Несколько месяцев я изучал тему интернет мошенничества с целью собрать наиболее полный список действий, которые обезопасили бы меня от жуликов и их махинаций. Итогом изучения стал чек-лист, которым хочу поделиться со всеми. Его цель - сделать взлом цифровых активов сложным и бессмысленным.
Предлагаю читателю выполнить как можно больше пунктов данного чек-листа, а лучше все, потому что они работают в совокупности. Должен сказать, что это будет сопряжено с некоторыми неудобствами при использовании смартфона. Но тут каждый выбирает: удобство или безопасность. К неудобствам быстро привыкаешь и они перестают быть таковыми, а на счёт безопасности - взлом аккаунтов может стоить больших денег, времени и нервов.
Для удобства пункты отсортированы по важности и разбиты на блоки: Обязательные, Важные и Желательные. Также есть список Правила цифровой гигиены и Что делать в экстренной ситуации. Как выполнить то или иное действие можно легко найти в интернете, поэтому в целях наглядности привожу сами действия и короткие пояснения. В заключительной части статьи приведу несколько реальных примеров.
Я постарался собрать наиболее полную коллекцию, однако если у вас есть что добавить, - напишите в комментариях.
Превентивные меры
Обязательные
Действие |
Пояснение |
|
1 |
Установить пин код на сим-карту |
в случае утери/кражи смартфона жулик не сможет быстро воспользоваться вашим номером, вы выиграете время |
2 |
Установить кодовое слово в офисе вашего моб.оператора |
чтобы моб.оператор идентифицировал вас на горячей линии не по одним паспортным данным |
3 |
Оформить в офисе моб.оператора запрет на действия с доверенностью |
чтобы жулики не смогли сделать дубликат сим-карты по поддельной доверенности |
4 |
Оформить запрет на регистрацию сделок с недвижимостью без личного присутствия |
чтобы исключить продажу квартиры по поддельной доверенности или поддельной ЭЦП |
5 |
Настроить оповещение о выпуске ЭЦП в личном кабинете госуслуг |
если мошенники выпустят от вашего имени поддельную ЭЦП, вы об этом узнаете сразу |
6 |
Настроить двухфакторную аутентификацию на сайтах госуслуг, налоговой, mos.ru, росреестра |
мошенники не смогут залогиниться даже если узнают пароль |
7 |
Установить определитель номера на смартфон |
чтобы заранее знать когда звонят мошенники |
8 |
Установить антивирус на смартфон |
защита от троянов, шпионов и другого вредоносного ПО |
9 |
Регулярно обновляйте ПО на вашем смартфоне, включая обновления безопасности |
защита от актуальных способов атак и закрытие уязвимостей |
10 |
На разные сайты и приложения придумайте разные пароли или пользуйтесь менеджером паролей |
если пароль от госуслуг совпадает с паролем на простой форум, то взломав этот форум хакер получит пароль к госуслугам |
11 |
Настроить оповещение о каждом логине на сайт госуслуг |
если мошенники получат доступ к вашему аккаунту, вы об этом сразу узнаете |
12 |
Установить суточные лимиты трат и переводов по банковской карте |
мошенники не смогут вывести больше этой суммы. Повысить лимит им будет сложнее |
13 |
Оформить в вашем банке получение подтверждений банковских операций через push, а не через sms |
sms ненадёжный протокол, он подвержен прослушке и атакам |
14 |
Оформить запрет услуги “Мобильный перевод” в офисе моб.оператора |
в случае компрометации сим-карты, с неё не выведут деньги |
15 |
Настройте смартфон скрывать тексты уведомлений на заблокированном экране |
в случае кражи телефона мошенники не смогут прочитать банковские коды на заблокированном экране |
Важные
16 |
В аккаунте Google (Apple) указать номер запасного телефона и запасную почту |
в случае компрометации аккаунта это понадобится для восстановления доступа |
17 |
Установите автоблокировку экрана смартфона не более чем 30 сек |
если телефон украдут, он успеет заблокироваться |
18 |
Не используйте разблокировку по лицу |
|
19 |
Запомните кодовые слова и контрольные вопросы для всех банков в которых обслуживаетесь |
чтобы в экстренных ситуациях, не теряя времени, подтвердить вашу личность в call центре |
20 |
Выучите наизусть номера близких |
чтобы в экстренных ситуациях позвонить близким не со своего номера |
21 |
Подключите оповещения о запросах вашей кредитной истории |
вы будете сразу уведомлены о любых намерениях оформить на вас кредит |
22 |
Привязанный к банковскому аккаунту телефон держите всегда при себе |
в случае выпуска мошенником дубликата сим-карты, вы об этом сразу узнаете. Почему нельзя держать отдельную симку для банковских операций |
23 |
Отключите автосохранение паролей на смартфоне и компьютере |
иначе в случае кражи телефона вор сможет увидеть все сохраненные пароли, в т.ч. те которые сохранили с компьютера |
24 |
Установить лимиты на автопополнение баланса сим-карты |
в случае компрометации сим-карты мошенники не выведут все деньги с банковской карты |
25 |
Запишите номера горячих линий банков и сотового оператора на основной и запасной телефоны |
чтобы в экстренных ситуациях вы могли быстро найти и позвонить на горячую линию |
26 |
Отключите автополучение MMS на вашем устройстве |
есть старая уязвимость позволяющая загружать вирусы на устройство через MMS |
27 |
Лишите прав на просмотр sms и звонков те приложения, которым это не нужно |
троян может быть встроен в безобидное приложение, у которого есть права к sms |
27.1 |
Проведите ревизию расширений в вашем браузере, неиспользуемые расширения удалите |
мошенники выкупают старые расширения и заливают вредоносный код в качестве апдейтов |
27.2 |
Проведите ревизию приложений на смартфоне, неиспользуемое и старое удалите |
мошенники выкупают старые приложения и заливают вредоносный код в качестве апдейтов |
28 |
Настройте push уведомления о письмах с эл.почты |
чтобы не пропустить важное уведомление с государственного или банковского сервиса |
29 |
Пометить как НЕ спам номера телефонов моб.оператора и банков, которыми вы пользуетесь |
чтобы не пропускать смс касательно безопасности |
30 |
Установите антивирус на домашний компьютер |
защитита от вирусов, троянов, шпионов |
31 |
Устанавливайте самые последние обновления вашей операционной системы и приложений, включая обновления безопасности |
это позволит закрыть обнаруженные уязвимости, защититься от атак и последних версий вирусов |
32 |
Отключить возможность удаленного соединения с вашим компьютером: запретить удаленный рабочий стол, закрыть внешние порты |
один из распространенных методов взлома заключается в переборе открытых портов у потенциальных жертв и простые пароли на Удаленный рабочий стол |
33 |
Обслуживайтесь в банке через call центр которого нельзя изменить номер привязанного телефона |
мошенники разными способами получают персональные данные и могут привязывать свой телефон к аккаунту жертвы |
34 |
Установите отпечаток или пароль при бесконтактной оплате смартфоном (либо отключите её) |
если мобильник украдут, воры не смогут им платить |
Желательные
35 |
Носите с собой запасной телефон с рабочей сим-картой |
чтобы быстро заблокировать основной телефон в случае его утери или кражи |
36 |
Установите на смартфоне пин-код на просмотр файлов, фоток и открытие мессенджеров |
в случае кражи телефона ваши файлы, контакты и переписка не попадут мошенникам |
37 |
Если это возможно запретите удалённое восстановление доступа по дистанционным каналам |
если вы всё же забыли пароль от какого-либо аккаунта - создайте новый |
38 |
Оформите в ФНС запрет на регистрацию юр.лица с использованием ЭЦП |
чтобы исключить регистрацию ИП или ООО на ваше имя по поддельной ЭЦП |
39 |
Если это возможно оформите запрет на смс банк |
sms ненадежный протокол |
Правила цифровой гигиены
40 |
При подозрительном или тревожном звонке от кого-угодно сразу же положить трубку. Не берите трубку пока сами не разберетесь в ситуации. Перезванивайте только на официальные номера |
защита от телефонных мошенников |
41 |
Не платите вперёд, откажитесь от предоплат в любых сделках и ситуациях если фирма или человек для вас малоизвестны |
защита от онлайн и офлайн мошенников |
42 |
Не давайте ксерить или фоткать свой паспорт нигде кроме как в отделениях банков и гос.структур. Не отсылайте сканы документов по эл.почте |
уменьшаем вероятность утечки персональных данных. Если настаивают на снятии копии, носите с собой свою копию, в которой замазана часть информации. Если копирования никак не избежать, хотя бы не давайте ксерить все страницы. Как оформляют карты по скану паспорта |
43 |
Не оставляйте в залог загран.паспорт с биометрическим чипом |
тот, у кого в руках есть биометрический загран.паспорт, может открыть ИП. Такая услуга есть как минимум у зелёного банка |
44 |
Перед оплатой в интернете внимательно проверяйте домен |
чтобы не попасться на фишинг |
45 |
Проверяйте реквизиты перевода непосредственно перед платежом |
|
46 |
Не держите большие суммы на карте которой расплачиваетесь в магазинах и интернете |
в худшем случае мошенники смогут украсть лишь небольшую сумму |
47 |
Прикрывайте ладонью терминал когда вводите пин код |
защита от кражи данных карты |
48 |
Не светить CVV2 (не переворачивать лишний раз карту обратной стороной) |
защита от кражи данных карты |
49 |
Внимательно давайте разрешения приложениям на sms и прием звонков |
защита от шпионских программ, которые крадут данные |
50 |
Не давайте доступ к записной книжке мессенджерам и банковским приложениям |
таким образом вы сообщите внешнему миру меньше информации о себе |
51 |
Проверьте администраторов устройства в настройках смартфона |
там должны быть только проверенные приложения, которым эти права действительно необходимы |
52 |
Установите пароль на загрузку устройства если такой имеется в моделе вашего смартфона |
дополнительный фактор защиты |
53 |
Оформите eSim если модель смартфона и оператор связи это позволяют |
eSim удобнее и надежнее обычной сим карты |
54 |
Не торопитесь переходить по ссылкам, где требуется ввод личных данных. Если перешли - проверьте что сайт настоящий |
одна из основных угроз, которые продолжают работать по сей день, это фишинговые ресурсы. Мошенники могут украсть персональные данные, узнать ответы на контрольные вопросы, подкинуть вам вирус |
55 |
Не сохраняйте данные своей карты в ненадёжных сервисах или приложениях |
их могут взломать и украсть данные всех банковских карт этого сервиса |
56 |
Будьте внимательны на сайтах с пиратским контентом |
можно наткнуться на вредоносное ПО, например на шпионские программы, которые крадут пароли |
57 |
Не запускайте на своем компьютере крякнутые программы и генераторы ключей. Если нужно воспользоваться крякнутым ПО, запускайте его на виртуалке |
вирусы встраивают в пиратские программы и генераторы ключей |
58 |
Не устанавливать потенциально опасные приложения: неофициальная качалка музыки, пиратский контент и пр. |
они могут содержать трояны |
59 |
При открытии любого файла, который вам прислали даже знакомые люди, будьте внимательны. Самый распространенный способ заражения компьютера - жертва сама запустила вредоносный файл |
вредонос может содержаться в файле любого формата, может быть зашифрован для обхода антивирусов. Ваши знакомые могут не знать что отправляемый ими файл содержит вредонос |
60 |
Файлы, которые вы получили по эл.почте, через мессенджеры или скачали сами из интернета, проверяйте на virustotal.com |
фишинговое письмо ничем не отличается от обычного, это одна из основных схем заражения вредоносами. Лучше перестрахуйтесь. Для удобства установите расширение |
61 |
За границей снимать деньги с карты только в отделениях банков |
защита от скимминга |
62 |
За границей старайтесь расплачиваться только наличкой |
защита от скимминга |
63 |
Не давать никому в руки банковскую карту. Все операции должны проходить в вашем присутствии |
защита от кражи данных карты |
64 |
Не логиньтесь в свои аккаунты с чужих устройств |
на этих устройствах может быть троян или шпион |
65 |
Не храните на компьютере очень важные файлы |
если придётся форматировать комп из-за вируса-шифровальщика, данные будет невозможно вернуть. Лучше хранить на съёмных носителях |
66 |
Не храните на смартфоне важные или секретные файлы и переписку. Будьте морально готовы что телефон может попасть в чужие руки |
чтобы исключить утечку персональных данных и личной переписки. Сделайте так чтобы ваш телефон можно было дать любому человеку без каких-либо рисков |
67 |
Не подключаться к бесплатным вай-фай |
исключить атаки на вас через незащищённые сети |
68 |
Устанавливайте приложения только из Google Play/App Store и с хорошим рейтингом |
защита от вирусов и троянов |
69 |
По возможности не пользуйтесь банкоматами в нелюдных местах |
защита от скимминга |
70 |
Крупные суммы держать в банке к которому не подключено дистанционное управление |
исключить вероятность дистанционной кражи |
71 |
Не храните сканы документов в облачных провайдерах |
уменьшить вероятность их утечки, например при краже телефона |
72 |
Не устанавливайте root права на смартфон |
в случае попадания трояна, он сможет делать всё что угодно на вашем устройстве |
73 |
Потренируйтесь в блокировке вашего устройства с телефона близкого человека |
тренировка в случае кражи вашего устройства |
74 |
Не давать в руки телефон малознакомым людям |
защита от кражи данных и от установки вредоносных программ |
75 |
Пользуйтесь проверенными крупными операторами связи |
уменьшить вероятность взлома |
76 |
Сделать аккаунты вк и фб невидимым никому кроме друзей |
общедоступные фото выкачиваются из соцсетей и хранятся на левых серверах, которыми пользуются мошенники. Удалить свои фото с таких серверов невозможно |
77 |
В профилях соцсетей сообщайте минимум информации о себе, фото на аватарке сделайте в полный рост, на удалении (или удалите), замените фамилию на никнейм |
мошенники пользуются поиском по фото, по номеру телефона, по фамилии и имени. Таким образом они собирают информацию и продумывают варианты атак |
78 |
Иметь дома наличку |
на случай если придется заблокировать карты и счета, защищая их от мошенников |
79 |
Периодически меняйте: кодовые слова, ответы на контрольные вопросы, пароли от личных кабинетов |
персональные данные могут утекать даже из банков, мошенники могут устраиваться в call центры банков, поэтому хорошей практикой будет периодическая смена сенситивной информации, пример |
80 |
Периодически проверяйте информацию на сайтах Госуслуг и Налоговой: выданные вам ЭЦП, участие в организациях, сведения о вашем имуществе, уведомления росреестра, ФССП. В настройках почты проверяйте что отсутствует переадресация на левые ящики, а также подозрительные сессии и привязанные устройства |
в случае уведомлений о действиях, которые вы не совершали, надо быстро предпринимать действия. Проверить не зарегистрировано ли на вас юр.лицо можно в лк налоговой или здесь |
81 |
Периодически меняйте свой гражданский паспорт |
если относиться к паспорту как к ключу ко всем вашим данным и паролю для идентификации вашей личности, то профилактическая замена паспорта раз в несколько лет вреда точно не нанесёт. А может оказаться даже полезной. Однако этот пункт признаю необязательным к выполнению |
Что делать в экстренной ситуации
Если украли телефон
82 |
С запасного телефона залогиньтесь в свой google/apple аккаунт и пометьте телефон как украденный. Или сделайте erase device |
если запасного телефона нет, то проделайте это с телефона близкого/друга который находится рядом. Если вы один, переходите сразу к следующему пункту |
83 |
Заблокируйте сим-карту по горячей линии мобильного оператора |
попросите прохожего, таксиста, охранника, полицейского дать вам телефон. Если людей нет, доберитесь до ближайшего салона связи |
84 |
Звоните на горячие линии банков, в которых обслуживаетесь, блокируйте все банковские карты и счета |
действуйте быстро |
85 |
Заблокируйте все важные аккаунты (эл.почта, госуслуги, налоговая, росреестр, финансы, соц.сети, эл.документооборот) |
|
86 |
Сообщите близким и друзьям что ваш телефон украли, а также сделайте пост в соцсетях |
чтобы мошенники не звонили от вашего имени друзьям и не занимались шантажом. Тут пригодятся заученные номера близких |
87 |
Написать заявление в полицию |
возможно с номера будут делать противоправные действия, у вас будет доказательство что вы к ним не имеете отношения |
88 |
Выйти из всех мессенджеров на этом устройстве |
чтобы вору не досталась переписка |
89 |
Отвязать это устройство из аккаунта google, мессенджеров, госуслуг, финансовых приложений, соц.сетей |
чтобы вор не мог делать свои дела в ваших аккаунтах |
90 |
Поменять пароли от важных аккаунтов: эл.почта, госуслуги, налоговая, банковские аккаунты, соц.сети |
с ноутбука или домашнего ПК, когда уже будет выпущен дубликат сим-карты |
Если на вас оформили поддельную ЭЦП
91 |
Позвонить в УЦ и аннулировать сертификат |
сертификат должен быть аннулирован удостоверяющим центром, который его выпустил |
92 |
Заблокировать ЭЦП на госуслугах |
стоит понимать что блокировка в личном кабинете госуслуг не аннулирует сертификат |
93 |
Написать заявление в полицию |
Если на ваше имя незаконно открыли ИП
94 |
Написать заявление в полицию, как можно скорее |
|
95 |
Написать возражение в ФНС о незаконной регистрации ИП, как можно скорее |
|
96 |
Обратитесь к адвокату |
Если пришло смс о действиях которые вы не совершали
97 |
Убедиться что это реальное смс и оно пришло с настоящего номера банка или платёжной системы |
это значит что вашей картой пользуется злоумышленник |
98 |
Заблокировать все карты и счета в этом банке |
успеть пока жулики не вывели все деньги |
99 |
Позвонить в банк, сообщить о попытке взлома, следовать указаниям банка |
Если сим карта внезапно отключилась
100 |
Позвонить моб.оператору и выяснить причины отключения |
|
101 |
Если причина это мошенники - заблокировать банковские карты и счета до разрешения ситуации |
Если потеряли паспорт
102 |
Напишите заявление в полицию, получите талон-уведомление |
Если на вас незаконно оформили микрозайм
103 |
Напишите заявление о мошеннических действиях в организацию, выдавшую микрозайм |
Помните, что большое количество денег не доходят до жуликов, а оседают в банках |
104 |
Напишите жалобу в интернет-приемную Банка России |
|
105 |
Получите от кредитора копии поддельного договора о кредите и копию паспорта, на который он был выдан |
|
106 |
Напишите заявление в полицию, приложите копии документов о поддельном кредите |
Если был несанкционированный вход в почтовый аккаунт
107 |
Вернуть доступ к аккаунту и поменять пароль |
|
108 |
Заблокировать все важные аккаунты (госуслуги, налоговая, росреестр, финансы, соц.сети, эл.документооборот) |
|
109 |
Поменять пароли на всех важных аккаунтах |
|
110 |
Удалить подозрительную сессию, отвязать подозрительные устройства |
|
111 |
Открыть настройки аккаунта и убедиться что мошенник не настроил переадресацию писем на свой ящик |
|
112 |
Проверить все важные аккаунты на предмет действий которые вы не совершали |
не оформлена ЭЦП, не оформлено ИП, не взяты кредиты, нет участия в левых ООО, не поданы заявления на гос.услугах, не подписаны документы в системе ЭДО |
Если взломали аккаунт на гос.услугах
113 |
Заблокировать все важные аккаунты (налоговая, росреестр, финансы, соц.сети, эл.документооборот) |
114 |
Позвонить по телефону горячей линии гос.услуг и следовать указаниям оператора |
Примеры
Украли телефон, получили доступ к эл.почте и личному кабинету моб.оператора, изменили кодовое слово в банке, вывели деньги с кредитки. Можно было предотвратить, выполнив пункты: 1, 2, 17, 35, 82-90. Полное описание в статье.
Жулики изготовили фэйковую базовую станцию сотовой связи. Пострадавший совершил звонок из зоны действия этой станции, после чего данные о сим карте попали в руки мошенников. Затем они изготовили клон сим карты и, пользуясь услугой “Мобильные платежи”, украли деньги со счета. Никаких смс или звонков при этом не было, пострадавший случайно заметил что денег на счёте сильно убавилось. Можно было предотвратить, выполнив пункты: 14, 24. Полное описание в статье.
Жулики взломали эл.почту жертвы на яндексе и привязали к аккаунту его же карту. Далее несколькими платежами вывели небольшую сумму. Можно было предотвратить, выполнив пункты: 97, 98, 99. Полное описание в статье.
Классическая схема телефонного развода со службой безопасности банка, прокурором и Центробанком. Жулики хорошо подготовились к атаке, в диалогах использовали фото родственников, запугивали. В итоге девушка под диктовку оформляла кредиты и переводила деньги на “защищенные” счета. Ущерб 700к. Можно было предотвратить, выполнив пункты: 7, 13, 40. Полное описание в статье.
У пострадавшей на устройстве был троян. Звонок от “службы безопасности”, длительное общение с мошенниками, женщина сообщила что пришло смс с кодом, но код не называла. В итоге жулики привязали свой номер телефона и перевели на свой мастер-счет 230к. Можно было предотвратить, выполнив пункты: 7, 8, 40. Полное описание в статье.
Звонок из “службы безопасности”, длительный разговор, мошенники просили открывать приложение Альфа банка и спрашивали пришло ли смс. В итоге код из смс пострадавшая не назвала, но деньги со счёта были украдены. Вероятнее всего на устройстве был троян или шпион, который отсылал смс на сервер мошенников. Можно было предотвратить, выполнив пункты: 7, 13, 40. Полное описание в статье.
Жулики каким-то образом узнали кодовое слово и ответы на контрольные вопросы. Далее привязали свой номер телефона к банковскому аккаунту жертвы и опустошили карту, загнав ее в овердрафт. Карту без подключенного овердрафта загнать в овердрафт сложно, но можно. Подобная атака предотвращается, выполнением пунктов: 33, 79, 97, 98, 99. Полное описание в статье.
Жулики каким-то образом узнали кодовое слово и ответы на контрольные вопросы жертвы, привязали свой номер к его банковскому аккаунту, оформили кредитную карту и вывели с неё 93 000 руб. Можно было предотвратить, выполнив пункты: 7, 21, 33, 40, 79. Полное описание в статье.
Заключение
Многие думают что никогда не попадутся на уловки мошенников, что уловки уже устарели и их легко раскусить. Но спешу огорчить - это не так. Для начала, само понятие “мошенники” очень обобщённое. Существует довольно много сортов, вот некоторые из них:
кардеры (используют ворованные данные банковских карт),
скиммеры (воруют данные банковских карт),
хакеры (взламывают аккаунты, воруют данные, придумывают новые схемы, шпионаж),
телефонные разводилы (социальная инженерия, шантаж),
оффлайн мошенники (аферы вне интернета, воровство телефонов, данных банковских карт, персональных данных),
вирусописатели (создание и распростронение вредоносных программ),
изготовители поддельных документов и сканов (снабжают теневой рынок липовыми документами)
Каждая из этих групп специализируется на разных способах мошенничества и атак. Они общаются в даркнете, пользуются услугами друг друга, обмениваются информацией и образуют целую так называемую теневую экономику. Мошенники не глупые и не безграмотные люди, накопили много знаний о своём “ремесле”, постоянно обмениваются информацией, совершенствуют навыки, ищут лазейки, плодятся и размножаются. Они будут придумывать новые неочевидные схемы. Однако движений от государства или банков по защите населения в этом направлении как-то не особо наблюдается, не смотря на то что СОБР периодически приходит в гости к мошенникам. Хотя есть довольно простое решение против мошеннических call центров. В интернете продолжают появляться статьи о кражах с банковских карт и телефонных разводах, а также выходит неутешительная статистика о том, какой ущерб был нанесен цифровыми мошенниками. Но банкам выгодно делать сервисы удобными, т.к. это увеличивает прибыль, а эти удобства не всегда связаны с безопасностью. Поэтому в ближайшее время надеяться лучше только на себя, быть готовым и уметь защититься от атак.
Я клоню к тому что 100% защиты от мошенников к сожалению нет. Попасться может каждый. Но можно минимизировать риски, а ещё лучше сыграть на опережение и сделать возможные атаки невыгодными и сложными. Важно выполнить как можно больше пунктов из чек-листа чтобы обеспечить максимальный уровень защиты, который работает в комплексе. Я буду рад если данная статья предотвратит хотя бы одно мошенничество!
Литература, полезные ссылки
Автобиографичная история кардера, отсидевшего 10 лет: Как я украл миллион. Исповедь раскаявшегося кардера. Сергей Павлович, 2014, Питер
Канал в приложении большого зелёного банка с актуальными схемами мошенников: “Осторожно мошенники!”
Поугорать над телефонными мошенниками: Видосы о разводах!
Комментарии (157)
WildLynxDev
23.10.2021 19:21+3Что лучше для безопасности:
Госуслуги: быть зарегистрированным или нет?
Госуслуги: выпустить ЭЦП самому или нет?
Налоговая: быть зарегистрированным или нет?
Налоговая: выпустить ЭЦП самому или нет?
Налоговая: Какие заявления (желательно со ссылкой на форму и номер) желательно им написать что бы заблокировать все действия с ЭЦП? Вообще все действия которые могут применить мошенники кроме "Явился лично с паспортом"?
Как делается пункт 4?
edogs
24.10.2021 11:14+1Госуслуги и налоговая — лучше быть зарегистрированным и выпустить эцп, т.к. регистрация для мошенника не сложнее взлома, а так по крайней мере будет шанс увидеть что что-то происходит.
Savevur
24.10.2021 12:52Госуслуги: выпустить ЭЦП самому или нет?
Налоговая: выпустить ЭЦП самому или нет?
А там есть такая возможность?
Налоговая: Какие заявления (желательно со ссылкой на форму и номер) желательно им написать что бы заблокировать все действия с ЭЦП? Вообще все действия которые могут применить мошенники кроме "Явился лично с паспортом"?
А там есть такая возможность?
Как делается пункт 4?
Объяснят в МФЦ. Ходил туда раз пять, то у них не, то пропало, то потерялось, а вот в базе отметка есть. Дурдом.
x86d0cent
24.10.2021 19:56А там есть такая возможность?
Есть конечно - без ЭЦП даже 3-НДФЛ (например, для получения налогового вычета) на сайте налоговой не подать.
А вот где "Настроить оповещение о выпуске ЭЦП в личном кабинете госуслуг" - не нашел.
Savevur
24.10.2021 20:25Вы уже про следствие. Есть ЭЦП можете то-то и то-то.
Вроде автор вопроса хотел узнать можно ли на сайте Госуслуг или налоговой оформить саму подпись? По-моему нельзя.
А вот где "Настроить оповещение о выпуске ЭЦП в личном кабинете госуслуг" - не нашел.
В данный момент нет единой базы подписей, чтобы оттуда Госуслуги подтягивали наличие. А подписи оформляют десятки шарашкиных контор. Гражданин в полном неведении.
x86d0cent
24.10.2021 21:09+1Я и про возможность выпуска ЭЦП и про следствие. Может быть я не очень ясно выразился, но на сайте налоговой ЭЦП сделать можно, и после этого появляются те самые возможности по отправке деклараций. На сайте госуслуг может и нельзя - не знаю.
Savevur
24.10.2021 21:32Без посещения налоговой? Не знал.
А можно там же удалить существующую и сделать новую? Если можно, тогда смысла нет делать обычному гражданину, чтобы прикрыться от мошенников.
x86d0cent
24.10.2021 23:59+1Да, без посещения. Я слышал, что для этого должна быть какая-то "проверенная" запись на госуслугах и, соответственно, не у всех такая возможность есть.
Отозвать сертификат подписи можно, новую сделать тоже можно.
Но насколько эту ЭЦП можно использовать для мошеннических действий - сказать не берусь, она вроде бы только для отправки в налоговую документов, не связанных с предпринимательской деятельностью: 3-НДФЛ отправить, распорядиться переплатой, сообщить о наличии имущества... Ну т.е. создать проблем кому-то, наверное, можно, подав от его имени некорректную декларацию или соощить об имуществе, которого нет. Но как злоумышленник может с этого получить выгоду - не совсем понятно.
mrzerg Автор
29.10.2021 20:04"Настроить оповещение о выпуске ЭЦП в личном кабинете госуслуг"
хм, что-то тоже не нашёл. Проследите чтобы стояла галка в Профиль->Безопасность->Оповещение на электронную почту. Оповещения о выпуске ЭЦП должны приходить. С такими настройками я получал ЭЦП в Такскоме, и сразу же после моего посещения, пришло письмо из госуслуг что я получил ЭЦП
smart_alex
23.10.2021 19:35+43Итак, резюме к статье:
чтобы «простому крестьянину» в один момент не лишиться всего, нужно всего лишь соблюдать 90 простых правил и быть изощрённым экспертом в информационной безопасности.
Мило, очень мило, но тут есть одна проблема: тот, кто сможет соблюсти эти 90 правил уже как бы не совсем «крестьянин» и далеко не такой «простой». :)
А что делать всем остальным?
ptica_filin
23.10.2021 19:43+3Прямо все 90 не обязательно. Пин-код на сим-карту поставить не очень сложно. Раньше в досмартфонные времена он был, по-моему, по умолчанию даже включен. Заменить СМС на Push приложения банков часто предлагают сами. Подключить антивирус смартфон часто тоже предлагает сам. Очень важный пункт 36 тоже вполне доступен "простому крестьянину", если он не совсем дурак и хотя бы читает/смотрит/слушает новости. О мошенничестве, когда звонят и разводят на деньги, рассказывают настолько постоянно и уже столько лет, что я удивляюсь, как до сих пор находятся люди, которые на него ведутся.
Это всего несколько пунктов из 90, но они уже перекрывают существенную часть опасностей.
smart_alex
23.10.2021 19:55+1Смотрите: у нас есть десятки векторов угроз (и при этом постоянно появляются новые) какие-то вы закрыли, какие-то — нет. При таком положении вещей, рано или поздно, так или иначе, вы всё равно можете «попасть». Проблема тут не в том, что вы «попадёте», а в том, что речь идёт о нанесении вам неприемлемого (по размеру и последствиям) ущерба.
И если речь идёт об «айтишниках», то ещё можно надеяться на какой-то уровень защиты, но когда мы говорим о массе населения — то никто из «нормальных» людей даже не будет читать эту статью (не говоря о том, чтобы что-то делать для своей защиты).
boroda_el
23.10.2021 21:00+1Вот что то не могу понять отчего защищает этот пин код. Только оттого что симку не переставить в другой мобильник? Почему это на 90% важно?
ptica_filin
23.10.2021 21:07+3Именно. Чтобы симку из спёртого мобильника не вставили в свой и не получили доступ к смскам из банков и прочим местам с двухфакторной авторизацией и привязкой к номеру телефона.
poige
24.10.2021 17:35Насколько я помню, некоторые банки отслеживают изменение IMEI. Есть вот такая инфа аж из 2016-о: «… Для борьбы с этим представители Минкомсвязи и Центробанка хотят запрашивать данные о смене абонентом SIM-карты. Эксперты считают, что это необходимая мера, повышающая безопасность клиентов. …»
x86d0cent
24.10.2021 19:59Не исключаю про IMEI, но ни разу такого не слышал. А то, на что вы ссылку дали - это не про IMEI, это про IMSI. Он меняется, когда абонент (или злоумышленник) получает у оператора другую сим-карту, привязанную к номеру абонента.
FatherYan
24.10.2021 12:12+2Кстати насчёт замены СМС на пуш спорно. СМС намного надёжнее в плане доставки, если вы находитесь в местах с не идеальной связью или за границей, где из-за диких тарифов интернет большинство отключает (смс тоже не дёшево, но терпимо). Т. е. следуя данному совету мы существенно повышаем вероятность вовремя не узнать о попытке взлома.
usrsse2
24.10.2021 16:49Если пуш не дошёл, банк присылает SMS.
JerleShannara
25.10.2021 01:22Порой через 2-4 минуты, то есть о факте того, что у вас спёрли миллион вы узнаете уже сильно потом.
cck7777
24.10.2021 19:20Пункт 36 мне больше нравится в формулировке "Что-то не так? Блокируйте карту. Я схожу в своё отделение".
VIPDC
25.10.2021 19:24Чем push лучше СМС?
Push вводиться сам, смс я ввожу ручками, т.е удаленно не сделать.
kvk-2019
26.10.2021 17:26Не знаю, насколько устарела вот такая информация: "Таким образом, Apple не только предупреждает о незащищенности канала передачи между APNs-сервером и приложением пользователя, но и берет обязательство с разработчика не передавать через push-уведомления персональную или конфиденциальную информацию, в том числе транзакционную информацию, к которой коды подтверждения операции, безусловно, относятся.", статья 18 года и я продолжаю ей доверять и считать, что на андроидах всё примерно так же.
XanKraegor
30.10.2021 08:04Сейчас уже только сертификаты и оконечное шифрование, хотя редакция гайда тоже от 2018 года. Кстати, в действующей редакции Apple Developer Program License Agreement соотвествующий пункт 4 тоже присутствует на странице 49. Однако, сомнительно, что Apple не в курсе использования Push-уведомлений банками для доставки одноразовых кодов и сообщений и входе, балансе и др. Скорее всего, пункт этот, как и большая часть соглашения, присутствует, чтобы никто не предъявил претензий самой Apple.
ifap
23.10.2021 23:10Остальным соблюдать всего 1 правило: банк — отдельно, телефон — отдельно. Т.е. ничто финансовое не должно быть завязано на телефон.
peacemakerv
25.10.2021 21:40+2Всем остальным запомнить простую заповедь, начавшуюся с цыган: если тебе предлагают что-то, что ты сам не просил - это мошенники.
sav13
23.10.2021 19:50-2Может проще выполнить один пункт?
1. Не хранить деньги на карточкеboroda_el
23.10.2021 21:02+2Не пользоваться смартфоном
Не пользоваться телефоном (лучше исключить даже стационарный)
И кто ты после этого?
ifap
23.10.2021 23:11+4Между прочим, совет буквально верный: не хранить деньги на карточке (карточном счете).
x86d0cent
24.10.2021 00:27+3Можно не хранить, но если по карте разрешен овердрафт - разница вообще не велика. Если не разрешен - теховер никто не отменял (но тут вариантоа, конечно, меньше), а примеры 4-6 и 8 на имеющиеся карты вообще не завязаны. Хотя, конечно, какую-то часть векторов атаки при отсутствии денег на картсчете (и отсутствии кредитного лимита по карте) удастся закрыть.
JerleShannara
24.10.2021 13:44Посмотрел объём трафика за прошлый месяц на телефоне, сделал для себя вывод — смартфон в моём случае прекрасно заменяется на обычную кнопочную звонилку. Для прочего можно взять планшет, даже не устанавливая в него симку.
boroda_el
23.10.2021 21:08Если сим карта внезапно отключилась
84
Позвонить моб.оператору и выяснить причины отключения
Очень любопытный совет. Из моего субъективного опыта последние 100% случаев (3 случая за 13 лет) сим карта отключалась по причине неисправности оной. Звонить можно было только 112.
Squoworode
23.10.2021 23:15Заблокированная оператором сим-карта выглядит почти так же: телефон говорит "в регистрации в сети отказано, доступны только аварийные вызовы".
Вангую, что имелось в виду "позвонить оператору с другого телефона на городской номер".
Serge78rus
23.10.2021 22:15+12Как-то это противоречит друг другу
Не давать в руки телефон малознакомым людям
попросите прохожего, таксиста, охранника, полицейского дать вам телефон.
Или это дискриминация людей на себя, как умного, и всех остальных, как лохов?Fodin
24.10.2021 05:38В объяснении первого пункта раскрывается смысл. Не давать телефон бесконтрольно, типа "Звони, я попозже зайду, заберу", чтобы не поставили шпиона или вирус.
RiddickABSent
24.10.2021 15:04Полицейский:
«Вы имеете право хранить молчание. Всё, что вы скажете, может и будет использовано против вас в суде. Ваш адвокат может присутствовать при допросе. Если вы не можете оплатить услуги адвоката, он будет предоставлен вам государством. Вы понимаете свои права?»
AVX
23.10.2021 23:08Меня жена иногда спрашивает - "Ты машину закрыл?"
Я отвечаю - " Чего там брать-то?"
Смысл в том, что если взять нечего, то и нет почти проблем. Мошенникам Вы не интересны.
Кстати, "27 Пометить как НЕ спам номера телефонов моб.оператора и банков, которыми вы пользуетесь" - практически не реально. У них огромный пул номеров, и каждый раз звонят с разных. Я как-то что-то выяснял по телефону, так по каким-то вещам у них регламент, что ОНИ САМИ должны позвонить (вроде как я доступ к онлайн банку восстанавливал, после того как система посчитала что я что-то плохое делаю, а я сделал много попыток взять кредит, но не завершал, а смотрел какие суммы платежа получатся при разных вариантах). А у меня был антиспам включён - так я не сразу понял, почему не звонят, потом увидел в спаме попытки звонков. Пришлось опять звонить и повторно объяснять, отключать антиспам и ждать звонка...
Пин-код на симку есть смысл ставить только если И на разблокировке телефона есть код. Иначе нашедший телефон просто не станет вынимать симку и прямо на нём всё сделает.
CVV на карте можно тупо паяльником срезать. Главное потом не забыть - это может доставить (и более вероятно) проблем.
edogs
24.10.2021 11:51+4Меня жена иногда спрашивает — «Ты машину закрыл?»
Интересны. Оформят кредит и выведут кредитные деньги.
Я отвечаю — " Чего там брать-то?"
Смысл в том, что если взять нечего, то и нет почти проблем. Мошенникам Вы не интересны.CVV на карте можно тупо паяльником срезать.
Формально делает карту недействительной, заметят — должны изьять.AVX
24.10.2021 13:39Формально делает карту недействительной, заметят — должны изьять
Так я никому и не показываю. Как и советуют. Банкоматы и терминалы пока не умеют такое распознать.
edogs
24.10.2021 17:33Вообще не вполне понятно, зачем сейчас нужно использовать карту как таковую.
Гугл пей или аналоги позволяют реквизиты карты не использовать, а их собственные «реквизиты» создаются под каждый платеж в общем и целом одноразово, поэтому утечка тоже не грозит.Tarakanator
26.10.2021 14:14+11)Грозит. Московское метро предлагало акцию месяц за рубль. Естественно с услугой автопродления если платишь картой или через опсоса. НО я оплатил через google pay. Подумал раз в условиях не указано автопродление при оплате через google pay да и как оно 2-й раз деньги спишет, то я в безопасности. Однако нет, деньги списали. Правда потом вернуть смог.
2)Я крайне недоволен стоковыми прошивками андроида, а прошивая что-то стороннее гугл пытается заблокировать google pay. Так что возможно скоро от него придётся отказаться, хотя да, удобно. Но носить 2 смартфона менее удобно.
vova4ka_ua
24.10.2021 14:22В некоторых банках есть возможность изменить CVV на свой, или установить динамиченский CVV, он действует только час, доступен только в банковском приложении. Пользуюсь, удобно. Даже если где то сохранил данный карточки - платеж не пройдет.
x86d0cent
24.10.2021 20:05Платеж и без cvc/cvv может проходить. Более того, при сохранении данных карты сохранять cvc/cvv нельзя по правилам платежной системы. То есть если вы где-то привязали карту и используете ее при последующих оплатах, то либо cvc/cvv после первого платежа не используется, либо вводится каждый раз (что бывает, но реже).
VIPDC
25.10.2021 19:28Я CVV всегда заклеиваю черной изолентой. Держится отлично, в банкоматах не застревает
tuxi
24.10.2021 00:47cvc2 либо стереть,либо заклеить кусочком изоленты. Есть схемы когда под терминалом на кассах в магазинах стоит камера и снимает обратную сторону карты, фиксируя время оплаты и распознавая cvc2 код.
codecity
24.10.2021 03:03У некоторых банков есть динамический CVC2 — меняется каждые 30 мин и получить можно только в моб. приложении. Тот что нанесен на карте не действует.
andy_p
24.10.2021 00:53+8#91 Уезжайте из страны, где для спокойной жизни необходимы эти 90 правил.
mk2
24.10.2021 01:30+4В другой стране будут свои N правил — часть такие же (телефон), часть отличающиеся (местные банки/операторы/законы). От все этих правил можно на Марс разве что улететь.
DistortNeo
24.10.2021 14:15По крайне мере, в других странах имеется zero liability: если вы стали жертвой мошенников, то это проблема банка, а не ваша.
scarab
24.10.2021 19:17Во-первых, здесь речь ведётся не только о безопасности банковских карт.
Во-вторых, аналог zero liability есть и нормально работает и в российском законодательстве.
uanet
25.10.2021 17:10+2Вот 2 примера из жизни:
Работодатель за океаном выпустил для меня (на моё имя) visa paycash (тогда не было ограничений на пополнение), обо мне зная буквально "как зовут" и город/страну. Т.е. указал дату рождения не мою. Я чудно снимал деньги в банкомате, натыкался на лимит укр банков(?) в 300 баксов в день, с учётом комсы укр банков (Приват и Надра) - 200-290 из банкомата. Закончилось тем, что в Болгарии, где я не был никогда, сняли 300 евро, в сумме тогда 420+баксов (тут вставить картинку "а что, так можно было?"). Чисто случайно я это обнаружил в день снятия или на следующий - мне посоветовали побежать в банкомат сделать попытку снятия (чтоб показать, где я), прислал фотки паспорта (там справили дату рождения, вроде бы). Чуть больше месяца разбирательства - карту перевыпустили, деньги - вернули. Думаю, скиммер в банкомате Надра был (на жд вокзале был банкомат, заряженный нужными купюрами), хотя и не факт. Вот это - "zero liability", хотя могли придолбаться буквально ко всему.
"Классика жанра" - у знакомых тухнет симка в телефоне (восстановили у оператора), в Приват звонят, авторизуются голосом (скорее всего, утечка данных, которую Приват не признает никогда), на аудиозаписи называя фамилию неправильно (!) - фамилия на украинском отличается от русского написания, плюс западные украинцы на русском обычно не общаются - т.е. банк облажался в явном виде. Оформляют голосом перевод кредитных средств на другую карту (есть такая услуга)... Понятно, что банк занимает позицию "сами виноваты, разгласили..." (в эпоху соц сетей шедевр "девичья фамилия" - отдельный перл). Но далее всё забористо совсем: менты ловят мошенников, они признаются, их сажают. Приват стоит на своём - активно пытаясь выбить деньги, звоня всем родственникам и на работу. Судятся с Приватом. Выигрывают. Приват национализируется. Приват подаёт апеляцию, снова судятся, Приват снова проигрывает... Короче, сменилось 2 президента, пока это закончилось. Годы, нервы и деньги на авдоката. И я не уверен, что "уже там всё" - кажется, Приватом до сих пор чел пользоваться не может. Сумма, правда, чуть больше была - около 1-2K$ в гривне (там майдан как раз был), на момент разборок в суде оно превращалось и в менее 500$.
Почему не стоит держать деньги "на карте" - встречал простое объяснение:
если крадут кредитные деньги - это "деньги банка", и банк будет с этим разбираться. А вот "ваши" - то Вам и разбираться, и попробуйте испольнить решение суда в Вашу пользу.
CVV обычно соскабливаю ключами, ножом или "что под руку попало" - никогда никаких проблем в супермаркетах не было. Если с картой что - прихожу в Приват ногами - "где-то я пролюбил карту", "карту схавал банкомат" - дают новую (бесплатно), забывал пин-код - меняй хоть в отделении, хоть через приват24. А вот Ощадбанк - забыли пин - перевыпустим карту, конечно за деньги.
Приложения банков в телефон не ставлю - тоже есть случаи, когда у людей крали деньги с украденных смартов (и не возвращал банк такое). Да, ходить на сайт с 5" телефона - неудобно, да ещё пароли вводить. Но браузер - единственный вектор атаки (если не считать камер наблюдения).
Не знаю, как в РФ с "порталом ГосУслуг" - в Украине умудрились через "Дию", требующую только новую id-карту, и официально не работающую с обычным паспортом, оформить кредит на чела без "дии" и с паспортом-книжкой. Так что "башку в песок" может закончится печально.
Мир меняется, и уже не просто "лох не мамонт"(с) Мавроди, уже целые поколения оказываются не готовы к жизни в новых реалиях. А те, кто думают, что готовы - тоже нередко занимают место лоха.
scarab
25.10.2021 17:43Касательно "работодателя за океаном" - там, "за океаном", платёжные карты могут выпускать едва ли не все подряд - сотовые операторы, магазины и так далее. За Украину не в курсе, но в РФ это могут делать только банки. В чём-то оно лучше, в чём-то хуже.
Встречный вопрос: в один прекрасный день Вы обнаруживаете, что баланс Вашей карты равен нулю. Куда и как Вы будете обращаться, если "работодатель выпустил карту, зная только имя и фамилию"?
если крадут кредитные деньги - это "деньги банка", и банк будет с этим разбираться. А вот "ваши" - то Вам и разбираться
Тоже слышал такое объяснение. Полный бред.
Объясню почему: совершая платёж по карте, Вы даёте банку распоряжение перевести такую-то сумму такой-то торговой точке. В случае дебетовой карты это будут Ваши деньги, лежащие на счёте в банке; в случае кредитки - это денежные средства, которые банк выдаёт Вам в кредит.
Законным путём такое распоряжение можете давать только Вы - это явно предусмотрено в договоре на выпуск и обслуживание платёжной карты.
Соответственно, если распоряжение даёте Вы - банк его исполняет, а взятые в кредит денежные средства (в случае платежа кредиткой) придётся вернуть в установленном порядке. А вот если распоряжение дал кто-то другой - то у него такого права нет и банк не имеет права исполнять его, вне зависимости от того, кредитная это карта или дебетовая.
В итоге всё разбирательство сводится к тому, что держатель карты говорит: "я не давал такого распоряжения, банк не имел права переводить деньги". А банк говорит - "нет, это держатель карты сам совершил операцию".
Если суд принимает сторону держателя карты - банк обязан аннулировать операцию и вернуть денежные средства, вне зависимости от того, Ваши они или взяты в кредит. А если суд принимает сторону банка - то операция считается Вашей и Вы несёте за неё полную ответственность. Так что кредитная там карта или дебетовая - разницы нет.
Возможно, эта байка пошла как раз из-за океана, у них там представления о картах, счетах и прочем очень сильно отличаются от принятых на пространстве бывшего СССР.
x86d0cent
25.10.2021 18:00+1За Украину не в курсе, но в РФ это могут делать только банки.
Не совсем - еще могут небанковские кредитные организации. Связной-кукуруза, Озон и тому подобные карты как раз такие. У них есть ряд нюансов: например, по умолчанию обычно нет картсчета (т.е. нельзя перевести деньги на карту банковским переводом по реквизитам счета), и средства на карте не застрахованы АСВ.
codecity
24.10.2021 03:05Слишком ресурсозатратно — не каждый сможет соблюдать, а ведь здесь нужна строгость. Некоторые действия требуют периодичности, а значит вносить в календарь, иначе выполнять не будешь.
todoman
24.10.2021 09:32-3Хорошо, не делайте ничего.
Я пришлю вам реквизиты, чтобы вы переписали свою квартиру на меня. И номер карточки, куда пришлите все ваши деньги. Чтобы сразу, без промежуточной возни. Всё равно ведь "ресурснозатратно".
telpos
24.10.2021 10:04+4Так это надо что-то делать. Проще ничего не делать, и деньги сохранятся, и время, и силы
mrzerg Автор
29.10.2021 20:26у меня так и сделано. Периодические проверки занесены в календарь. Каждую неделю приходит напоминалка. Потратить в субботу 5 минут времени ничего не стоит
codecity
30.10.2021 00:57Если слишком много ресурсов тратить на это — то некогда будет деньги зарабатывать — нечего будет охранять.
Mitch
24.10.2021 10:49Сложилось впечатление что судя по статье 2 самые большие дыры это:
сим карта
госуслуги
А скоро еще "оплату лицом" подвезут кстати, вот это по моему будет всем дыркам дыра.
VIPDC
25.10.2021 19:35+1+согласно примеров утечки банка (знания кодовых слов). Вообще работники банка самая большая дыра, это и утечки данных, у разглашение технологий защиты при увольнении
gazkom
24.10.2021 11:09Есть мнение, что оформление запрета на регистрацию сделок с недвижимостью без личного присутствия никак не влияет на мошенничество с помощью ЭЦП. Запрет не дает регистрировать сделки по доверенности. ЭЦП же приравнивается к собственноручной подписи, поэтому если за вас выпустили ЭЦП, этот запрет не сработает.
Savevur
24.10.2021 12:55Истинно так.
С помощью ЭЦП можно этот запрет снять.
Но сделки с ЭЦП запрещены без вариантов.
Savevur
24.10.2021 13:30Вроде есть исключение для ипотеки и определенных ЭЦП
Запрет на проведение сделок с недвижимостью с помощью электронной подписи не будет распространяться на цифровую ипотеку, сообщает Федеральная кадастровая палата Росреестра на своем сайте. То есть, сведения от банков по-прежнему можно будет подавать в электронном виде, без личного участия гражданина. Бумажного заявления от кого-либо из участников сделки для этого не требуется.
Есть и другие исключения: сделки с недвижимостью можно будет оформлять с использованием электронной подписи, если она была выдана удостоверяющим центром Федеральной кадастровой палаты, и если в оформлении сделки принимают участие нотариусы или госорганы, которые взаимодействуют с Росреестром в электронном виде. В этом случае владельцу недвижимости тоже можно не писать специальное бумажное заявление на использование электронной подписи.
https://www.cnews.ru/news/top/2019-08-12_vlasti_zapretili_elektronnye_podpisi_dlya_vseh
mrzerg Автор
29.10.2021 20:30да, увы это так. Но оформив данный запрет мы хотя бы снизим вероятность афёр с недвижимостью
poige
24.10.2021 12:47+4Установите автоблокировку экрана смартфона не менее 30 сек
если телефон украдут, он успеет заблокироваться
Это называется «не более, чем через 30 сек», а ещё точнее «не позднее, чем через».
Но уж точно не «не менее».
iiwabor
24.10.2021 12:56Я бы еще добавил - "Регулярно навещать и созваниваться с родителями" - тогда они меньше себя накручивают ("сын/дочь не звонит? а вдруг что-то случилось?!") и меньше шансов что попадутся на удочку в стиле "мама я сбил человека"
Savevur
24.10.2021 13:18+24
Оформить запрет на регистрацию сделок с недвижимостью без личного присутствия
чтобы исключить продажу квартиры по поддельной доверенности или поддельной ЭЦП
Этот запрет можно снять с помощью ЭЦП.
Статью писал теоретик.
В России ЭЦП при сделках с недвижимостью запрещена всегда, кроме случая когда недвижимости как бы еще нет - ипотека.
Основная опасность лишиться недвижимости.
Лишить могут непосредственно используя подставное лицо или нотариуса или мошенники в МФЦ и т.д. и т.п.
Единственная защита - сделать обременение на недвижимость.
Но в любом случае, мошенники могут оформить юр.лицо используя ЭЦП и сделать на нем долги больше чем стоимость недвижимости. Лишать уже будут коллекторы.
На данный момент против этого в России защиты нет лично для меня. В налоговой отказались принимать моё заявление о запрете регистрации юр. лица без личного присутствия. Говорят, что база только для уже существующих юр.лиц. А если его нет, то и нельзя туда ничего внести.
Все остальные ребусы в этой теме - это мелочь.
Savevur
24.10.2021 13:32Есть еще исключение, кроме ипотеки по дефолту разрешены отдельные ЭЦП при определенных сделках. Но думаю мошенникам такую подпись получить маловероятно.
Есть и другие исключения: сделки с недвижимостью можно будет оформлять с использованием электронной подписи, если она была выдана удостоверяющим центром Федеральной кадастровой палаты, и если в оформлении сделки принимают участие нотариусы или госорганы, которые взаимодействуют с Росреестром в электронном виде. В этом случае владельцу недвижимости тоже можно не писать специальное бумажное заявление на использование электронной подписи.
https://www.cnews.ru/news/top/2019-08-12_vlasti_zapretili_elektronnye_podpisi_dlya_vseh
moskIToff
24.10.2021 13:42+1много отличных советов, некоторые из списка уже давно стоят по умолчанию (особенно в большинстве банков и госучреждениях), другая часть - здравый смысл, а остальное - просто паранойя которая вам принесет больше неудобств чем пользы (напр. лимит переводов с карты - когда вам понадобиться сделать большой перевод сразу же начнете себя проклинать и тд). Да и вообще что бы взломать кого-то сейчас нужно много усилий и месяцы работы с аккаунтами человека, данными и вообще соц инжерению надо подключать, очень малый шанс что разные сервисы не затригерят взлом... если у вас вынесли какую-то сумму а вы не возглавляете список Форбс что бы за вами охотились многие, то скорее всего это не русские хацкеры а ваша жена которая захотела себе новую кофточку или кто-то из близких кто имеет физический доступ к вашым устройствам.
sunki
25.11.2021 13:18Да вообще никаких усилий не надо. Покупаете данные о человеке за копейки, потом перевыпускаете ему sim по левым документам.
iridiumhawk
24.10.2021 13:47+1После пункта №17 можно не читать дальше. Это абсолютно нереально. Когда у тебя сотни регистраций на разных сайтах, то либо сохраняешь разные пароли, либо используешь везде один и вся безопасность идет лесом.
moskIToff
24.10.2021 13:53-1можно записывать в ворд док и хранить на сьемнике, или просто на физической карточке и в сейф :) (а еще проводить жертвоприношения богам криптографии что бы их задобрить)
tmin10
24.10.2021 13:53+3Keepass? Вводу мастер-пароль и вот у меня все пароли от сайтов (разные) доступны. Ещё можно FIDO ключи использовать для сайтов, которые позволяют.
kvk-2019
24.10.2021 18:11Если не ошибаюсь, с 95 Хрома FIDO/U2F перестаёт работать, только FIDO2/WebAuth. Надо будет проверить. Наверно, пробегусь, когда Фейсбук сменит (или нет) название. Не исключено, что и ещё что-то поменяют тогда. Хотя, скорее всего, там обратную совместимость должны оставить на довольно длительное время. Впрочем, не разбирался подробно и не уверен достаточно, стоит ли беспокоиться.
D0001
29.10.2021 20:46PC - KeePassXC
iPhone - Strongbox
Android - Keepass2Android
Синхронизация шифрованной базы в идеале через свой Nextсloud - но думаю можно и через тот же google drive
yett
29.10.2021 20:46Откройте для себя мир менеджеров паролей. И кроме мастер пароля, не нужно будет нечего запоминать.
Astromatics
24.10.2021 14:01+1Не пользоваться новыми сервисами. Усмирить свою "современность", "продвинутость", и жажду новых знаний. Вспомнить, что прогресс - не всегда благо, а вернуться обратно психологически тяжело, воспринимается как "каменный век"(весьма условно, но лично знаю, что для некоторых людей весь двадцатый век - каменный). Помнить, что прогресс обязательно вас заставит пользоваться всем, это вопрос времени. Есть жизнь без Facebook(я знаю, о чём пишу, меня заблокировали достаточно давно, и всё нормально). Сопротивляться до последнего. Иначе выходит, что с точки зрения "завтра", вы уже прямо сейчас троглодит. А пароли текли, текут и будут течь, ничего с этим не сделать. Соблюдать 90+ правил нереально.
Нет слова "ксерить". Есть слово "копировать". Извините.
Graf54r
24.10.2021 14:18+1п. 2 - оператор сливает данные и кто-то использует кодовое слово.
Как по мне это хуже чем если его нет.
megahertz
24.10.2021 15:18Если я правильно помню, раньше по умолчанию были разрешены действия с недвижимостью без личного присутствия. Примерно год назад это по умолчанию запретили после многочисленных случаев мошенничества.
anton19286
24.10.2021 16:44возможен аналогичный запрет на онлайн кредиты?
mrzerg Автор
29.10.2021 20:49такого пока нет, но подвижки есть https://www.vbr.ru/banki/novosti/2021/08/24/zapretit-onlainkrediti/
nivorbud
24.10.2021 15:37+112) Оформить в вашем банке получение подтверждений банковских операций через push, а не через sms
Какой в этом смысл? Ведь таким образом двухфакторная авторизация превратится в однофакторную. Если в смарте будет троян (или смарт попадет не в те руки), то он и пуши перехватит. Также перевод на пуши не означает, что банк не пошлет коды через смс, если посчитает нужным, т.е. этот смс-канал остается действующим. И самое главное - в случае пушей нет третьего независимого лица (оператора связи), которое может подтвердить, либо опровергнут передачу смсок с кодами и пр.
Так что лучше отдельный кнопочный телефон от нормального производителя с возможностью запаролить доступ к смскам.
Отключение дистанционного восстановления пароля и пр, а также установка прочих ограничений - это не панацея, это часто лишь вводит в заблуждение. Какой смысл во всём этом, если банк позволяет через смс изменить способ аутентификации?
Еще очень многие не понимают (для меня это также было шоком), что при компрометации карты вы рискуете не только средствами на карте, а всеми деньгами на всех счетах. Это и фишинг и полный доступ в личный кабинет через банкомат (с помощью карты). Основная опасность - привязка злоумышленниками своего смартфона (изменение способа аутентификации с полным перехватом управления) через перехват одной единственной смс. Надо обязательно разобраться, позволяет ли это ваш банк.
Так что телефон для смс должен быть отдельным кнопочным и... лучше пусть запароленым лежит дома. Таскать его всегда с собой вместе с картами - это дополнительные риски. Кстати, родные (особенно дети) также не должны знать пароль к телефону.
Ставить приложение на свой основной смартфон - тоже не очень хорошая затея. В идеале смартфон должен быть отдельным и предпочтительно айфон. Понятно, что это не всегда возможно, но по крайней мере не надо на основной смартфон бесконтрольно ставить софт.
Если входить в л/к через десктоп, то... никакой винды, тем более не с игрового компа. В идеале - отдельный комп на линуксе. В крайнем случае в виртуальной машине.
В браузере, используемом для банковских операций, не должно быть установлено никаких расширений. Перед авторизацией необходимо проверять доменнное имя сертификат сайта.
Обязательно читать текст смс-ок с кодом, сопоставляя, соответствует ли ваша операция тексту.
ЗЫ
Вообще ситуация удручающая. Особенно когда видишь в л/к предложение онлайн-кредита на много миллионов в пару кликов за пару минут и понимаешь, что для этого достаточно одной смс-ки...
Mitch
25.10.2021 23:13Смысл в том, что sms это просто дыра, можно выпустить симку с вашим номером, есть такие сервисы даже в даркнете. Симка появляется типа как в роуминге где нибудь в африке на левом мелком операторе.
А чтоб пуш перехватить надо само устройство у вас похитить.
sunki
25.11.2021 13:25Дело в том, что полностью от sms отказаться банки не позволяют. Если вы привязываете новый телефон, код придет в смс. А потому пуши не имеют никакого смысла.
alexshy
24.10.2021 18:07+2Несколько месяцев я изучал тему интернет мошенничества с целью собрать наиболее полный список действий
Вот по этому?!!
mrzerg Автор
29.10.2021 20:55+1нет, не только. Если я бы привёл весь список статей и ресурсов которые я перелопатил, получилось бы нечитабельно. Да и не запомнишь их все. Здесь представлена выжимка
titbit
24.10.2021 18:57+3Большой список, правда к некоторой части советов есть замечания (с частью внутренний параноик вообще не согласен).
Основная проблема списка в целом: всякие мошенники действуют незаконно, а противодействовать им хотелось бы только законно. А как известно административные проблемы либо не имеют технических решений, либо они не очень эффективны.
Дополнительные советы.
1. Если боитесь потерять телефон — не носите с собой телефон с «основной» сим-картой, на которую заведены важные сервисы, пусть он дома полежит.
2. Разделите интернет и привязки к сервисам на разные симки. На «интернетную» пин-код даже вреден, как раз лучше чтобы интернет поднимался автоматом при перезагрузке телефона.
3. Не пользуйтесь никакой биометрией. Тем более на телефоне.
4. Не привязывайте к телефону слишком многого (услуги, оплата и т.д.). Это неразумно и рискованно. Не кладите все яйца в одну корзину.
5. Не храните на счете телефона и карте больших сумм денег в принципе. Это сильно снизит риски. Используйте виртуальные карты для разовых платежей по возможности.
Комментарии к исходному списку напишу отдельно.titbit
24.10.2021 19:18+1Комментарии к списку.
1. Пин-код обязательно только на основную симку (к которой привязаны важные гос.сервисы и банки), которую и так лучше держать дома.
2. Сомнительно, кодовое слово легко подслушать и потом заблокировать вам симку им же.
8. Сомнительно, антивирус на телефон полезен только если вы регулярно ставите новый софт на телефон или посещаете с основного телефона откровенно сомнительные сайты. Софт на основном телефоне я предлагаю вообще менять не часто (после обкатки), про сайты с основного телефона я думаю вы тоже поняли. Если прямо вот очень надо — используйте для этого отдельный телефон со своей «прочей» симкой.
13. не надо хранить на счете оператора много денег, в идеале должен быть оплачен текущий тариф (обычно месячный) и 10% сверху. про карту тоже самое — не храните больше месячной зарплаты.
14. не ставьте автопополнение счета в принципе, лучше вообще никогда
19. это сильно увеличивает риск утери и кражи, сомнительный совет
25. а как это сделать-то? особенно без рута, который не рекомендован в 58.
27. нереально, увы, проверено на личном опыте (дошел аж до блокировки) на красном банке.
30. вредно, лучше пароль
32. сомнительная польза, лучше уж пароль на телефон в целом
35. а что взамен-то? push уведомления тоже не всегда надежны
43. опять вопрос — а как запрещать без рута-то?
45 и 46 противоречат друг другу. в идеале не надо вообще пользоваться пиратским.
47. зачем если есть 28? для пущей надежности что-ли? ставьте обновления чаще.
52. сомнительно. а чем съемные носители лучше-то? надежность у них обычно даже хуже именно потому что они съемные.
57. не понял как данные в облаке зависят от кражи телефона?
58. спорный совет. кому-то действительно нельзя давать никаких прав, но знающему человеку это поможет защитить себя сильнее.
63. в идеале не надо пользоваться аккаунтами в сомнительных соцсетях (тех, которые вымогают перс. данные и потом торгуют ими), включая вк и фб. но при этом иметь сами аккаунты можно, чтобы исключить регистрацию «двойников».
65. сомнительная практика регулярной смены паролей, люди склонны в таком случае упрощать пароли и пинкоды, тем более их надо будет запоминать многоtmin10
25.10.2021 00:08+125. В 9 андроиде можно убрать ненужное (будут ли потом запускаться приложения - вопрос открытый)
35. Смс банк - переводы денег по команде из смс для телефонов бещ браузера и приложений. Альтернатива - приложение или вебсайт.
43. См 25.
58. Если загрузчик будет разлочен, это открывает возможности к лёгкой модификации прошивки (но заморачиваться этим будут разве что спецслужбы)
titbit
25.10.2021 14:0325,43 — там сплошные вопросы, у встроенных приложений ничего отобрать нельзя даже если очень надо, у всех остальных можно отобрать только часть разрешений (далеко не все, вот как интернет отобрать?), про последующую работоспособность тем более молчу, так что это все спорные и сомнительные советы — нормального решения-то нет.
58 — закрытый загрузчик это не панацея, фактически производители ставят ультиматум: либо доверяешь нам 100% и мы тебе много чего запретим, или мы умываем руки и помогать тебе не будем. любой ультиматум — это плохо с точки зрения безопасности.
эх, похоже тут статью целую писать надо в ответ, не знаю интересно только будет кому?tmin10
25.10.2021 14:08На моём 9 андроиде можно выборочно лишать доступа к сервисам как встроенные (phone, camera, google play сервисы), так и сторонние приложения.
Доступа в интернет лишить нельзя, увы, почему-то разрабы андроида считают, что оно должно быть вообще у всего без спроса (наверное чтобы рекламу не мешали показывать запретом).
mrzerg Автор
29.10.2021 21:48Спасибо за обширный лист комментарий и за то что внимательно прочитали статью. Некоторые пункты я поправил. Однако с некоторыми не согласен и вот почему:
1.Симку, привязанную к банковским аккаунтам, дома лучше не держать.. В случае её компрометации вы этого не заметите и не сможете быстро реагировать
2.Согласен, возможно стоит изменить этот пункт
8.Не согласен. Новые приложения люди будут ставить всегда. Не всегда есть возможность и время проверять эти приложения. Антивирус хорошо справляется с проверкой + это удобно
13.Согласен, но данный пункт как дополнительная степень защиты. В разделе примеры есть кейс, когда украли деньги как раз "благодаря" этой услуге
14.От части согласен
19.Вы хотели сказать что это усугубляет положение дел при утере или краже смартфона. Но тут я тоже пожалуй не соглашусь. И вот почему. Ваш телефон всегда при вас, а это значит вы видите когда отключилась сим-карта. Если телефон лежит в сейфе, то жулики сделают дупликат сим-карты и вы об этом даже не узнаете
25.На последних андроидах делается довольно просто. Про эпл и более ранние версии андроида не могу сказать
27.Хм, странно. У меня от банка всё чисто. И от оператора тоже. Попробуйте в офисе моб.оператора и банка написать отказ от рекламных и промо смс.
30.Дополнил данный пункт
32.Не согласен. Воры могут украсть ваш телефон разблокированным, либо разблокировать если это сделать просто
35.Имелось в виду управление банковскими операциями через смс
43.Просто не давайте разрешение. В последних андроидах делается легко
45-46.Не вижу противоречий. Смысл пунктов такой что на сайтах с халявой водится много вирусов. Если вам супер нужен такой контент, будте очень внимательны
47.Да, дублирование. Но лишним не будет. Не каждый будет ставить себе антивирус на ПК
52.Пожалуй не соглашусь. Съёмный носитель не будет затронут например в случае вирусов-шифровальщиков
57.Воруют телефон, открывают всё что можно открыть, в т.ч. доступ к файлам на облачных хранилищах. Во-вторых, в даркнете встречаются объявление о взломе аккаунтов с почтой
58.Имелось в виду чтобы не разлочили загрузчик и не устанавливали себе кастомные прошивки
63.Хорошее пояснение см в п.62
65.Не согласен что это сомнительно. Это защищает от периодических утечек. В разделе примеры есть несколько кейсов, которые подпадают под этот пункт
titbit
05.11.2021 22:281,19 — надо исходить из того, что вероятность утери (кражи) телефона намного выше вероятности изготовления дубликата сим-карты, а ваши советы делают упор на противодействие менее вероятным событиям.
8,47 — антивирус сам по себе может быть источником проблем, так что его надо применять осторожно: для не разбирающихся в софте и его источниках он крайне желателен, для разбирающихся — опционален, тем более сейчас много всего проверяется автоматически (софт из того же GP, например).
25,43 — если это так легко, подскажите как убрать разрешение на интернет и другие разрешения у встроенных программ и программ от гугла? я не смог найти способа, кроме как через рут права.
27 — я имел ввиду ситуацию, что банк каждый раз звонит с рекламой «кредитов» с разных номеров, а если их заблокировать, то не пройдет важный звонок, и можно получить блокировку счета
32 — а в чем несогласие-то? я просто за пароль — он гораздо надежнее и универсальнее; дополнительно вешаете bluetooth маячок на автоблокировку при потере контакта, чтобы не вырвали из рук в разблокированном состоянии.
57 — так не надо держать на телефоне токены (пароли) для доступа в облако, тогда и проблемы не будет, это касается и гугл-аккаунта, привязать его можно, но из аккаунта лучше выйти.
58 — извечный спор, кто-то не доверяет гуглу (производителю) и считает заблокированный телефон не безопасным, кто-то наоборот, истина наверное посередине… я лично за рутование, потому что я верю себе больше, чем гуглу, но я никому не навязываю эту точку зрения.
63 — я вообще про выкладывание какой-либо информации в соцсети, а вы про ограничение доступа к уже выложенной; я вот не верю соцсетям вообще и их настройкам приватности тоже, поэтому просто рекомендую не выкладывать ничего, что не хотелось бы видеть потом публичным.
65 — ну будут придумывать одинаковые пароли и/или слабо отличающиеся, еще неизвестно что хуже с точки зрения безопасности
p.s. очень похоже что у нас с вами разные модели угроз просто, поэтому я предлагаю несколько другие решения и подходы, ваши тоже в целом правильные, но вот лично мне не подходят, поэтому я делюсь своими; ну а совсем единых быть не может, паранойя у каждого своя :)
0xC0CAC01A
24.10.2021 21:41+138 Не давайте ксерить или фоткать свой паспорт нигде кроме как в отделениях банков и гос.структур. Не отсылайте сканы документов по эл.почте
Т.е. в командировках живём под мостом, а не в гостинице?
JerleShannara
25.10.2021 01:30В 60% случаев прокатывает вариант параноика-истерички «смотреть — смотрите, ксерить не дам, вы у меня квартиру украдёти и кредит возьмёте, тащите управляющего сюда!!!!»
0xC0CAC01A
25.10.2021 01:50А в остальных 40% что делать?
JerleShannara
25.10.2021 01:52Если город не в формате «один отель имени 20 лет КПСС» — идти в другой. Либо у частников аренду брать, обычно она влезает в командировочные.
0xC0CAC01A
25.10.2021 01:59Т.е. Вы приехали в уже оплаченный отель, в 23:55. Девочке на ресепшене велено ксерить все паспорта, звать управляющего бесполезно, он "уже уехал". Разворачиваетесь, теряете деньги за отель и идёте искать в ночи другой? Да, у Вас есть пять минут до полуночи, чтоб забучить другой отель на тот же самый день. Ну и цены в последний момент, сами понимаете, какие будут.
JerleShannara
25.10.2021 02:27Я командировки с такими заездами шлю в баню. Отель оплачиваю командировках сам. Мне только дорогу оплачивают (и то, не всегда, т.к. мне проще удобным себе способом добраться куда надо).
tmin10
25.10.2021 14:09Т.е. не бронировать отель, а искать свободный и где не просят лишнего?
JerleShannara
25.10.2021 15:15Бронирую. Но с вопросами насчёт копирования, плюс «заезд в 23:55» это уже дичь какая-то, я спокойно заезжаю в начале дня отеля, если вскроются косяки, то можно будет спокойно без рванья волос на одном месте другой выбрать или по частникам посмотреть.
tendium
26.10.2021 19:06У меня украли так данные карты в Хорватии. Просто покрутил туда-сюда. А там, видать, камера была над чуваком. Никто не ксерил карту.
tvr
25.10.2021 14:30+37. Установить определитель номера на смартфон
Это шесть баллов по пятибалльной шкале.
parpalak
25.10.2021 22:48Подключите оповещения о запросах вашей кредитной истории
Посоветуйте, как это сделать?
mrzerg Автор
29.10.2021 15:02я пользуюсь ЛК большого зелёного банка, там есть платная услуга "Уведомления по кредитной истории"
kvk-2019
29.10.2021 16:00+1Добавлю, что в других БКИ такая платная услуга также как правило есть (посчитал, прикинул, не пользуюсь, поскольку там у меня не самая актуальная информация по банку, в котором уже нет карт). Полный список своих БКИ узнаю периодически на Госуслугах и бесплатно получаю кредитный отчёт два раза в год. Там все запросы видны. Но если такая периодичность не устраивает, то уведомления в приложении - выход. Не помню точно, но, вроде в упомянутом банке в каких-то случаях срок уведомления 20 минут, в каких-то - до 72 часов. Присылают СМС о наличии уведомления, подробности в приложении. Это если подробности интересны. Не слишком дорого выходит.
bopoh13
26.10.2021 04:05+137: И не вводите данные карты
47: Можно установить расширение https://addons.mozilla.org/firefox/addon/351419/
tendium
26.10.2021 19:08+1Ещё можно переехать в страну, где с мошенничеством таких серьёзных проблем нет. Имхо, это проще, чем так параноить.
Zordhauer
29.10.2021 18:47Скимминг, как я понимаю, не актуален для карт с чипом и тем более для бесконтактных карт?
iMoHax
29.10.2021 21:53+1Установите автоблокировку экрана смартфона не менее 30 сек
Полагаю имелось в виду не более 30 сек, иначе совет выглядит странным.
На счет паролей и кодовых слов, на мой взгляд наша память слишком не надежна для их хранения, особенно в состоянии стресса их будет трудно вспомнить. Лучше все же в обычный блокнот их записать. Либо проводить учения раз в месяц)
mrzerg Автор
29.10.2021 21:55Учения раз в месяц - плюсую) На счёт памяти, можно использовать разные алгоритмы для составления сложных паролей и привязывать их к фактам, которые никогда не забываются. В ход идут мнемонические правила
aakumykov
29.10.2021 21:55+1n+2
Проверять правила пересылки писем из своего почтового ящика. Порой мошенники настраивают зеркалирование вашей переписки с вытекающими.
mrzerg Автор
29.10.2021 21:56Интересно. А можно подробнее?
JerleShannara
29.10.2021 22:57+2В один прекрасный день вы получаете от мылосру, тындекс, гоу-огле оповещение, что в ваш аккаунт был вход из (к примеру) Зимбабве с устройства Windows XP. Вы рыпаетесь на сайт почтовика, вводите логин и пароль, они подходят, видите, что да, есть активная сессия из какой-то жопы мира, быстро меняете пароли и считаете что вам повезло(но фиг там). А через неделю обнаруживаете, что всё, что было завязано на почту — утекло и вам уже не принадлежит, т.к. в настройках переадресации взломщик просто включил «пересылать копии на k00lxa4x0r@example.com, оставляя оригинал.»
zipaa
29.10.2021 21:57Можно еще добавить пункт о покупке телефона эного бренда , где производителя не ставит вирусного софта. Думаю это не пункт а, рекомендация по поиску фирмы.
aakumykov
02.11.2021 09:05+1Рассказывали, что парень ушёл в армию, оставив телефон дома (м.б. взял другой). Вернувшись через год, обнаружил, что обслуживание остановлено за неактивностью, номер перепродан. Парень огрёб проблем с интернет-банками. Не знаю, насколько это правдоподобно, ведь, по идее, можно сходить лично в банк. Но говорили на полном серьёзе.
avhelp
20.11.2021 18:45"Не храните на компьютере очень важные файлы" наверное лучше заменить "Очень важные файлы храните на компьютере в зашифрованном виде. При этом обязательно делайте резервные копии на сменные носители".
mrzerg Автор
22.11.2021 17:51там фишка в том что если хранить их даже в зашифрованном виде, вирус шифровальщик их может зашифровать и доступа все равно не будет. Поэтому лучше хранить на внешнем носителе
sunki
25.11.2021 12:48-1Установить кодовое слово в офисе вашего моб.оператора
Дальше можно не читать...
mrzerg Автор
29.11.2021 19:48Поясните пожалуйста почему
sunki
30.11.2021 00:15-1Никакая информация, которая используется, хранится и передается открытым текстом (в том числе третьим лицам) не должна использоваться для идентификации. Для кодового слова (а также "секретных" вопросов) часто используют легкодоступную информацию (например, кличка животного), оно доступно операторам и попадает в сливы вместе с остальными данными (в отличие от паролей, которые хотя бы захешированы). Не понятно, от чего именно хочет защитить себя автор, какие обязательства и последствия наступают у оператора после создания кодового слова. Если я просто его забуду, меня отправят в офис или достаточно будет назвать любые другие открытые данные (типа номера паспорта)? Короче, ответов больше чем вопросов. Вкупе с остальными спорными пунктами, а также их количеством, у меня возникают большие сомнения в компетентности автора касаемо рассматриваемых вопросов.
gleb_l
n+1. Проверять мыло и пароли на сайтах типа haveIbeenpwned?
DasEzh
Баян, но всеже:
Однажды к гуру прищел ученик и сказал:
- Учитель, посмотри какой я придумал сложный пароль, никто не сможет его подобрать!
- этот пароль плохой.
- но почему?
- Потому что он есть в интернете.
Через какоето время ученик опять приходит и шговорит:
-Теперь мой пароль точно хороший я проверил его нет в интернете.
- теперь есть; Отвечает учитель.
SpyzeR
Зря вы так - совет дельный. Просто скачайте базу хешей и проверяйте локально.
DasEzh
Вот скачать локально базу действительно дельный совет. Потому как появление фейковыйх сайтов типа haveIbeenpwned, которые буду в выдаче выше оргинала, ИМХО,дело времени.При условии что подобные улуги будут востребваны в будущем.
toxicdream
Так там же логин/почта проверяется.
Или что-то уже изменилось?
DasEzh
Ну вобщем да, только мыло, но вообще отличная идея собирать актуальные емейлы, люди сами несут их тебе. :)
tmin10
Для недоверчевых — выкачать базу урезанных хешей и проверить локально.
0xC0CAC01A
А зачем выкачивать, нельзя проверить наличие хеша в базе онлайн?
tmin10
Чтобы совсем никакой информации не отдавать вовне)
ABOMETP
такого рода сервисы имхо сами собирают инфу от желающих проверить, и пополняют базу реальных адресов