставить на довольно длительное время. Впрочем, не разбирался подробно и не уверен достаточно, стоит ли беспокоиться.


    1. D0001
      29.10.2021 20:46
      #23646172

      PC - KeePassXC

      iPhone - Strongbox

      Android - Keepass2Android

      Синхронизация шифрованной базы в идеале через свой Nextсloud - но думаю можно и через тот же google drive


    1. yett
      29.10.2021 20:46
      #23646174

      Откройте для себя мир менеджеров паролей. И кроме мастер пароля, не нужно будет нечего запоминать.


  1. Astromatics
    24.10.2021 14:01
    #23624822
    +1

    Не пользоваться новыми сервисами. Усмирить свою "современность", "продвинутость", и жажду новых знаний. Вспомнить, что прогресс - не всегда благо, а вернуться обратно психологически тяжело, воспринимается как "каменный век"(весьма условно, но лично знаю, что для некоторых людей весь двадцатый век - каменный). Помнить, что прогресс обязательно вас заставит пользоваться всем, это вопрос времени. Есть жизнь без Facebook(я знаю, о чём пишу, меня заблокировали достаточно давно, и всё нормально). Сопротивляться до последнего. Иначе выходит, что с точки зрения "завтра", вы уже прямо сейчас троглодит. А пароли текли, текут и будут течь, ничего с этим не сделать. Соблюдать 90+ правил нереально.

    Нет слова "ксерить". Есть слово "копировать". Извините.


    1. moskIToff
      24.10.2021 14:07
      #23624858

      leakchek - сервис для проверки не утекли ли ваши пароли в сеть.


      1. RA-NGR
        24.10.2021 18:29
        #23625526

        КМК, как раз после проверки на этом сервисе и утекут


  1. Graf54r
    24.10.2021 14:18
    #23624886
    +1

    п. 2 - оператор сливает данные и кто-то использует кодовое слово.

    Как по мне это хуже чем если его нет.


  1. megahertz
    24.10.2021 15:18
    #23625042

    Если я правильно помню, раньше по умолчанию были разрешены действия с недвижимостью без личного присутствия. Примерно год назад это по умолчанию запретили после многочисленных случаев мошенничества.


    1. anton19286
      24.10.2021 16:44
      #23625264

      возможен аналогичный запрет на онлайн кредиты?


      1. mrzerg Автор
        29.10.2021 20:49
        #23646190

        такого пока нет, но подвижки есть https://www.vbr.ru/banki/novosti/2021/08/24/zapretit-onlainkrediti/


  1. nivorbud
    24.10.2021 15:37
    #23625092
    +1

    12) Оформить в вашем банке получение подтверждений банковских операций через push, а не через sms

    Какой в этом смысл? Ведь таким образом двухфакторная авторизация превратится в однофакторную. Если в смарте будет троян (или смарт попадет не в те руки), то он и пуши перехватит. Также перевод на пуши не означает, что банк не пошлет коды через смс, если посчитает нужным, т.е. этот смс-канал остается действующим. И самое главное - в случае пушей нет третьего независимого лица (оператора связи), которое может подтвердить, либо опровергнут передачу смсок с кодами и пр.

    Так что лучше отдельный кнопочный телефон от нормального производителя с возможностью запаролить доступ к смскам.

    Отключение дистанционного восстановления пароля и пр, а также установка прочих ограничений - это не панацея, это часто лишь вводит в заблуждение. Какой смысл во всём этом, если банк позволяет через смс изменить способ аутентификации?

    Еще очень многие не понимают (для меня это также было шоком), что при компрометации карты вы рискуете не только средствами на карте, а всеми деньгами на всех счетах. Это и фишинг и полный доступ в личный кабинет через банкомат (с помощью карты). Основная опасность - привязка злоумышленниками своего смартфона (изменение способа аутентификации с полным перехватом управления) через перехват одной единственной смс. Надо обязательно разобраться, позволяет ли это ваш банк.

    Так что телефон для смс должен быть отдельным кнопочным и... лучше пусть запароленым лежит дома. Таскать его всегда с собой вместе с картами - это дополнительные риски. Кстати, родные (особенно дети) также не должны знать пароль к телефону.

    Ставить приложение на свой основной смартфон - тоже не очень хорошая затея. В идеале смартфон должен быть отдельным и предпочтительно айфон. Понятно, что это не всегда возможно, но по крайней мере не надо на основной смартфон бесконтрольно ставить софт.

    Если входить в л/к через десктоп, то... никакой винды, тем более не с игрового компа. В идеале - отдельный комп на линуксе. В крайнем случае в виртуальной машине.

    В браузере, используемом для банковских операций, не должно быть установлено никаких расширений. Перед авторизацией необходимо проверять доменнное имя сертификат сайта.

    Обязательно читать текст смс-ок с кодом, сопоставляя, соответствует ли ваша операция тексту.

    ЗЫ

    Вообще ситуация удручающая. Особенно когда видишь в л/к предложение онлайн-кредита на много миллионов в пару кликов за пару минут и понимаешь, что для этого достаточно одной смс-ки...


    1. telpos
      24.10.2021 16:21
      #23625208

      А когда придёшь в офис, то будь добр, предоставь кучу документов


      1. JerleShannara
        25.10.2021 01:27
        #23626416
        +1

        Я предпочту принести кучу документов.


    1. Mitch
      25.10.2021 23:13
      #23630256

      Смысл в том, что sms это просто дыра, можно выпустить симку с вашим номером, есть такие сервисы даже в даркнете. Симка появляется типа как в роуминге где нибудь в африке на левом мелком операторе.

      А чтоб пуш перехватить надо само устройство у вас похитить.


      1. sunki
        25.11.2021 13:25
        #23747819

        Дело в том, что полностью от sms отказаться банки не позволяют. Если вы привязываете новый телефон, код придет в смс. А потому пуши не имеют никакого смысла.


        1. Mitch
          25.11.2021 16:56
          #23748975

          Эт понятно. Но ведь хабр читают разработчики банковского софта, собсно это камень в их огород.


          1. sunki
            25.11.2021 17:02
            #23749017

            Вы шутите? Им глубоко наплевать на это. Точнее, тем кто ставит им задачи.


  1. alexshy
    24.10.2021 18:07
    #23625466
    +2

    Несколько месяцев я изучал тему интернет мошенничества с целью собрать наиболее полный список действий

    Вот по этому?!!


    1. mrzerg Автор
      29.10.2021 20:55
      #23646216
      +1

      нет, не только. Если я бы привёл весь список статей и ресурсов которые я перелопатил, получилось бы нечитабельно. Да и не запомнишь их все. Здесь представлена выжимка


  1. RA-NGR
    24.10.2021 18:24
    #23625510
    +1

    №20. Может, все-таки "не более" ?


  1. titbit
    24.10.2021 18:57
    #23625596
    +3

    Большой список, правда к некоторой части советов есть замечания (с частью внутренний параноик вообще не согласен).
    Основная проблема списка в целом: всякие мошенники действуют незаконно, а противодействовать им хотелось бы только законно. А как известно административные проблемы либо не имеют технических решений, либо они не очень эффективны.
    Дополнительные советы.
    1. Если боитесь потерять телефон — не носите с собой телефон с «основной» сим-картой, на которую заведены важные сервисы, пусть он дома полежит.
    2. Разделите интернет и привязки к сервисам на разные симки. На «интернетную» пин-код даже вреден, как раз лучше чтобы интернет поднимался автоматом при перезагрузке телефона.
    3. Не пользуйтесь никакой биометрией. Тем более на телефоне.
    4. Не привязывайте к телефону слишком многого (услуги, оплата и т.д.). Это неразумно и рискованно. Не кладите все яйца в одну корзину.
    5. Не храните на счете телефона и карте больших сумм денег в принципе. Это сильно снизит риски. Используйте виртуальные карты для разовых платежей по возможности.
    Комментарии к исходному списку напишу отдельно.


    1. titbit
      24.10.2021 19:18
      #23625666
      +1

      Комментарии к списку.
      1. Пин-код обязательно только на основную симку (к которой привязаны важные гос.сервисы и банки), которую и так лучше держать дома.
      2. Сомнительно, кодовое слово легко подслушать и потом заблокировать вам симку им же.
      8. Сомнительно, антивирус на телефон полезен только если вы регулярно ставите новый софт на телефон или посещаете с основного телефона откровенно сомнительные сайты. Софт на основном телефоне я предлагаю вообще менять не часто (после обкатки), про сайты с основного телефона я думаю вы тоже поняли. Если прямо вот очень надо — используйте для этого отдельный телефон со своей «прочей» симкой.
      13. не надо хранить на счете оператора много денег, в идеале должен быть оплачен текущий тариф (обычно месячный) и 10% сверху. про карту тоже самое — не храните больше месячной зарплаты.
      14. не ставьте автопополнение счета в принципе, лучше вообще никогда
      19. это сильно увеличивает риск утери и кражи, сомнительный совет
      25. а как это сделать-то? особенно без рута, который не рекомендован в 58.
      27. нереально, увы, проверено на личном опыте (дошел аж до блокировки) на красном банке.
      30. вредно, лучше пароль
      32. сомнительная польза, лучше уж пароль на телефон в целом
      35. а что взамен-то? push уведомления тоже не всегда надежны
      43. опять вопрос — а как запрещать без рута-то?
      45 и 46 противоречат друг другу. в идеале не надо вообще пользоваться пиратским.
      47. зачем если есть 28? для пущей надежности что-ли? ставьте обновления чаще.
      52. сомнительно. а чем съемные носители лучше-то? надежность у них обычно даже хуже именно потому что они съемные.
      57. не понял как данные в облаке зависят от кражи телефона?
      58. спорный совет. кому-то действительно нельзя давать никаких прав, но знающему человеку это поможет защитить себя сильнее.
      63. в идеале не надо пользоваться аккаунтами в сомнительных соцсетях (тех, которые вымогают перс. данные и потом торгуют ими), включая вк и фб. но при этом иметь сами аккаунты можно, чтобы исключить регистрацию «двойников».
      65. сомнительная практика регулярной смены паролей, люди склонны в таком случае упрощать пароли и пинкоды, тем более их надо будет запоминать много


      1. tmin10
        25.10.2021 00:08
        #23626352
        +1

        25. В 9 андроиде можно убрать ненужное (будут ли потом запускаться приложения - вопрос открытый)

        35. Смс банк - переводы денег по команде из смс для телефонов бещ браузера и приложений. Альтернатива - приложение или вебсайт.

        43. См 25.

        58. Если загрузчик будет разлочен, это открывает возможности к лёгкой модификации прошивки (но заморачиваться этим будут разве что спецслужбы)


        1. titbit
          25.10.2021 14:03
          #23628294

          25,43 — там сплошные вопросы, у встроенных приложений ничего отобрать нельзя даже если очень надо, у всех остальных можно отобрать только часть разрешений (далеко не все, вот как интернет отобрать?), про последующую работоспособность тем более молчу, так что это все спорные и сомнительные советы — нормального решения-то нет.
          58 — закрытый загрузчик это не панацея, фактически производители ставят ультиматум: либо доверяешь нам 100% и мы тебе много чего запретим, или мы умываем руки и помогать тебе не будем. любой ультиматум — это плохо с точки зрения безопасности.

          эх, похоже тут статью целую писать надо в ответ, не знаю интересно только будет кому?


          1. tmin10
            25.10.2021 14:08
            #23628316

            На моём 9 андроиде можно выборочно лишать доступа к сервисам как встроенные (phone, camera, google play сервисы), так и сторонние приложения.
            Доступа в интернет лишить нельзя, увы, почему-то разрабы андроида считают, что оно должно быть вообще у всего без спроса (наверное чтобы рекламу не мешали показывать запретом).


      1. mrzerg Автор
        29.10.2021 21:48
        #23646410

        Спасибо за обширный лист комментарий и за то что внимательно прочитали статью. Некоторые пункты я поправил. Однако с некоторыми не согласен и вот почему:

        1.Симку, привязанную к банковским аккаунтам, дома лучше не держать.. В случае её компрометации вы этого не заметите и не сможете быстро реагировать

        2.Согласен, возможно стоит изменить этот пункт

        8.Не согласен. Новые приложения люди будут ставить всегда. Не всегда есть возможность и время проверять эти приложения. Антивирус хорошо справляется с проверкой + это удобно

        13.Согласен, но данный пункт как дополнительная степень защиты. В разделе примеры есть кейс, когда украли деньги как раз "благодаря" этой услуге

        14.От части согласен

        19.Вы хотели сказать что это усугубляет положение дел при утере или краже смартфона. Но тут я тоже пожалуй не соглашусь. И вот почему. Ваш телефон всегда при вас, а это значит вы видите когда отключилась сим-карта. Если телефон лежит в сейфе, то жулики сделают дупликат сим-карты и вы об этом даже не узнаете

        25.На последних андроидах делается довольно просто. Про эпл и более ранние версии андроида не могу сказать

        27.Хм, странно. У меня от банка всё чисто. И от оператора тоже. Попробуйте в офисе моб.оператора и банка написать отказ от рекламных и промо смс.

        30.Дополнил данный пункт

        32.Не согласен. Воры могут украсть ваш телефон разблокированным, либо разблокировать если это сделать просто

        35.Имелось в виду управление банковскими операциями через смс

        43.Просто не давайте разрешение. В последних андроидах делается легко

        45-46.Не вижу противоречий. Смысл пунктов такой что на сайтах с халявой водится много вирусов. Если вам супер нужен такой контент, будте очень внимательны

        47.Да, дублирование. Но лишним не будет. Не каждый будет ставить себе антивирус на ПК

        52.Пожалуй не соглашусь. Съёмный носитель не будет затронут например в случае вирусов-шифровальщиков

        57.Воруют телефон, открывают всё что можно открыть, в т.ч. доступ к файлам на облачных хранилищах. Во-вторых, в даркнете встречаются объявление о взломе аккаунтов с почтой

        58.Имелось в виду чтобы не разлочили загрузчик и не устанавливали себе кастомные прошивки

        63.Хорошее пояснение см в п.62

        65.Не согласен что это сомнительно. Это защищает от периодических утечек. В разделе примеры есть несколько кейсов, которые подпадают под этот пункт


        1. titbit
          05.11.2021 22:28
          #23672588

          1,19 — надо исходить из того, что вероятность утери (кражи) телефона намного выше вероятности изготовления дубликата сим-карты, а ваши советы делают упор на противодействие менее вероятным событиям.
          8,47 — антивирус сам по себе может быть источником проблем, так что его надо применять осторожно: для не разбирающихся в софте и его источниках он крайне желателен, для разбирающихся — опционален, тем более сейчас много всего проверяется автоматически (софт из того же GP, например).
          25,43 — если это так легко, подскажите как убрать разрешение на интернет и другие разрешения у встроенных программ и программ от гугла? я не смог найти способа, кроме как через рут права.
          27 — я имел ввиду ситуацию, что банк каждый раз звонит с рекламой «кредитов» с разных номеров, а если их заблокировать, то не пройдет важный звонок, и можно получить блокировку счета
          32 — а в чем несогласие-то? я просто за пароль — он гораздо надежнее и универсальнее; дополнительно вешаете bluetooth маячок на автоблокировку при потере контакта, чтобы не вырвали из рук в разблокированном состоянии.
          57 — так не надо держать на телефоне токены (пароли) для доступа в облако, тогда и проблемы не будет, это касается и гугл-аккаунта, привязать его можно, но из аккаунта лучше выйти.
          58 — извечный спор, кто-то не доверяет гуглу (производителю) и считает заблокированный телефон не безопасным, кто-то наоборот, истина наверное посередине… я лично за рутование, потому что я верю себе больше, чем гуглу, но я никому не навязываю эту точку зрения.
          63 — я вообще про выкладывание какой-либо информации в соцсети, а вы про ограничение доступа к уже выложенной; я вот не верю соцсетям вообще и их настройкам приватности тоже, поэтому просто рекомендую не выкладывать ничего, что не хотелось бы видеть потом публичным.
          65 — ну будут придумывать одинаковые пароли и/или слабо отличающиеся, еще неизвестно что хуже с точки зрения безопасности

          p.s. очень похоже что у нас с вами разные модели угроз просто, поэтому я предлагаю несколько другие решения и подходы, ваши тоже в целом правильные, но вот лично мне не подходят, поэтому я делюсь своими; ну а совсем единых быть не может, паранойя у каждого своя :)


  1. 0xC0CAC01A
    24.10.2021 21:41
    #23626026
    +1

    38 Не давайте ксерить или фоткать свой паспорт нигде кроме как в отделениях банков и гос.структур. Не отсылайте сканы документов по эл.почте

    Т.е. в командировках живём под мостом, а не в гостинице?


    1. JerleShannara
      25.10.2021 01:30
      #23626418

      В 60% случаев прокатывает вариант параноика-истерички «смотреть — смотрите, ксерить не дам, вы у меня квартиру украдёти и кредит возьмёте, тащите управляющего сюда!!!!»


      1. 0xC0CAC01A
        25.10.2021 01:50
        #23626428

        А в остальных 40% что делать?


        1. JerleShannara
          25.10.2021 01:52
          #23626430

          Если город не в формате «один отель имени 20 лет КПСС» — идти в другой. Либо у частников аренду брать, обычно она влезает в командировочные.


          1. 0xC0CAC01A
            25.10.2021 01:59
            #23626438

            Т.е. Вы приехали в уже оплаченный отель, в 23:55. Девочке на ресепшене велено ксерить все паспорта, звать управляющего бесполезно, он "уже уехал". Разворачиваетесь, теряете деньги за отель и идёте искать в ночи другой? Да, у Вас есть пять минут до полуночи, чтоб забучить другой отель на тот же самый день. Ну и цены в последний момент, сами понимаете, какие будут.


            1. JerleShannara
              25.10.2021 02:27
              #23626464

              Я командировки с такими заездами шлю в баню. Отель оплачиваю командировках сам. Мне только дорогу оплачивают (и то, не всегда, т.к. мне проще удобным себе способом добраться куда надо).


              1. 0xC0CAC01A
                25.10.2021 10:57
                #23627376

                Это ни разу не ответ на мой вопрос


              1. tmin10
                25.10.2021 14:09
                #23628326

                Т.е. не бронировать отель, а искать свободный и где не просят лишнего?


                1. JerleShannara
                  25.10.2021 15:15
                  #23628634

                  Бронирую. Но с вопросами насчёт копирования, плюс «заезд в 23:55» это уже дичь какая-то, я спокойно заезжаю в начале дня отеля, если вскроются косяки, то можно будет спокойно без рванья волос на одном месте другой выбрать или по частникам посмотреть.


                  1. 0xC0CAC01A
                    25.10.2021 22:42
                    #23630160

                    Но денег за первый отель не вернут )


                    1. JerleShannara
                      26.10.2021 05:01
                      #23630578

                      А бронирование без оплаты перестало существовать? :)


      1. tendium
        26.10.2021 19:06
        #23633410

        У меня украли так данные карты в Хорватии. Просто покрутил туда-сюда. А там, видать, камера была над чуваком. Никто не ксерил карту.


  1. tvr
    25.10.2021 14:30
    #23628430
    +3

    7. Установить определитель номера на смартфон

    Это шесть баллов по пятибалльной шкале.


  1. vvzvlad
    25.10.2021 18:37
    #23629314

    >>Настроить оповещение о выпуске ЭЦП в личном кабинете госуслуг

    А как?


    1. mrzerg Автор
      29.10.2021 21:50
      #23646416

      Проконтролируйте что стоит галка Безопасность->Вход в систему->Оповещение на электронную почту. У меня при включённой галке оповещения о новых ЭЦП приходят


  1. parpalak
    25.10.2021 22:48
    #23630180

    Подключите оповещения о запросах вашей кредитной истории

    Посоветуйте, как это сделать?


    1. mrzerg Автор
      29.10.2021 15:02
      #23644738

      я пользуюсь ЛК большого зелёного банка, там есть платная услуга "Уведомления по кредитной истории"


      1. kvk-2019
        29.10.2021 16:00
        #23644964
        +1

        Добавлю, что в других БКИ такая платная услуга также как правило есть (посчитал, прикинул, не пользуюсь, поскольку там у меня не самая актуальная информация по банку, в котором уже нет карт). Полный список своих БКИ узнаю периодически на Госуслугах и бесплатно получаю кредитный отчёт два раза в год. Там все запросы видны. Но если такая периодичность не устраивает, то уведомления в приложении - выход. Не помню точно, но, вроде в упомянутом банке в каких-то случаях срок уведомления 20 минут, в каких-то - до 72 часов. Присылают СМС о наличии уведомления, подробности в приложении. Это если подробности интересны. Не слишком дорого выходит.


  1. bopoh13
    26.10.2021 04:05
    #23630562
    +1

    37: И не вводите данные карты
    47: Можно установить расширение https://addons.mozilla.org/firefox/addon/351419/


    1. mrzerg Автор
      29.10.2021 21:53
      #23646430

      Спасибо, добавил


  1. tendium
    26.10.2021 19:08
    #23633416
    +1

    Ещё можно переехать в страну, где с мошенничеством таких серьёзных проблем нет. Имхо, это проще, чем так параноить.


  1. Zordhauer
    29.10.2021 18:47
    #23645752

    Скимминг, как я понимаю, не актуален для карт с чипом и тем более для бесконтактных карт?


  1. iMoHax
    29.10.2021 21:53
    #23646434
    +1

    Установите автоблокировку экрана смартфона не менее 30 сек

    Полагаю имелось в виду не более 30 сек, иначе совет выглядит странным.

    На счет паролей и кодовых слов, на мой взгляд наша память слишком не надежна для их хранения, особенно в состоянии стресса их будет трудно вспомнить. Лучше все же в обычный блокнот их записать. Либо проводить учения раз в месяц)


    1. mrzerg Автор
      29.10.2021 21:55
      #23646440

      Учения раз в месяц - плюсую) На счёт памяти, можно использовать разные алгоритмы для составления сложных паролей и привязывать их к фактам, которые никогда не забываются. В ход идут мнемонические правила


  1. aakumykov
    29.10.2021 21:55
    #23646444
    +1

    n+2

    Проверять правила пересылки писем из своего почтового ящика. Порой мошенники настраивают зеркалирование вашей переписки с вытекающими.


    1. mrzerg Автор
      29.10.2021 21:56
      #23646452

      Интересно. А можно подробнее?


      1. JerleShannara
        29.10.2021 22:57
        #23646674
        +2

        В один прекрасный день вы получаете от мылосру, тындекс, гоу-огле оповещение, что в ваш аккаунт был вход из (к примеру) Зимбабве с устройства Windows XP. Вы рыпаетесь на сайт почтовика, вводите логин и пароль, они подходят, видите, что да, есть активная сессия из какой-то жопы мира, быстро меняете пароли и считаете что вам повезло(но фиг там). А через неделю обнаруживаете, что всё, что было завязано на почту — утекло и вам уже не принадлежит, т.к. в настройках переадресации взломщик просто включил «пересылать копии на k00lxa4x0r@example.com, оставляя оригинал.»


        1. 3aBulon
          15.11.2021 17:08
          #23708295

          Блин, пошел проверять :)


  1. zipaa
    29.10.2021 21:57
    #23646454

    Можно еще добавить пункт о покупке телефона эного бренда , где производителя не ставит вирусного софта. Думаю это не пункт а, рекомендация по поиску фирмы.


  1. aakumykov
    02.11.2021 09:05
    #23657228
    +1

    Рассказывали, что парень ушёл в армию, оставив телефон дома (м.б. взял другой). Вернувшись через год, обнаружил, что обслуживание остановлено за неактивностью, номер перепродан. Парень огрёб проблем с интернет-банками. Не знаю, насколько это правдоподобно, ведь, по идее, можно сходить лично в банк. Но говорили на полном серьёзе.


  1. Blackat
    20.11.2021 18:45
    #23728595
    +1

    Спасибо за такой исчерпывающий гайд


  1. avhelp
    20.11.2021 18:45
    #23728597

    "Не храните на компьютере очень важные файлы" наверное лучше заменить "Очень важные файлы храните на компьютере в зашифрованном виде. При этом обязательно делайте резервные копии на сменные носители".


    1. mrzerg Автор
      22.11.2021 17:51
      #23735117

      там фишка в том что если хранить их даже в зашифрованном виде, вирус шифровальщик их может зашифровать и доступа все равно не будет. Поэтому лучше хранить на внешнем носителе


  1. sunki
    25.11.2021 12:48
    #23747621
    -1

    Установить кодовое слово в офисе вашего моб.оператора

    Дальше можно не читать...


    1. mrzerg Автор
      29.11.2021 19:48
      #23765157

      Поясните пожалуйста почему


      1. sunki
        30.11.2021 00:15
        #23766107
        -1

        Никакая информация, которая используется, хранится и передается открытым текстом (в том числе третьим лицам) не должна использоваться для идентификации. Для кодового слова (а также "секретных" вопросов) часто используют легкодоступную информацию (например, кличка животного), оно доступно операторам и попадает в сливы вместе с остальными данными (в отличие от паролей, которые хотя бы захешированы). Не понятно, от чего именно хочет защитить себя автор, какие обязательства и последствия наступают у оператора после создания кодового слова. Если я просто его забуду, меня отправят в офис или достаточно будет назвать любые другие открытые данные (типа номера паспорта)? Короче, ответов больше чем вопросов. Вкупе с остальными спорными пунктами, а также их количеством, у меня возникают большие сомнения в компетентности автора касаемо рассматриваемых вопросов.


        1. sunki
          30.11.2021 12:40
          #23767889

          Вопросов больше, чем ответов, лол (уже нельзя отредактировать)