В интернете набирает обороты история с многократной выдачей дубликата одной и той же сим-карты злоумышленникам и последующим хищением средств. Вкратце, мошенники, используя подложную доверенность, оформили выдачу дубликата сим-карты жертвы, а затем, используя дубликат, похитили с различных мобильных и банковских счетов солидную сумму денег. Подобные случаи безусловно происходили и раньше. Изюминка же ситуации в том, что на этот раз жертвой мошенников стало известное и высокопоставленное лицо, а дубликат сим-карты выдали несколько раз за сутки в разных офисах оператора ( и разных городах). При этом у абонента уже была установлена «блокировка» выдачи дубликатов на все офисы оператора, кроме одного, да и то по предъявлению паспорта и кодового слова самим абонентом ( но никак не доверенности).
Оператор связи показал полную беспомощность в данной ситуации и не способность защитить своего абонента, а руководство компании оператора связи предприняло шаги, результат которых пока не ясен, только после придания огласки истории широкой аудитории. До этого момента компания ограничилась предоставлением бонусных 2000 рублей на счет пострадавшего абонента. И если финансовые потери пострадавшего еще можно как-то возместить, то утечка конфиденциальных данных может представлять собой куда большую проблему. Что же делать простым смертным, не обладающим возможностью подобным образом «достучаться до оператора»? Мошенники действуют быстро и слажено, а операторы крайне медлительны в рассмотрении подобных жалоб.
Как избежать подобной ситуации в условиях полной беспомощности мобильного оператора:
0. В случае обнаружения выдачи дубликата сим-карты, немедленно блокируйте такую сим-карту и все связанные с ней платежные аккаунты и банковские карты.
00. Звоните в офис банка и сотового оператора или или блокируйте через интернет, если еще есть такая возможность, не тратьте время на пеший путь.
1. Используйте отдельный телефон и телефонный номер для работы с онлайн- и теле-банкингом.
2. Если для авторизации вам достаточно sms, используйте примитивный мобильный телефон, а не смартфон.
3. Никому и нигде не сообщайте номер этого телефона.
4. Не устанавливайте абсолютно никаких лишних приложений, если используете смартфон для этих целей.
5. Не пользуйтесь браузером или почтой на данном смартфоне.
6. Не привязывайте все свои аккаунты к одной почте и\или одному номеру телефона.
7. Не используйте очевидные или простые пароли для банковских или платежных приложений.
8. Отключите геолокацию во всех встроенных социальных приложениях в смартфоне.
9. Используйте отдельный аккаунт магазина приложений для смартфона, хранящего доступ к платежным и банковским аккаунтам.
10. Не покупайте «анонимные» Sim-карты для своих основных счетов. Это может быть ловушкой злоумышленников.
11. При первой возможности (и в дальнейшем регулярно) проверьте в офисе оператора, сколько на ваше имя зарегистрировано сим-карт.
12. Если распоряжаетесь крупной суммой денег через онлайн-банкинг, попросите у банка услугу "криптокалькулятора".
UPD Тем временем оператор связи официально признал, что среди его сотрудников есть мошенники. Учитывая факт, что подобные истории происходят не в первый раз, можно предположить, что накроют не всех.
UPD 2 По информации от других абонентов, оператор связи продолжает крайне медленно реагировать на жалобы об угоне сим-карт от менее привилегированных клиентов.
Комментарии (202)
tyderh
22.09.2015 14:28Вопрос немного не по постуТут недавно на на вокзале мне дали «бесплатную сим-карту». Ради интереса взял. Кто знает, как они на этом зарабатывают?Или это не мошенники, а действительно инициатива полосатого оператора?В комплекте шел незаполненный договор с печатью. Карта, вроде, новая, до сих пор работает. До активации стартового баланса было -5 рублей на счету, после — 5 рублей.
Scraelos
22.09.2015 14:36+2Предположу, что оператор своим дилерам даёт план, что нужно продать 100500 симок, а за каждую «активную» симку потом выплачивается неплохое(раз этим занимаются) вознаграждение. При этом, видимо, оператора не волнует, каким образом продаются его симки.
Оператора также не волнует, что симки могут использовать мошенники, чтобы «анонимно» выходить в интернет или выводить ворованные деньги.
VenomBlood
23.09.2015 02:23+1cимки могут использовать мошенники, чтобы «анонимно» выходить в интернет или
или? Т.е. по вашему анонимный выход в интернет — это уже «мошенники»?
Wernisag
23.09.2015 05:07+2Тут нет объяснения тому, кто такие мошенники. Есть утверждение, что мошенники могут использовать такие-то возможности в современных реалиях наравне с другими законопослушными людьми.
FloppyFormator
22.09.2015 14:36+3Есть версия, что номинальный владелец сим-карты переводит все внесённые средства на другой номер.
Jeditobe
22.09.2015 14:40+9Так и есть. Проводили эксперимент. Как только на счету оказывается какая-нибудь существенная сумма, или деньги пропадают или симку блокируют.
randoom
22.09.2015 14:37+1, мне тоже любопытно, в том числе — каким чудом эти симки работают без паспортных данных.
tyderh
22.09.2015 14:43Личный кабинет не работает, кстати. «Контракт не зарегистрирован».
Scraelos
22.09.2015 15:11-1лучше зарегистрируйте на себя, если планируете пользоваться этой симкой
tyderh
22.09.2015 15:14+1Исключительно для прайваси брал — регистрировать одноразовые аккаунты во всяких контактиках и прочих ресурсах, неоправданно требующих номер телефона.
4knowledge
22.09.2015 16:36-1Для таких вещей есть виртуальные номера, различные сайты) Хотя они плохо стали работать, сайты спалили контору
catharsis
22.09.2015 16:39Можно у своего оператора подключить дополнительный номер, смотря что и от кого планируется скрывать
reff
24.09.2015 12:47+1Они лучше, проще или более анонимны, чем сторублёвая симка, купленная у метро?
4knowledge
24.09.2015 13:30-2Тем, что ими можно пользоваться через TOR, а вот покупка симки без паспорта так то подсудное дело
ipswitch
22.09.2015 21:50на тех, кто оформлены на колхозы — работает сразу. а Вашу проверьте через недели три-четыре — заработает.
Dolios
22.09.2015 15:25+3Вы приходите в офис оператора с паспортом и оформляете на себя 1 симку. Сотрудник офиса оформляет вас еще 10 симок, которые потом продаются у метро.
Goodkat
22.09.2015 15:49+1Их разве не видно потом?
Мне тут в магазине в нагрузку дали 4 бесплатных симкарты, ну я бросил их в ящик стола, а потом на сайте оператора вдруг увидел, что на моё имя записано вдруг пять таких симкарт, значит продавец кому-то сплавил пятую оформленную на моё имя симку.
Я их сразу заблокировал, звонил несколько раз опсосу, писал бумажное заявления для отказа, обещали убрать «через месяц», но всё равно так и висит 8 номеров на моё имя, хотя активны и используются только 2.
format1981
22.09.2015 16:23+3Посмотрел в ЛК билайна, не нашел информации о других номерах. Подскажите кто-нибудь где можно глянуть эту инфу.
vorphalack
22.09.2015 17:55ногами в офис идти придется, либо долбить операторов, но я не уверен что у них есть такая информация или право ее разглашать.
ЛК пчелиный показывает только номера, которые ты сам туда руками вписал.
Borz
22.09.2015 21:55есть право «разглашать» владельцу по паспорту, но только в пределах региона — в офисе МТС так делал не раз. Но тут надо учитывать, что это должен быть именно офис, а не пункт продажи
vorphalack
23.09.2015 07:59я, собственно, о том же, что надо ножками топать, а по телефону покажут болт с левой резьбой.
inkvizitor68sl
22.09.2015 19:31+2У меня обратная проблема — есть симка билайна, которую я не могу зарегистрировать на свои паспортные данные вот уже второй год. Ну то есть симка у меня дропнулась, её продали другому человеку (без регистрации на паспорт), а я её выкупил у него с рук, и вот уже второй год я задалбываю саппорт вопросами «как мне зарегать симку на свои паспортные данные?». Ничего ответить не могут. Один раз я написал заявление, но результата не дало вообще никакого — даже отрицательного ответа с отказом на бумаге не прислали в то отделение, где я писал заявление.
Всё веселье в том, что симка была до этого зарегистрирована на мои же паспортные данные порядка 7 лет.
Так что прекрасно они без паспорта живут.Smolka
22.09.2015 23:25Год назад переоформил на себя симку родственника, которой я пользовался года два. В центральном офисе написал заявление с просьбой переоформить на моё имя, т.к. пользуюсь номером и своевременно оплачиваю… Бред какой-то… но, никаких документов кроме моего паспорта не понадобилось. Через месяц получил договор на своё имя… тихо ужаснулся, ведь так запросто можно номер отнять или получить дубль, и, наверняка, особенно просто если «свой человек» в салоне есть.
Попробуйте удачи в разных офисах.inkvizitor68sl
23.09.2015 00:14У меня проблема в том, что симка вообще ни на кого не оформлена. Говорят «идите к тому, кто вам её продал — пусть регистрирует». А где я буду искать этого «продавца», который в переходе на ВДНХ стоял.
XogN
22.09.2015 14:39+2Просто они легко могут снимать деньги со счета этой симки.
Вроде как, она считается корпоративной, и допускает манипуляции с балансом без вашего ведома.
ValdikSS
24.09.2015 23:18Ваша история, по крайней мере, выглядит гораздо законней моей. Мне в Москве дали 2 симки на улице, запакованные в пленку, и на каждой был баланс 250 рублей. Они не требовали договора, вставил@пошел. Это, пожалуй, самое странное, что со мной случалось в жизни.
Выдавали их по одной в руки, мы шли с другом.ipswitch
26.09.2015 18:27Билайн? Симки корпоративные, оформлены на большой колхоз. Чаще всего раздают приезжим у вокзалов. Даже если не воровать деньги со счётов используя средства управления организации, колхоз получает профит от билайна. Им платят процент от трат абонента.
zedalert
22.09.2015 14:41+2А мне уже который месяц не могут вернуть права владения номером (пришёл с ним в фирму), нужна куча документов, времени, и немного денег на счёте, и при этом процедура заваливается на раз. (хоть это и не билайн)
А билайн до сих предпочитают бандиты и разводилы всех мастей перед другими операторами, может пора бы уже менять что-то более существенное, чем логотипы и лозунги?
Vinchi
22.09.2015 18:19-2Никакой кучи документов не надо — просто доверенность от работодателя по форме оператора. Дальше вы идете с ней к оператору в офис, кладете деньги на счет и все симка снова ваша.
EnterSandman
22.09.2015 14:48+20Давайте честно. Никогда и никому не сообщайте — для этого есть чёрный рынок, где за смешные деньги «пробивают» по большой тройке… Сейчас придёт теле2 — и по нему будут сливать информацию — достаточно знать ФИО.
Иногда моему знакомому приходится пользоваться такими услугами для проверки контрагентов.
Буквально недавно был случай — умерла сим-карта (а у одного оператора они дохнут с завидным постоянством), привязанная к интернет-банку организации. Товарищ давно уволился и контакта с ним нет. Пришлось «узнавать» его данные и лепить доверенность от его лица и организации чтобы восстановить доступ — это был наиболее быстрый и простой способ.
Поражают сами операторы. Бывает такое что самолично не можешь получить замену своей sim потому что:
— пользуются родственники, но покупал её я, живущий в другом городе — ходил в офис, получал новую sim, отправлял курьеркой
— аналогично со своей симкой — она московская, но я был в другом городе — у полосатого оператора нет «московских симок» — езжай в Москву, меняй там (что за _московские симки_ и когда уже эта эпопея с роумингом закончится — не знаю)
— обмен только по паспорту — вот вам фото моего паспорта, мои права, военный билет… ну не ношу я с собой паспорт, вот другие документы и кодовое слово я назвать могу — нифига
Зато сотрудники офисов опсосов первому встречному готовы отдать дубликат sim за бумажку с синей печатью — какая-то обратная лояльность к клиентамvlivyur
22.09.2015 15:49Про пользуются родственники: сами так делали, пришли у себя в офис и накатали доверенность на удалённого родственника. Там спокойно потом всё сделали.
formasha
22.09.2015 14:50+7Маленькая поправка от имени Яндекс.Денег — в истории, на которую вы ссылаетесь, деньги усердно пытались украсть, но не украли.
JhaoDa
22.09.2015 15:00+4Анна пишет, что после второго перевыпуска симки деньги всё же украли:
Позавчера в 18 часов вечера моя симкарта снова была выдана неизвестным лицам! И сразу были украдены деньги с Яндекса по одноразовому паролю.
formasha
22.09.2015 15:44+8Это было подозрение, оно не подтвердилось. Деньги не украли. Мы попросили Анну сделать апдейт к посту, чтобы неверная информация не тиражировалась в СМИ, которые не следят за ходом событий и не связывались ни с Анной, ни с Яндекс.Деньгами.
Отдельно интересно, как у вас фраза «сразу были украдены деньги с Яндекса» превратилась в «похитили с различных мобильных и банковских счетов солидную сумму денег».JhaoDa
22.09.2015 15:56+2У меня ничего ни во что не превращалось, я цитирую пост Анны с Фейсбука.
formasha
22.09.2015 16:01Да, простите. Не у вас, а у Jeditobe
Jeditobe
22.09.2015 16:08+1Я не знаю, где она делала апдейт. Но у нее черным по белому написано:
Позавчера в 18 часов вечера моя симкарта снова была выдана неизвестным лицам! И сразу были украдены деньги с Яндекса по одноразовому паролю.
Итого: я провела выходные в офисе Билайна, два дня без телефона, все три почты взломаны — Гугл, Яндекс, Мейл, украдены деньги с кошелька.
Что у каждого из Вас, кто абонент Билайна, могут вот также просто увести телефон, а за ним — почту, кошелек и все остальное?
У Яндекс Денег у каждого аккаунта есть карточка (пусть и не всегда выданная) и банковский счет. Привет банку Тинькова. Я нигде не соврал.formasha
22.09.2015 16:33+5«Похитили с различных мобильных и банковских счетов солидную сумму денег» — вот здесь :(
Пока Анна не сделала свой апдейт, предлагаю (уж простите за настойчивость) апдейт от Яндекс.Денег: Наша система безопасности предотвратила попытку мошенничества, деньги не были похищены и находятся на счете пользователя.
formasha
23.09.2015 13:53+2В сухом остатке: сим-карта выдана в Омске вообще без каких-либо оснований, компания Билайн это признала. Сим-карта, трижды выданная в Екате по доверенности — жду от компании скан этой доверенности. Деньги вывести не успели, запрашивали на вывод 72 тыс. Заявление в органы подано, о результатах буду сообщать.
https://www.facebook.com/annaznamenskaya/posts/10207689697860791?comment_id=10207703393043162lexore
24.09.2015 16:43+2Если сложить ваши слова и Анны, можно угадать такую хронологию:
— Деньги-таки перевели с аккаунта Анны на левый аккаунт;
— С левого аккаунта попытались вывести деньги, но не смогли;
— Анна подняла шумиху;
— Вернули деньги с левого аккаунта на её аккаунт;
Просто с точки зрения Анны, как обычного пользователя «украли деньги» = «нет денег на счету».
А с вашей точки зрения это только «деньги перевели между счетами, но они остались внутри системы».
Поэтому, так как здесь большинство пользователи, уместнее говорить так: «деньги украли, но потом вернули».
Чтобы сохранить лицо компании, вам нужно рассказывать про другой момент.
Если ваша система стопорнула вывод денег до публикации Анны, то вы молодцы (так как разобрались бы и вернули деньги и без публикации).
А если после, то не молодцы.
Лично я предполагаю, что мошенники постарались бы сразу вывести деньги.
Поэтому можно предположить, что ваша система сработала до.formasha
24.09.2015 19:15-3Повторюсь с вариациями: деньги не были похищены, не были украдены, не были переведены на другой счёт внутри системы или куда-либо ещё. События, описанные в посте, происходили и завершились до публикации — из самого поста это очевидно.
lexore
24.09.2015 19:29+4По вашей логике, Анна фразой
И сразу были украдены деньги с Яндекса по одноразовому паролю.
имела в виду совсем не то, что она имела в виду.
Зато фраза
Деньги вывести не успели
конечно же означает «Деньги даже не сняли с моего кошелька. Они все время там оставались. И куда я только смотрела?»
P.S.
Хочу напомнить, что публика хабра — это очень разумчивые и вдумчивые люди, которые часто по долгу службы умеют находить логические несостыковки.formasha
24.09.2015 20:00-3Дискутировать, кто чего имел в виду, не вижу смысла. Если будут ещё вопросы о Яндекс.Деньгах — постараюсь ответить :)
solver
22.09.2015 15:17+2Вы шутите или издеваетесь?
Что там «усердно пытаться», когда это обычная операция по переводу.
Зашел на сервис, ввел данные для перевода, ввел разовый пароль полученный на украденную симку и готово.formasha
22.09.2015 15:49+3К счастью, в реальности всё «немного» сложнее, Яндекс.Деньгах вполне эффективный антифрод и кражу удалось предотвратить.
ProRunner
22.09.2015 14:52+4С другой стороны это это также уязвимость со стороны банков и платежных систем, позволяющих вход в интернет-банк и перевод денег после замены сим-карты
FB3
22.09.2015 15:21+6Сбербанк и Ситибанк автоматом отключают отправку смс для авторизации и подтверждения действий в интернет-банке, когда меняешь сим-карту.
Нужно звонить в банк с кодовым словом или идти в банкомат с карточкой.
Про другие банки сообщу позже, когда пойду обычную симку на микро поменять.Jeditobe
22.09.2015 15:24+1Сбербанк еще недавно точно не отключал ничего.
FB3
22.09.2015 15:56+1Ok, уточняю:
Сбербанк на Мегафоне отключал буквально три недели назад
Ситибанк на МТС отключал довольно давно, возможно сейчас что-то поменялось, не пользовался им давно.
Makc666
22.09.2015 18:37+2У CitiBank, точнее у его СМС-оператора, проверка IMSI пошла ещё дальше.
На примере МТС: если ставишь переадресацию СМС с одного номер на другой через SMSPro, отправка CMC прекращается (это для тех СМС, которые идут по IMSI каналам).
wrewolf
23.09.2015 13:04менял симку года полтора назад, когда говорили, что сбер отключает, но как работало так и работает до сих пор
Lecactus
22.09.2015 16:49+1Сбербанк (в Новосибирске) отключал мне мобильный банк еще в 2012 году когда пришлось заменить сим карту из-за ее умирания. звонил им, они просили идти к банкомату, распечатать свежий чек и по телефону сверяли какую то информацию
EnterSandman
22.09.2015 16:53Год назад уже была подобная дискуссия и там я описывал момент с идентификацией по IMSI — сбербанк тогда лажал по этому пункту.
Сейчас злоумышленники работают по двум схемам — трояны на мобильных или «давай перекину тебе денег, дай код из смс», хотя может бабушек еще и до банкоматов гоняют с секретными кодами лотереи вида "+79651234567"
Meklon
22.09.2015 16:54+1Менял симку три недели назад. МТС. Сбер не отвалился.
sHaggY_caT
23.09.2015 23:05Месяц назад где-то меняла SIM-карту Билайна на новую, поддерживающую LTE — Ситибанк отвалился. Пока не дошла в тот день до интернета на стационаром компьютере, долго пыталась понять, как они узнали :)
shaman3D
22.09.2015 17:05-1При переносе номера с Мегафона на Йоту Сбербанк отключил отправку, после обратного переноса с Йоты на Мегафон не отключал.
ingumsky
22.09.2015 22:02Сорри за оффтоп: Не поделитесь соображениями, по которыми вы перешли к Йоте, а потом обратно? У меня была мысль уйти на Йоту с зелёно-фиолетовых, но пока я не определился.
shaman3D
23.09.2015 15:24+1К «синим» уходил на посмотреть, что из себя представляют, когда у них была бесплатная акция перехода с бесплатным месяцем (или что-то типа того у них было летом)
После того как убедился, что:
1. тетеринг с айфона на айпад невозможен — именно невозможен (64 кбит/с для моего юзкейса тогда бы устроил) — после сопряжения айфон-айпад через секунд 5-10 связь просто напросто рвалась и тут же поднималась (сопряжение при этом оставалось поднятым).
2. никакая ТП по чату — утверждали, что тетеринг возможен (как и тут пишет Yota4All что оно так и есть), но в реальности всё не так.
История возвратаА вот после возврата к «зелёно-фиолетовым» в конце июня во «Всё включено» не подключились предоплаченные пакеты (смс, минуты), в начале сентября пришлось переключаться на тариф, где пакеты просто отсутствуют — «Всё просто», после чего меня обрадовали, что всё починили (чинили более 2 месяцев). Правда обещать не стали — сказали, что вы всегда можете обратиться с заявкой вновь :)
Но это уже совсем другая история :)
nmk2002
22.09.2015 15:29+1Буквально неделю назад сменил сим-карту.
Никакие сервисы Сбербанка не отвалились.
К слову, Банк Москвы, тоже продолжает присылать СМС с паролями.Dolios
22.09.2015 15:35+2Буквально неделю назад сменил сим-карту.
Наверное, тут нужно говорить о связке опсос-банк.palmich
22.09.2015 15:56+2не совсем так. Это зависит, как банк реализует схему работы с смс. Банк может либо просто отправлять смс по smpp, либо реализовать подключение к опсосу на уровне SS7, и тогда получать чуть более расширенную информацию по номеру абонента. В том числе и номер симкарты. Вот, например, можно потестить
Wedmer
22.09.2015 15:42Позапрошлом году менял билайновскую симку. Перестали отправлять пароли, пока я не позвонил в банк.
Dolios
22.09.2015 15:34+5Альфа моментально вырубает. Включают только после визита в офис с паспортом.
immaculate
22.09.2015 15:40+1Это по вашему опыту. Я в январе поменял сим-карту и продолжал пользоваться А-Б на всю катушку еще около недели, прежде чем отключили доступ.
Dolios
22.09.2015 15:41А какой у вас оператор? У меня билайн.
intelligence
22.09.2015 16:39Тоже самое, я уже однажды отписывал на эту тему.
habrahabr.ru/post/256579/#comment_8394537 оператор Мегафон.
Более того, недавно взял временную симку мегафона и на следующий день на него пришла какая-то информационная рассылка от Сбера с номера 900, м.б. сам номер уже не привязан ни к чему, но все равно довольно странно.
Zapped
22.09.2015 16:41а мне достаточно было позвонить, и через оператора и кодовое слово подтвердить смену SIMки. такое было проделано не единожды за пару лет. тоже Альфа, тоже Билайн
Dolios
22.09.2015 16:53Знаете, возможно я наврал. Я точно помню, что при смене номера мне 100% пришлось идти в офис и писать заявление. И помню, что при смене симки сразу же вырубился доступ к клиент-банку, от банка пришли смс-ки по этому поводу через минуту после того, как вставил новую симку в телефон. А вот как я подтверждал замену симки, я сейчас понял, что достоверно не помню. Возможно, что тоже делал это по телефону.
Прошу прощения, если кого-то дезинформировал.palmich
22.09.2015 17:29у Альфы в разное время были разные требования, одно время (когда это появилось) просили подойти в офис, потом стали по телефону разблокировать.
Плюс альфаклик работал на логин, но при попытке сделать платеж — код не присылался, выдавало сообщение, что поменялась симкарта, надо подтвердить замену.
Scraelos
22.09.2015 15:41+1в этом году я менял симку. Сбербанк на это никак не отреагировал.
FB3
22.09.2015 15:59Видимо от опсоса зависит, смотри выше.
А может совсем недавно что-то поменялось.solver
22.09.2015 16:18Ничего не поменялось.
Супруга неделю назад переходила между операторами с сохранением номера, т.е была не просто замена симки, но и смена оператора. Сберу пофиг, как работал так и работает.
vlivyur
22.09.2015 15:51Неправда. Ни Сити, ни Сбер ничего такого не сделали год назад. А как мы уже как-то здесь выясняли — не во всех регионах это работает.
Pas
22.09.2015 15:57+1Альфабанк ещё сравнивает IMSI (уникальный номер подписчика), если поменялся (то есть сменилась симка), то просит авторизовать действие через банк. Насколько я понимаю, делается это элементарным HLR запросом, своеобразным «пингом» номера, который возвращает идентификаторы сети (MCC+MNC), IMSI и MSC (обслуживающий в данный момент абонента центр коммутации).
mrol
22.09.2015 15:25+11. Используйте отдельный телефон и телефонный номер для работы с онлайн- и теле-банкингом.
3. Никому и нигде не сообщайте номер этого телефона.
Как мера security through obscurity?
Ведь на этот номер также смогут перевыпустить симкарту.Jeditobe
22.09.2015 15:28Злоумышленники действуют наверняка и целятся на наиболее состоятельных клиентов. Указанные меры на порядок снижают риск быть обворованным в условиях бездействия оператора. Плюс гораздо легче будет доказать, что это не вы сами кому-то слили доступ случайно.
mrol
22.09.2015 15:38На мой взгляд, злоумышленники не обязательно целятся на наиболее состоятельных.
Как вариант, можно перевыпускать симкарты и пытаться перевести деньги через мобильный банк Сбербанка.
Это сработает в большинстве случаев, так как карта Сбербанка есть у многих (статистика на 1 января 2013 года), а операционисты настойчиво предлагают подключить мобильный банк.Jeditobe
22.09.2015 15:48А публикация своего номера телефона вместе со всеми данными о вашей платежеспособности вообще равносильна тому, что вы сами деньги ворам в карман положите.
mrol
22.09.2015 16:14+1Да, и это печально.
Мне кажется, было бы логичнее использовать аппаратные токены.
А без их использования (например, через мобильное приложение) оставлять пользователю возможность переводить деньги только между своими счетами и по уже сохраненным шаблонам (например, оплата мобильного телефона, домашнего интернета и т.д.).
Может, в каких-то банках есть уже такой функционал?mgremlin
22.09.2015 16:20Раньше был — всякие типа скретч-карты, сохраненные ключи.
Но сейчас все это вытеснено паролями через SMS.
Pilat
22.09.2015 16:35100 миллионов токенов? Организовать их раздачу, поддержку?
На руках у людей телефоны, даже не смартфоны. Токен надо покупать, деньги тратить, выбирать модель, учиться пользоваться…4knowledge
22.09.2015 16:39Вот у близов есть токены, можно приложение поставить на телефон
catharsis
22.09.2015 17:17Гугл-аутентификатор работает для всех желающих по открытому алгоритму, не надо изобретать велосипед.
Возможно, он даже как-то защищен на случай физического доступа к смартфону.mrol
22.09.2015 17:29В альфа банке есть свой аналогичный велосипед
Как вариант, можно завести отдельный смартфон и поставить туда Альфа ключ.
Заодно нашел, что можно подключить токен к Яндекс деньгам.
grossws
24.09.2015 00:12В этом плане ЯД отличились со своим Я.Ключ. Лишь бы не брать нормальный TOTP и не иметь совместимости с google-authenticator/freeotp.
Кстати, кто беспокоится по поводу закрытости google-authenticator — freeotp от redhat открыт (Apache License v2).
mrol
22.09.2015 16:56Для тех же юридических лиц ЭЦП повсеместно используется в банк-клиентах.
Следовательно токены покупаются, поддерживаются, людей учат этим пользоваться.
nmk2002
22.09.2015 17:34+1Если токен интегрирован в платежную карту, то проблема дистрибуции отпадает.
catharsis
22.09.2015 17:44+3на всякий случай, выглядит это как-то так
newsroom.mastercard.com/press-releases/mastercard-introduces-next-generation-display-card-technology-a-first-for-singapore
Rumega
22.09.2015 18:54+2Аппаратные токены (могут называться «генераторы паролей», «криптокалькуляторы» и т.д.) в банках бывают. Из числа тех банков, с которыми я сталкивался, такую услугу предоставляли Газпромбанк и Московский Индустриальный.
Стоимость такой штуки порядка 1 тыс., но в принципе, это дешевле отдельного мобильного телефона с СМС-авторизацией.bachin
22.09.2015 19:46+1Райфайзен предлагает (по крайней мере 2 года назад предлагал) кард-ридер, то есть коробочку, которая выдает пароли для интернет-банка после того, как в неё воткнешь карту и введешь пин. Но по-моему большинство авторизуется через смс.
Автобанк (впоследствии Уралсиб, а сейчас уже и не знаю) выдавал USB-ключ для подписи транзакций через ИБ. Но это было больше 10 лет назад.
4knowledge
22.09.2015 16:24Почему, я уверен у многих состоятельных людей узнать злоумышленникам номер не проблема, но таких кул стори слышно не много?
Jeditobe
22.09.2015 16:29Потому, что моими советами пользуются и много-факторной авторизацией. И главное, они зарегистрированы как VIP-клиенты, с ними банки и операторы по другому разговаривают и ноги им лижут. Всегда готовы транзакции остановить или взад повернуть.
4knowledge
22.09.2015 16:32Ок, такому верю, а как же защитить почтовый ящик, я вот телефон к нему подключал для того, чтобы наоборот повысить надежность?
catharsis
22.09.2015 17:25+3Миллион способов сопоставить номер телефона с повышенной вероятностью наличия денег.
Например, оставьте на авито вкусное объявление и не берите трубку.
ploop
22.09.2015 23:43+1А публикация своего номера телефона вместе со всеми данными о вашей платежеспособности вообще равносильна тому, что вы сами деньги ворам в карман положите.
Вы знаете, сколько такой информации можно найти, элементарно приложив мозг? Например, на специализированных форумах, не связанных с IT и прочим, где тусуются увлечённые люди (рыбаки, строители, да кто угодно). В одном посте по продаже чего-то фигурирует и карта, и телефон, и видно оборот по ней (заказчики отписываются), и 90%, что телефон привязан к карте.
Предполагаю, что и в соцсетях то же самое (предполагаю потому, что не пользуюсь последними)
Gnuava
22.09.2015 15:43+2Интересен комментарий представителя билайна по данному поводу: налицо уголовка двумя и более соучастниками внутри оператора связи. И предвидеть подобное невозможно, только ликвидировать виновных.
По-видимому, единая БД для всех у них, даже на регионы нет деления. Следовательно, они долго будут устранять этот косяк.
По-большому счету, оба, и пострадавшая, и оператор связи, должны были, помимо беспокойства собственной СБ, побеспокоить и ментов, простым увольнением тут не отделаешься.
mgremlin
22.09.2015 16:19В начале года поменял симку в Мегафоне на 4G.
единственный, кто сократился — Ситибанк.
Туда же воткнуты Райф, Альфа, Тиньков, Авангард. Никто из них не отреагировал.
Что-то это мне не нравится…
Регион — Москва.Jeditobe
22.09.2015 16:20+2Мне нужно срочно вам позвонить, номер телефона не подскажете?
mgremlin
22.09.2015 16:22Да вот начиналось-то это все боль-мень прилично: МТС для голоса, а мегу взял исключительно как дата-терминал, чтоб никогда не звонить.
Но ведь гады же: у МТС голос все хуже и хуже, а у меги тарифы такие приятные появились…
Короче, спасибо за напоминание, надо обмозговать стратегию заново.4knowledge
22.09.2015 16:28tele2 в октябре запускаются в мск. А так номер телефона должен быть как дополнительный фактор защиты, но не основной (привет двухфакторная авторизация). Тот же Сбер не даст получить доступ в переводу без знания злоумышленником логина, а логин там не может быть простым
catharsis
22.09.2015 16:34-1Логина или пароля? А то логин+пароль уже двухфакторная аутентификация получится.
Я так понимаю, трояном уводятся пароли и информация о суммах, потом делаются симки, где это имеет смысл.
Сервис, который позволяет все восстановить по одной лишь смс — очень странный в плане безопасности, тем не менее некоторые банки предлагают восстановление логина по смс4knowledge
22.09.2015 16:41В сбере, зная логин свой и имея доступ к симке, можно получить одноразовый пароль. Но логин там сложный по дефолту
catharsis
22.09.2015 16:52Действительно, можно.
Хотя бы логин по смс нельзя восстановить.
Однако, неожиданно, что нужно хранить в тайне не только пароль, но и логин.
Dolios
22.09.2015 16:54Но логин там сложный по дефолту
Его поменять можно зато.4knowledge
22.09.2015 17:04Но как, зная имея доступ к симке только?
Dolios
22.09.2015 17:07+1Я имею в виду, что юзер заранее может поменять логин с 12333423424 на vasya.pupkin
grossws
24.09.2015 00:16+1А то логин+пароль уже двухфакторная аутентификация получится
Лажа. Это один фактор «знаю». Телефон, хоть и слабый, но второй «имею».
inkvizitor68sl
22.09.2015 19:37Менял симку на другой формат, Райф, сбер, WM, QIWI (там, правда, денег нет), авангард — живы и радостно шлют одноразовые смс.
ValdikSS
24.09.2015 23:58Вы пробовали деньги переводить? Мне Альфа тоже шлет одноразовые СМС, но как только введешь код из нее, ругается и отказывается проводить транзакцию.
foxyrus
22.09.2015 22:16Поменял симку сначала симку на 4G Мегафон — Тинькофф перестал работать, пришлось активировать новую симку. Через некоторое время поменял оператора (номер остался тот же) — Тинькофф перестал работать.
Года 3-4 назад на смену симку так же реагировал Альфабанк.vikarti
23.09.2015 07:06у Альфа-банка смена пароля альфа-клика если старый истек или забыт реализована интересно: 4 последних цифры номера любой активной карты + дата действия + капча с выбором объекта(«выберите из картинок жабу») + авторизация через СМС. (Альфа-ключ у меня не подключен потому что были с ним глюки и в офисе сами посоветовали выключить). А вот мобильное приложение не задействуется в процессе сброса никак.
catharsis
22.09.2015 16:38Как эти советы, кроме последнего, помогут от атаки перевыпуском сим-карты?
Jeditobe
22.09.2015 16:43Абсолютной защиты не существует ни от чего в мире. Но советы значительно снизят вероятность выпуска дубликата для злоумышленников.
У жертвы в описываемом случае номер был известен многим, как и ее материальное благосостояние. На один номер было привязано множество аккаунтов. «Все яйца в одной корзине».
Злоумышленники не работают по площадям, массовая замена сим-карт вызовет подозрения. Они работают точечно и целятся в состоятельных людей.catharsis
22.09.2015 16:58+2Судя по количеству публикаций, в том числе от жертв, они всё-таки работают по площадям.
Состоятельный — очень растяжимое понятие в данном случае, учитывая что сбер разрешает подтверждать по смс переводы до 600 тысяч (не знаю, можно ли сделать несколько таких переводов подряд).
Почти никто не приходит с поддельной доверенностью прямо в банк. Хочется достичь примерно той же степени защиты и со стороны мобильных операторов.vlivyur
22.09.2015 16:59Нет, этот лимит на день.
catharsis
22.09.2015 17:04То есть, можно сделать два перевода в 23:59 и 0:01:)
JerleShannara
22.09.2015 18:21+1А вот фиг, натыкался (правда переводом через «смс на номер 900») — они считают 24 часа с момента транзакции.
Jeditobe
22.09.2015 17:01Увы у вас неправильное представление о «площадях», вы путаете это с «веерным» эффектом. Затронуты многие, но злоумышленники не берут диапазон от «сих до сих» в 1000 или 10 000 номеров, а действуют выборочно.
Jeditobe
22.09.2015 17:01Увы, у вас неправильное представление о «площадях», вы путаете это с «веерным» эффектом. Затронуты многие, но злоумышленники не берут диапазон от «сих до сих» в 1000 или 10 000 номеров, а действуют выборочно.
catharsis
22.09.2015 17:11Во всяком случае, потенциальных целей сотни тысяч. Это не пара знаменитостей, которым кто-то сбрутил пароли.
beeinfo
22.09.2015 17:09+6Официальный комментарий:
freedom.livejournal.com/2250642.html
Друзья, в нашей компании случилось ЧП. Буквально в течении суток, сразу несколько групп злоумышленников совершили спланированные действия в отношении нашего клиента Анны Знаменской. Об этом она написала на своей личной странице в Фейсбуке.
Мошенники использовали поддельные доверенности в Екатеринбурге и получили симкарту с ее номером. Мы очень оперативно отреагировали и ситуацию удалось разрешить, но уже на следующий день, в Омске другая группа преступников во главе с (!) нашим бывшим сотрудником в Омске, воспользовавшись доверием экс-коллег (раньше работали вместе в одном салоне), успешно получили очередной дубликат сим-карты Анны. Это было прямым нарушением наших должностных инструкций, эти сотрудники уже уволены. Кроме этого, мы прямо сейчас подаём заявление в правоохранительные органы с требованием возбудить в отношении этих людей уголовное дело. Я так же прошу Анну обратиться в правоохранительные органы с заявлением. Со своей стороны, мы гарантируем предоставление максимально полной информации для того, чтобы все участники этой преступной группы понесли наказание.
Мы бесконечно виноваты перед Анной. Я хочу принести извинения и от лица компании, и лично. Этот случай выявил серьезные проблемы в системе замены наших симкарт и прямо сейчас мы делаем все, чтобы в будущем такие ситуации были просто невозможны. Это неприятный урок и для нас, и, наверное, для всех, кто пользуется современными технологиями. К сожалению, в сговоре с нечестными сотрудниками такие ситуации возможны везде. Слава богу, деньги у Анны не пропали, наша команда успела оперативно сработать. Мы обязательно доведем это дело до конца. Я буду подробно рассказывать о всех этапах расследования, потому что защита интересов клиентов — это не только главный принцип работы, но и вопрос Чести.
neochapay
22.09.2015 17:23+4— Здравствуйте я хочу поменять симку номера 89009991111 вот доверенность
— Хорошо сейчас позвоню и уточню.
Сотрудний билайна забирает паспорт у того кто принёс доверенность и набирает 89009991111 и по телефону спрашивает (звонок записывается):
Добрый день это вас беспокоят из Билайна у нас доверенность от Иванова П.З. на смену вашего номера. Вы подтверждаете что вы ему выдавали?
Вариант 1 (Из трубки звучит да)
Подтвердите ваше ключевое слово которое вы заполнили при оформлении сим. Если вы его не помните сбростье его в личном кабинете.
Вариант 2(Из трубки звучит нет)
Вариант 3(Трубку не берут)
Отказ
Вариант 4(Телефон не доступен)
Отказ
Разрешаю меня нанять в СБ Билайна :))))
Вызывается наряд — подозрение в мошенничистве и так далееnmk2002
22.09.2015 17:29+3Симку могут менять, если она, например, неисправна или потерялась. Как быть тогда?
Варианты 3 и 4 из вполне легальных становятся основанием для вызова наряда полиции?Jeditobe
22.09.2015 17:31+1Пусть приходит владелец, если потерялась.
nmk2002
22.09.2015 17:46+2Есть случаи, когда владелец не может прийти самостоятельно (травмы, некоторые заболевания, нахождение за границей). Для этого и существуют нотариальные доверенности.
Makc666
22.09.2015 18:56+3А ещё может прийти похожий на владельца человек с его паспортом (настоящим, украденным, поддельным). Было бы желание получить SIM-ку, способы придумают.
В офисе не сидят люди, как на таможне, которые обладают необходимыми навыками по идентификации гражданина по одной фотографии в паспорте.
Вряд ли придумают что-то, что сильно усложнит данный процесс, кроме как полного запрета выдачи дубликатов без специального механизма подтверждения.
Кстати, обратите внимание на эту статью:
ЦБ РФ потребует от банков в обязательном порядке получать подтверждение от держателей карт на проведение CNP-операций
http://www.plusworld.ru/daily/cb-rf-potrebuet-ot-bankov-v-obyazatelnom-poryadke-poluchat-podtverjdenie-ot-derjateley-kart-na-provedenie-cnp-operaciy/
Хороший вариант, как дополнение, это генератор кодов в мобильном приложении, читай в телефоне, который мог бы помогать (усложнять) процесс прохождение проверки в офисе.
pil0t
22.09.2015 17:31Я думаю вариант 4 будет в 99% случаев легитимных замен. Не? Симку разве обычно меняют не тогда, когда она сломалась/недоступна?
ReMaker
22.09.2015 21:03+2А всего то надо после выдачи новой симки блокировать на ней смс услугу на сутки.
И тогда у настоящего владельца будет время среагировать.
А если этого не делают то похоже операторы в доле :)
DIHALT
23.09.2015 01:57Это если ему на симку сразу же придет какое то оповещение, что дескать у него дубль завелся. А если нет? А если он не увидел? Это ни разу не решение.
ReMaker
23.09.2015 11:32Это если ему на симку сразу же придет какое то оповещение, что дескать у него дубль завелся.
Когда заводится дубль основная карта перестаёт работать. Надпись на телефоне нет сети все заметят.
4aba
23.09.2015 10:06+1Так какие проблемы, разрешать на симках смс только после того как Хозяин отправит кодовое слово на специальный номер.
lasalas
23.09.2015 09:13+3советы местами напоминают старый анекдот о предохранении: обмотать конец гипсовым бинтом, накатать 2 презерватива и, главное, никаких женщин!
elite7
23.09.2015 11:23+7Ну в итоге, чтобы клиент не делал, оператор все равно может выдать сим-карту другому.
И пол лимона денег куда-то уйдут.
Ну и в итоге оператора немного поругают.
Как например в этом судебном решении про МТС от 12.09.2014
http://docs.cntd.ru/document/414595242
«замену сим-карты при отсутствии заявления абонента»
«Как следует из материалов дела, Михайлюк П.С. своего согласия на замену сим-карты не давал. Оператор связи не обращался к владельцу сим-карты путем выяснения его волеизъявления относительно данных действий.»
«МТС в объяснениях ссылается на то, что замена сим-карты была совершена вследствие заявления представителя Михайлюка П.С. по доверенности. Однако каких-либо доказательств данного факта не представлено»
«Привлечь открытое акционерное общество „Мобильные ТелеСистемы“ к административной ответственности и назначить административное наказание в виде предупреждения.»Pilat
23.09.2015 11:51+4Вот это и есть реальная причина бардака. Отсутствие ответственности. Реальные штрафы — и все заинтересованные быстро придумают как наладить безопасность.
lilo_panic
23.09.2015 13:47Предположение.
Мне всегда было не понятно, почему все эти услуги привязываются к телефонному номеру, который всецело контролировать абонент ЛИЧНО не может. Значит привязывать услуги нужно к какой-либо личной информации. Ну, например, делать hmac(secret, message).
Но уж если это не катит, то:
(Эти решения мне кажутся очевидными, но вполне вероятно, что %s.)
1. IMSI при перевыпуске сим-карты меняется?
2. Получает ли банк вместе с СМС от абонента IMSI или другую информацию?
Если 1&&2 вопросы имеют утвердительный ответ, то, имхо, все просто: реципиент не будет рассматривать сообщения от неизвестного IMSI.
В противном случае нужно, чтобы все операторы бродкастили банкам о перевыпуске сим-карты, пусть отвязывает от нее все услуги.mdaemon
23.09.2015 17:13все так и есть, после смены симки никакие пароли не приходят, пока сам не позвонишь и не скажешь кодовое слово.
В целом эта история подозрительна, или у нее кодовое слово было по умолчанию, и она его ни разу не поменяла, либо на самом деле вообще ничего не украли, максимум — почту увели.
fido_max
24.09.2015 22:02Две недели назад менял мегафоновскую симку. Сбербанк не заметил замены. Все работает. СМСки приходят, платежи отправляются.
Kostantin
24.09.2015 12:18Сразу бы сменила номер телефона в яндексе на другой и всё. А потом спокойно разбираться. А то и вообще уйти с номером к другому опсосу, благо сейчас такая возможность есть. Вроде прошаренная мадам должна быть, с такими-то должностями в послужном списке, а столько косяков.
Hint
24.09.2015 13:40+4beeinfo, сегодня у нас произошел аналогичный случай.
Мы иногда используем QIWI кошелек для расчета с партнерами. Утром перестали приходить SMS с кодами подтверждений, SIM-карта перестала регистрироваться в сети. Затем пришло письмо на почту от QIWI с информацией для восстановления пароля (кто-то пытался получить доступ к кошельку). Сразу поехали в офис Билайна и там узнали, что кто-то сегодня утром в Челябинске получил дубликат (оригинальная SIM-карта получена и используется в Москве). Заблокировали дубликат и получили новый. Самое интересное в том, что человек, на которого была оформлена карта, не является публичным, информацию о нем нельзя было найти где-либо в интернете. Имя и фамилию мог узнать только сотрудник Билайна по номеру телефона. В итоге, чуть не потеряли около 100 тысяч рублей, которые лежали на балансе в QIWI.
Возникает вопрос, действительно ли дело в доверенностях? Почему за последние несколько дней ситуация настолько ухудшилась? Сколько же должно быть «приближенных» мошенников, чтобы они вдруг могли заинтересоваться нами? Повторюсь, номер использовался исключительно для внутренних операций с QIWI и был зарегистрирован на человека, информацию о котором можно найти исключительно в базе Билайна.catharsis
07.10.2015 12:05либо партнеры знали ваш номер,
либо посредник в рассылке смс (через который проходят сообщения «ваш кошелек пополнен на миллион долларов через терминал»),
либо троян на компьютере человека, который заходил в кошелек,
либо сотрудники QIWI,
либо мошенники действовали наугад.
DIHALT
24.09.2015 23:21Где то год назад поменял симку. Альфаклик даже не дернулся. Все работало как и прежде. Вчера захожу — опа, не пускает, пишет вы симку изменили. Ну зашибись. Видать им задницу тоже петух жареный клюнул. Теперь палят.
BatR00t
29.09.2015 12:06Тут 100500 комментов о способах безопасной авторизации, а у меня вопрос про доверенности. На каком основании оператор сотовой связи будет отказывать предъявителю доверенности в выполнении действий, на которые онный уполномочен этой доверенностью?
Если такой отказ будет иметь место, то предъявитель доверенности (поверенный) имеет полное право обратиться в суд с требованием его поручение исполнить. И суд удовлетворит это требование, т.к. доверенность — закреплённый законодательством РФ документ, а внутренние правила оператора связи никого волновать не должны.
С одной стороны, конечно, злоумышленник не будет требовать через суд перевыпуск симки, с другой стороны, как пользователю корпоративного договора Билайна, мне часто приходится совершать какие-то действия по доверенности.
Хотя, в данном случае вина сотрудников оператора установлена, во-первых нужно привлекать к ответственности тех, кто удостоверяет доверенности без участия доверителя. И ещё, стоило бы оператору проверять доверенность в реестре отменённых (http://reestr-dover.ru) и сохранять скан доверенности, при её предъявлении.nmk2002
29.09.2015 12:18Добавлю: и фотографировать предъявителя доверенности.
BatR00t
29.09.2015 12:20Фотографировать предъявителя не нужно, достаточно его скана паспорта. Фото предъявителя будет на записи видеонаблюдения в офисе оператора.
nmk2002
29.09.2015 12:31Сам факт предложения сделать фото должен отпугнуть злоумышленника.
Если во всех офисах есть камеры достаточного разрешения, то возможно, фото не обязательно.
Скан паспорта в принципе тоже не нужен. Ведь данные паспорта есть в доверенности и они сверяются при предъявлении доверенности.
про фото в паспортеЯ когда продавал машину был крайне удивлен несоответствием фотографии в паспорте и внешности покупателя. Засомневавшись я попросил предъявить еще какой-либо документ. И только увидев более свежее водительское удостоверение с той же фамилией и более похожей на покупателя фотографией, успокоился. И вообще я несколько раз сталкивался с тем, что не узнаю человека по фотографии в паспорте.vlivyur
29.09.2015 12:50У жены в паспорте фотка другого человека. Ну и вообще, если ты стал похож на фотку в паспорте, то тебе пора в отпуск.
BatR00t
29.09.2015 12:51Согласен, но это не защищает от совершения мошеннических действий сотрудниками компании.
Да, с фото в паспорте бывают проблемы. Я, например, на фото в паспорте и в реальности — разные люди)) Но специально обученные люди (паспортный контроль, например) не испытывают затруднений со сличением моей физиономии с фото в паспорте, т.к. есть специальные алгоритмы. Но, в общем, да, скан паспорта не особо нужен, при условии сличения паспортных данных с указанными в доверенности, его можно оставить только для проверки менеждером качества работы самого оператора, осуществляющего работу с клиентами.
general
Это же готовая идея для бизнеса. Если все грамотно расписать, то не так уж сложно будет найти инвестиции, имхо.
Надо запустить виртуального оператора, который бы предоставлял «номера, которые нельзя украсть»
Во-первых, есть спрос (платежеспособный!) на SIM-карточки, которые никто не украдет.
Во-вторых, если поднять в СМИ шумиху, что мол карточки воруют направо и налево, то желающие перейти на такого оператора найдутся. И не мало.
В третьих, это в первую очередь сделают состоятельные люди, которые не хотят лишних рисков. Высокая плата за такой номер в данном случае — это страховка от внезапной потери своих средств.
В четвертых, можно таким клиентам продавать дополнительные услуги: собственно состоятельные клиенты приходят к вам сами.
nmk2002
Или если банки сами захотят решить проблему, то начнут активно предлагать карты со встроенными OTP-генераторами или, на худой конец, криптокалькуляторы.
DIHALT
В данный момент они как раз наоборот переходят на мобильную подтверждалку через смс :))))
У яндекс.Денег раньше были клевые карты генераторы мгновенных паролей, а теперь тоже смс.
Альфабанк для юрлиц, например, всех настойчиво агитирует переходить в их новую систему, где подтверждение через мобилу, в старой был криптоключ Alladin.
cyberia
Несколько раз менял симку у Мегафона (года еще 3 назад), всегда Альфа-клик блокировался, так как была замена сим-карты. Нужно было звонить в банк и подтверждать факт замены путем ответов на вопросы про последние транзакции и прочее.
formasha
И сюда продублирую: OTP у Яндекс.Денег тоже есть (в наших мобильных приложениях) — вместо смс можно использовать их.
ValdikSS
Вот! Раньше у ВТБ24 были карты одноразовых кодов, которые нужно стирать. Было очень удобно, я легко входил в банк из любых труднодоступных мест, где нет сотовой связи, но есть интернет (в таком месте я провел почти полтора месяца), очень нравилась такая система. Потом, не так давно, их отменили и всех перевели на СМС-коды. Я долго сопротивлялся, экономил штрих-коды, но все-таки карты закончились, и пришлось подключать СМС. У меня телефон всегда где-то непонятно где, не всегда со связью, очень неудобно, в общем. Когда я пожаловался на такой насильный перевод оператору, когда последняя карта кончилась, она посмотрела на меня, как на идиота какого-то, и сказала, что все только облегченно вздыхали от такого перехода, а я единственный, кто жалуется.
Я вообще недоумеваю, как банки могли осуществить такой переход? Надо еще придумать что-нибудь более небезопасное, чем СМС-коды. Иногда мне хочется, чтобы zhovner работал в критичных к безопасности сферах бизнеса и ставил на место всех тех людей, которые считают, что телефон является лучшим решением двухфакторной аутентификации.
Причем, блин, одноразовые коды были, во-первых, компактные (обычная пластиковая карта), удобные, бесплатные и безопасные. Сейчас можно взять OTP-токен, но он платный и явно больше по размерам, чем карта.
DIHALT
У яндекса OTP токен был как кредитная карта. Такого же размера и толщины. Вообще не отличить. Экран на еинк, сверхплоский аккумулятор, кнопка.
Вот тут я его разобрал:
dihalt.ru/skaz-o-klyuchax.html
Офигенная вещь. Но сломался, через два года. На этот случай надо иметь аварийные коды.
erimeev
В некоторых банках начинают вводить пуш-коды (Тинькофф и Райффайзен, по-моему). То есть код приходит в приложение.
Мне кажется, этот вариант убережет от данной проблемы. Или я не прав?
elite7
возможно банки заботятся не о безопасности клиента, а о принципе «знай своего клиента»
Им нужен ваш сотовый телефон, чтобы знать, где он находится, чтобы присылать рекламные смски и предлагать кредиты.
Листок с одноразовыми паролями эти задачи не решает.
А еще смски доступны правоохранительным органам, меньше тратишь ресурсов на слив информации о потенциальных подозреваемых.
mrol
Возникнет та же проблема.
Как пользователю убедиться, что виртуальный оператор не будет использовать данные?
4knowledge
Можно вернуться в прошлый век с картой с одноразовыми паролями, пару лет назад Авангард еще такие выдавал)
Sergey_Morozov
Этой весной Авангард мне такую выдал. И при подтверждении платежа в 3D-Secure я выбираю смс или одноразовый код с карты.
ValdikSS
О! Отличный банк, похоже.
ipswitch
Радует практически всем. Интернет-банк считаю идеальным. Обслуживание бесплатно. SMS уведомления бесплатны. Мобильный банк бесплатный. К карте открывается настоящий «прямой» счёт (40817810*), а не структурированный картсчёт (СКС).
Исключительно в порядке придирок можно вспомнить разве что некоторые проблемы с оперативным или онлайн-пополнением счёта — очень мало банкоматов, нет партнёрства с QIWI / Yandex / WebMoney, а при перевода на карту (MasterCard Money Send или Visa Transfer) взымается комиссия.
inkvizitor68sl
До сих пор выдаёт (а у меня до сих действует выданная 6 лет назад).
Кстати, ЯД выдаёт такие же в виде картинки на почту.
formasha
Яндекс.Деньги уже не выдают таблицу кодов. Зато мы добавили поддержку OTP-паролей.
inkvizitor68sl
А зря =) Ну да ладно.
NetBUG
Стильно, модно, небезопасно.
Эх…
formasha
Достаточно безопасно (не «вообще», а именно на нашей практике), и очень доступно для пользователя — для нас как массового сервиса это очень важные критерии. + не забывайте о подкапотной алхимии по защите счетов.
nmk2002
А вы не знаете, почему Яндекс отказался от карт с дисплеем? Это было самое продвинутое решение.
formasha
Дорого поддерживать, а пользовались единицы.