И случилось это через пару дней после появления этой статьи на хабре. Если честно, я запаниковал. Под атакой оказался вполне рядовой человек, не имеющий запредельных доходов или других признаков, по которым можно было бы мошенникам найти жертву. Вполне возможно, кто-то уже делает дубликат и моей сим-карты, чтобы натворить нехороших дел.
Я решил отвязать свой номер телефона от сервисов, которые дают возможность управлять собой или получать доступ по телефону. Я не являюсь специалистом в сфере информационной безопасности, поэтому данное решение может в дальнейшем оказаться неправильным. Но пока пусть будет так.
Можно много рассуждать о том, что в данной ситуации виноваты операторы сотовой связи, выдающие дубликаты сим-карт кому попало, или другие организации, например, банки, которые проводят недостаточную работу по верификации этих самых сим-карт в своих системах. Существует факт нарушения информационной безопасности, и определение виноватого пока никого от данной ситуации не спасло.
Неожиданно, я не смог отвязать свой телефон от Вконтакте. Конечно, вряд ли кто-нибудь серьезно навредит мне, если получит доступ к моему аккаунту в социальной сети, но тем не менее.
Случился следующий диалог со службой поддержки:
Возможно, я паникер и параноик. Но почему так? Почему, когда предупреждаешь такую крупную социальную сеть об угрозе, пускай маловероятной, получается, что это не их забота. Может я в чем-то не прав?
Update
Пользователь aalebedev подсказал решение тут:
Включите двухфакторную авторизацию. vk.com/page-59800369_47885415
Тогда будет восстановление через email, а не телефон.
А email возьмите Google тоже с двухфакторной.
Комментарии (90)
ibKpoxa
06.10.2015 18:34+5Уважаемый ТС, поддержка практически любого сервиса не решает вопросы информационной безопасности, да, она даёт официальные ответы, но только те, что им велено отвечать, взывать к их совести или здравому смыслу бесполезно, надо им что-то рекомендовать сделать (давать ввести такую возможность для таких-то ситуаций и по таким-то причинам, ведь жизненная ситуация меняется) и просить донести эти рекомендации до тех, кто может повлиять на ситуацию, в противном случае они в большинстве случаев ничего не сделают с данной информацией, т.к. их часть работы проделана корректно согласно их правилам.
DVORYAN
06.10.2015 18:36-6Очень всё поспешно. Дождались бы результатов следствия. Если это действительно дубликат сим-карты, то установить будет не сложно. Оператор установит где, кем и когда был выдан данный дубликат, а далее уже будет вопрос к оператору/центру выдачи. Они и будут отвечать/компенсировать. Единственное, скорее всего придётся судится.
Надо посмотреть на Банки.ру, сколько подобных случаев было и чем всё это заканчивалось. Что касается не финансовых аккаунтов, то e-mail тоже не вершина надёжности, мои и моих товарищей взламывали. Теперь у меня стоят сложные пороли, вопросы с двухфакторной аутентификацией.
barkalov
06.10.2015 18:50+21Вспомнился случай: На новый год покупал маме телефон в МТС. Я сказал, что у ней уже есть номер и симка от МТС, но она full-size, в новый телефон не войдет. Мне сказали — проблем нет, спросили её ФИО, номер и выдали новую микро-сим (со старым номером). Никаких документов я не показывал.
roodz
07.10.2015 00:08+11Они в МТС странные.
В КрымНашем купил симку вообще без паспорта. Так и валяется нераспечатанной — не пригодилась.
Зато, на материке отказались подключать на корпоративный договор новый номер без распечатанного на лазерном принтере приказа о назначении генерального директора, хотя оный гендир (я), стоял перед ними с паспортом, печатью и рукописным приказом (потому что лазерного принтера с собой не ношу, а приказ, как внутренний документ компании, имеет форму, устанавливаемую руководителем субъекта экономической деятельности, т.е. мной, а значит, его можно писать хоть карандашом на туалетной бумаге).
Потом, конечно, я добился от компании извинений и признания их действий неправомерными. Но осадочек остался :)
Alexeyslav
07.10.2015 08:47А как можно установить какие-топорядки, если до написания приказа как бы и не являетесь директором? После — да, можете распоряжаться а ДО приказа — под вопросом.
roodz
07.10.2015 08:56+2До этого приказа может быть еще приказ — организация не первый день существует. Это скорее приказ о продлении полномочий. Зачем МТС этот приказ, который по сути Филькина грамота — уже другой вопрос. Есть же ЕГРЮЛ, который не подделаешь, и выписку оттуда любой может получить за минуту.
heathen
07.10.2015 12:16«Приказа о назначении ген. дира» вообще в природе быть не может. Может быть решение учредителей или учредителя о назначении на должность генерального директора — полномочия на выбор исполнительного органа могут принадлежать только владельцам. Ни текущий, ни бывший директор не может назначить себя или кого-либо ещё на свою должность.
roodz
07.10.2015 12:25+2Есть протокол собрания участников общества (или решение единственного участника) и в соответствии с ним выпускается приказ генерального директора о вступлении себя любимого в должность.
x88
06.10.2015 19:00+13При активации дубликата изменяется ICCID сим карты и вроде IMSI (который доступен по HLR https://smsc.ru/testhlr/) запросу.
Некоторые банки проверяют также и некий код, перед отправкой смс, и, если был активирован дубликат, просят подтвердить это.
gnoul
06.10.2015 20:04+2Я тоже на это надеялся и года 4 назад в Альфабанке все так и было после смены симкарты разблокировал мобилтный банк через поддержку называя кодовое слово и еще какую-то информацию спрашивали. А неделю назад менял симкарту на том же номере и каких-то проблем или ограничений это не вызвало. Наверное в Альфабанке есть для этого какая-то дополнительная услуга.
palmich
06.10.2015 20:17+3платежи проводили? у альфы обычно вход в альфаклик не вызывает вопросов, а вот уже получить платежный код по смс — не получается.
gnoul
07.10.2015 04:04Да, деньги приходят, уходят. Сообщения с одноразовыми паролями как приходили так и приходят. Никто ни о чем не спрашивает.
M_Muzafarov
07.10.2015 14:33Много времени прошло? У меня как-то месяц на реакцию требовался. Операций напроводил, а потом через месяц какую-то заблокировали по причине смены симкарты.
gnoul
08.10.2015 07:03+1Прошло уже 2 недели.
Ну если на реакцию требуется больше часа (в идеале после смены симкарты блокировка должна происходить сразу) то это не защита клиента а никому не нужный бесполезный бюрократизм только осложняющий жизнь.Alexeyslav
08.10.2015 11:30Вообще-то счет идет на минуты. Номер клонируют и зачем медлить? Сразу же переводят деньги так сказать «не отходя от кассы».
alexeibs
06.10.2015 20:55Симкарту попросят активировать при получении смс-кода подтверждения, когда соберетесь сделать какой-нибудь перевод. По крайней мере у меня так было — менял симку в августе. Перед этим неделю успешно заходил в альфаклик с новой симкой.
AcidVenom
06.10.2015 21:42Вроде бы у Сбера тоже самое было несколько лет назад, при первой операции необходимо было позвонить оператору.
Не обратил тогда внимание.
Assargin
07.10.2015 11:55То есть — если я правильно понимаю — нормальные организации и сервисы (а банки так особенно), использующие мобильную связь как дополнительный фактор аутентификации, по-хорошему должны каждый раз при каком-либо подтверждении со стороны пользователя делать HLR-запрос, проверяя IMSI? И при изменении оного блокировать операции? Если HLR-запрос решает проблему, то это просто отлично, осталось только донести до всех, что это делать надо, особенно пока сами ОпСоСы пока потакают мошенничеству.
NetBUG
06.10.2015 19:12ВК вообще очень параноидально относится к наличию номера телефона.
Когда появилось это требование, я полтора года не привязывал телефон и вводил капчу по мере необходимости.
Сейчас, к счастью, есть возможность привязать иностранную SIM.
EuroElessar
06.10.2015 20:57+2Если бы все было так просто, VK до сих пор не дает мне привязать мой текущий номер в США. Ответ техподдержки:
Вероятнее всего, номер является виртуальным. Виртуальные номера привязывать нельзя.
и:
Значит, Ваш оператор наравне с настоящими (который у Вас) продают виртуальные, но с тем же префиксом. Из-за того, что нет возможности их различать, нам приходится блокировать весь префикс. К сожалению, с этим ничего не сделать.
NetBUG
06.10.2015 21:17+5Самое главное — я не очень понимаю, зачем им нужен номер телефона.
Который вполне может оказаться настоящим, но заброшенным, например.nxsofsys
06.10.2015 21:22+12Более того, номер может быть выдан другому лицу совершенно легально, если давно не использовался. И новый владелец может неожиданно получить доступ к странице вконтакте.
Alexeyslav
07.10.2015 09:00-1Только если он будет знать реквизиты вашей страницы, т.е. охотится на номер телефона целенаправленно либо где-то случайно найдет привязку номер-логин.
Leshrac
07.10.2015 11:45Так я однажды и получил к новой симке бонусом страницу в вк — при регистрации нового аккаунта на этот номер вк сказал, что страница на него уже зарегана и предложил ее отвязать от этого номера, что я незамедлительно и сделал.
Пугает то, что не уверен в добросовестности всех людей, получающих к симкам аккаунты бонусом… Так параноиком и становишься
dammer
06.10.2015 19:19+25Номер отвязать можно, алгоритм следующий:
1) заводим новую страницу и привязываем к ней ваш телефонный номер
2) свежезаведённую станицу удаляем
будет предупреждение, что номер уже привязан, но это не страшно предложат подтвердить через смс
на этом всё, наслаждаемся капчей при вводе сообщений.iamAnton
06.10.2015 22:41+1К новой привяжется, а от старой отвяжется?
dammer
06.10.2015 23:02да, проверено, перечитайте ответы саппорта в топике
Iceg
07.10.2015 03:21+2Проверено — или перечитать ответы саппорта? Потому если проверено, то это ж нифигасебе какой баг, а если ответы саппорта в топике, то там про такое ни слова.
dammer
07.10.2015 08:53Проверено на практике, это работает.
Прочтите первый ответ саппорта:Отвязать номер можно только путём полного удаления страницы, либо путём привязки другого номера
. В чём вы здесь видите баг? Это использование двух стандартных позможностей — перепривязка номера к другой странце и удаление его при удалении страницы.
ColorPrint
07.10.2015 11:10Привязка номера к другому аккаунту — это все же не привязка другого номера к аккаунту…
А удаление номера из первого аккаунта при удалении второго аккаунта — IMHO, самый настоящий баг.dammer
07.10.2015 11:19+1Вообще перед тем как писать, стоит попробовать хоть немного понять о чём вы пишете,
А удаление номера из первого аккаунта при удалении второго аккаунта — IMHO, самый настоящий баг.
Номер из первого аккаунта удаляется когда вы перепривязываете его к новой странице, с подтверждением того, что вы владелец номера через sms замечу.
И с удалением новой страницы к которой вы перепривязали номер вместе с ней удаляется и он.ColorPrint
07.10.2015 11:22+1Номер из первого аккаунта удаляется когда вы перепривязываете его к новой странице, с подтверждением того, что вы владелец номера через sms замечу.
Из цитируемого ответа саппорта это не следует.dammer
07.10.2015 11:23+4Если бы саппорт ответил как отвязать номер, я бы свой комментарий писать не стал.
eps
11.10.2015 23:24Попробовал создать новую учётку со своим номером.
Сообщают: «Этот номер уже привязан к другой учётной записи», и не дают создать.
Теперь пробую создать с другим номером, и потом привязать старый (это дадут сделать через сутки)eps
13.10.2015 09:22Попробовал привязать номер к другой учётке.
Не привязывается: «Номер уже привязан к другой странице ВКонтакте.»
Похоже, прикрыли этот способ.
Jeditobe
06.10.2015 20:49+21Нужно больше факторов авторизации!
ColorPrint
07.10.2015 11:09Не нужно больше, достаточно одного надежного. Ну или 2в1, как в случае с DisplayCard например (сам генератор, плюс защита пин-кодом)
TheDeadOne
07.10.2015 05:48+19После того, как VK отошёл к Mail.Ru Group техподдержка моментально скатилась до уровня «Нет потому, что нет. Не нравится, проваливайте.»
xilix
07.10.2015 10:39Я недавно поменял симку с мегафона на мтс с сохранением номера. Сбербанк замены симки не заметил. Значит через мобильный банк можно увести все деньги с карты. Надо отключать мобильный банк.
ColorPrint
07.10.2015 11:08скимминг карты вместе с пином — подключение мобильного банка в банкомате по дубликату карты на новый номер — закрытие всех вкладов через ИБ и вывод денег.
всего лишь один из сценариев даже при отключенном мобильном банке.
ColorPrint
07.10.2015 11:07В нормальных странах нормальные банки используют для подтверждения платежей DisplayCard и прочие OTP-генераторы… Но только не в России…
Точнее в России оно тоже встречается, но очень у немногих банков, не продвигается самими банками и не пользуется спросом у клиентов.Svbakulin
07.10.2015 11:27ОТР могут быть довольно неудобны. У ВТБ были некоторое время назад одноразовые пароли на бумаге — секьюрно, но крайне неудобно. Софт-токены — другое дело, но они денег стоят, и требуют смартфона как минимум. Вообще сейчас наблюдается движение как раз от хар\софт токенов в сторону СМСок, потому что это почти так же безопасно в общем случае, но существенно дешевле.
В наших краях коды потдверждения для интернет банков так же шлют СМСками, как, напирмер, Альфа-Банк. Только делать это начали сравнительно недавно, тогда как Альфа делала это как минимум с 2007 года когда я начал ими пользоваться.
Но здесь банки автоматически берут на себя ущерб в случае кражи данных СС, при условии что пользователь не терял карту или уведомлял банк об этом заблаговременно. С переводами со счета сложнее, они операторами карт не защищены, но такие вещи будет практически гарантированно расследывать полиция.susnake
07.10.2015 12:12+2Альфа потихоньку уже отказывается от смс в пользу USSD. Да и услуга альфа-ключ есть. Правда только для АйОС и Андроид
grossws
07.10.2015 14:32Но они жадные атласы, первый год использования этого мегаглючного поделия будет стоить 500 руб. И вместо того, чтобы использовать нормальный TOTP.
Svbakulin
08.10.2015 15:34Заметил на днях USSD, но как то не придал значения. Про ключ не знал, спасибо. Редко сейчас пользуюсь алфой сейчас, но надо будет подключить.
ValdikSS
07.10.2015 16:07+2У ВТБ были некоторое время назад одноразовые пароли на бумаге — секьюрно, но крайне неудобно.
Объясните, пожалуйста, что вам в них неудобно было. Я ими пользовался до победного конца, когда уже не заставили перейти на СМС. Они мне крайне нравились.ColorPrint
07.10.2015 16:10Зачем СМС, сейчас там есть OTP-генераторы )
ValdikSS
07.10.2015 16:11+2Ну они денег стоят и место занимают, а карты были маленькими и бесплатными.
ColorPrint
07.10.2015 16:09+1ОТР могут быть довольно неудобны.
Пользуюсь DisplayCard в европейском банке — все очень удобно.
У ВТБ были некоторое время назад одноразовые пароли на бумаге — секьюрно
Ничего секьюрного, их можно украсть (причем без кражи носителя, т.е. Вы даже об этом не узнаете). Примерно тоже самое, как некоторые банки предлагают «USB-ключи», которые на деле являются не токенами, а обычными флешками с ключевым файлом, который можно скопировать.
Вообще сейчас наблюдается движение как раз от хар\софт токенов в сторону СМСок, потому что это почти так же безопасно в общем случае, но существенно дешевле.
Это где? Не наблюдают такого движения. Ни в Европе, ни в России (в России тот же Авангард стал DisplayCard использовать для випов, а ВТБ24 предлагает OTP-генераторы для всех).
Viacheslav01
07.10.2015 17:41Пользуюсь OРП генераторами для критичных сервисов, регулярно имею проблему с аутентификацией. У части ОРП генераторов, проблемы решаются только службой поддержки!
Упереть карту с ОРП не сложнее чем флешку или бумажку с кодами.
Так что это все равно не панацея, от проблемы.ColorPrint
07.10.2015 19:03Карта DisplayCard защищена пин-кодом, флешка или бумажка с кодами — ничем не защищены
Svbakulin
08.10.2015 16:17Суть двухфакторной аутентификации: что то знаю + что то имею. Бумажка — это что то, что я имею. Ее можно украсть, то что я знаю (если не быть балбесом и не писать пароли\логины на бумаге, что не лечится) — украсть физически нельзя. Пароли сливаются троянами, но при этом обычно нет физического доступа к объекту. Физическая кража бумажки (типа кураденного кошелька) очень маловероятно что совпадет с удаленной кражей пароля. Это можно сделать, но тогда вы должны быть кому то очень сильно интересны.
-Это где?
Ну, это скорее наблюдается в энтерпрайзе, я не имел в виду исключительно банки. Это просто гораздо удобнее. Банки нечасто используют хард\софт токены. RSA токен стоит около 150 баксов, например (не важно какой) — для рядового кастомера слишком дорого. Свои выдумывать — большие риски накосячить в реализации и расходы на разработку и поддержка.
А смски — дешево и довольно сердито, в смысле что почти так же безопасно для рядового случая. И в отличие от хард токена, смска или софт токен могут быть допольнительно защищены пином или аналогом на самом смартфоне.
Если нужна высокая степень защиты, то там да — ОТР и качественные продукты, но это далеко не всем нужно.
grumbler66rus
13.10.2015 16:33их можно украсть (причем без кражи носителя, т. е. Вы даже об этом не узнаете)
Носитель — скреч-карта, напечатанная в автомате. Украсть без носителя можно разве что с банковского сервера, но если в банке есть жук, найдётся множество более простых способов изъять деньги.
ColorPrint
13.10.2015 17:41Просто переписать. Причем карта даже не всегда скретч, иногда просто список кодов, распечатываемый в банкомате.
grumbler66rus
13.10.2015 17:57Конкретно у ВТБ были только скреч-карты. Наверное, существует способ переписать содержимое карты, не вскрывая защитные полосы, но IMHO тут требуется изъять карту на длительное время.
Если же говорите про некий другой банк, называйте его. (Например, у Росбанка коды действительно распечатываются на бумаге.)
grumbler66rus
13.10.2015 16:30У ВТБ были некоторое время назад одноразовые пароли на бумаге
На скреч-картах, извините.
Viacheslav01
07.10.2015 11:50+2Ну хватит уже про нормальные страны и нормальные банки.
ColorPrint
07.10.2015 16:10+1А что, ориентироваться на страны третьего мира что ли?
Viacheslav01
07.10.2015 17:38+2Можете исправить положение с банками? — исправляйте!
Можете создать правильный банк, с правильной безопасностью? — создавайте!
Можете пользовать услугами нормального банка? — пользуйтесь!
Можете рассказать о том, как проблема решена в вашем банке? — рассказывайте!
Но пожалуйста хватит, нормальных стран с нормальными банками!
Везде есть свои плюсы и свои минусы.
Svbakulin
07.10.2015 11:19+3Виноваты в этом убогая судебная система, в которой проигрывыть многократно заведомо очевидно проигрышные суды выгодно, и безразличие правоохранительных органов.
Неавторизованная замена сим карты должна автоматически влечь за собой материальную ответственность оператора за последствия. Может быть за исключением случаев социальной инженерии, где злоумышленнику удается успешно пройти авторизацию по телефону, что требует обычно кое-каких знаний о жертве (день рождения, номера документов, и тп)
Это как и все остальное — риск против цены контрмеры. Пока цена риска (последствия незаконной замены карты для оператора) примерно равна нулю(репутационный ущерб трудно посчитать, но полагаю пока это или не станет массовым явление или один из операторов решит проблему а друге нет то операторам тоже глубоко наплевать), нет особой мотивации морочиться о внедрении состем защиты. Хотя это довольно простые процедурные вещи, а не столько дорогие технические технические средства, как недавно кто то доходчиво объяснял тут на примере немецкого оператора.
Отвязывание второго фактора авторизации может с одной стороны существенно упростить задачу злоумышленникам, но это скорее будут таргеторованные атаки где пароль уже скомпроментирован каким то образом и не требуется второго фактора.
В случае рядового пользователя я так понимаю симки используются для прямого восстановления пароля, что избавляет от необходимости этот пароль компроментировать. Так что похоже в определенных случаях это может помочь.
Использование симок как второго фактора основано на предположении, что скомпроментировать симку существенно сложнее чем просто пароль. Предположение, похоже, неверное в случае российских операторов. Мне не совсем понятно как преступники получают информацию о соответствии банковского аккаунта и номера телефона, не удивлюсь если интернет банки это раскрывают сами по небрежности.
Но суть проблемы та же — законы, и безразличие. Следы почти всех криптолокеров ведут в восточную Европу, где дырявые законы и полиция не(достаточно)компетента чтобы расследовать электронные преступления. Проследить электронный платеж и взять за булки его получателя (даже если это мул), вообще, довольно тривиальная для правоохранительных органов задача. Было бы желание. Там где его нет — там и тусуются преступники.catharsis
07.10.2015 11:57+1как преступники получают информацию о соответствии банковского аккаунта и номера телефона
либо трояном, либо кнопочкой «Не могу войти» в некоторых интернет-банках.
В таких постах хотелось бы больше полезной информации:
* какой оператор
* какой банк
* какие смартфоны, компьютеры и операционные системы использовались для входа в сервис в последнее время
* где указывался номер телефона в последний месяц (например, «перевести сдачу на телефон» в терминале)
* какие меры противодействия принимал пользователь
Тогда можно было бы сделать хоть какие-то выводы, и улучшить свою информационную безопасность (например, никогда не сообщать свой номер телефона сотрудникам салона связи «Развязной» при оплате жкх)
fido_max
07.10.2015 14:52+6Мне не совсем понятно как преступники получают информацию о соответствии банковского аккаунта и номера телефона
Заходим в свой «Сбербанк Онлайн» жмем перевод частному лицу по номеру телефона. Вбиваем туда любой номер, и узнаем как зовут владельца, если у него есть карты сбербанка с подключенным мобильным банком. Далее сообщаем этот номер «своему человеку» в отделе обслуживания сотового оператора. Он перевыпускает симку, вставляет ее в телефон и посылает СМС на номер 900 с желаемой суммой. При наличии на привязанной карте такой суммы, она зачисляется на баланс телефона. Далее мобильным переводом деньги уходят на QIWI/Яндекс и т.д. На один номер необходимо не более 10 минут.Svbakulin
08.10.2015 15:26Понятно, спасибо. Я лично ее удивлен в слечае если это сбер. Тут тогда надо вопрос ставить более радикально — если сбер так бездарно сливает личные данные, то я бы задумался нужен ли такой сбер. Хотя я бы лично даже не задумывался и просто держался от него подальше, как я собственно всегда и делал. Надеюсь другие банки лучше.
catharsis
07.10.2015 11:40ВК как и все экономит на техподдержке, тоже мне новость.
За двухфакторную аутентификацию спасибо.
popsodav
07.10.2015 15:52+8Немного о банках и сим-картах.
Недавно обнаружил в приложении Сбербанк-Онлайн под Android новую фичу: можно перевести деньги другому клиенту Сбербанка.
Выбрать адресата можно из телефонной книги аппарата.
Приложение выдаёт список со всеми контактами из телефонной книги и ставит значок Сбербанка около номеров которые привязаны к счёту в банке.
Т.е. получается, я могу узнать, кто из контактов моей записной книги пользуется услугами Сбербанка (и у кого их номер привязан к управлению счётом).
Задача мошенникам упрощается а разы…
Zagrebelion
08.10.2015 09:07Это и так можно сделать: кнопка «перевод по номеру телефона» в сбер-онлайне. Нужен только номер телефона, а сбер сообщит имя, отчество, первую букву фамилии и последние 4 цифры номера карты.
popsodav
08.10.2015 13:24+1да, но в случае со списком контактов, я вижу сразу всех. не надо ничего вбивать и проверять.
HUnter_212
08.10.2015 22:10+1Есть опция в личном кабинете Сбербанк-Онлайн — «Не отображать меня как клиента Сбербанк в чужих адресных книгах».
infolex
13.10.2015 14:58Я поступил проще:
Вопрос в службу поддержки ТЕЛЕ2Новая схема мошенничества:
1) Любой сотрудник компании, имеющий доступ к серверам баз данных, делает выборку по таблицам с СМС сообщениям, где в условии выборки ставит «от кого — номер 900» и «текст СМС содержит слово БАЛАНС».
2) выборка обрабатывается, и сливаются все номера с паспортными данными абонентов, которые имеют большой баланс на картах с подключенным мобильным банком.
3) мошенник в фотошопе рисует липовую доверенность, заверенную липовым нотариусом
4) далее мошенник идет в центр обслуживания, где заявляет об утере СИМ. Ему ее восстанавливают. Т.к. ID сим-карты меняется, то реального владельца выбивает из сети, а мошенник, имея в руках номер жертвы, может воспользоваться мобильным банком, проходить двухфакторные авторизации на различных сервисах и т.д.
Вопрос: Как Вы обеспечиваете безопасность абонентов в данном случае? Как проверяется липовый бланк, и проверяется ли вообще? Сотрудник звонит в нотариус по номеру, который указан на липовом бланке, или же сам ищет контакты данной организации в интернете? Можно ли добавить в Личный Кабинет опцию, что мой номер могу восстановить только я и только по оригиналу паспорта? Прозванивается ли «утерянный» номер, прежде чем его ID перебьют в системе?
nexion
13.10.2015 17:48Только что получил ответ от Билайн:
Добрый день! На данный момент мы закрыли возможность восстановление сим у наших дилеров и возможность сделать это по доверенности или пользователем. Сейчас согласно процедуре восстановление возможно только в офис владельца номера по паспорту, с написанием заявления.
aalebedev
Включите двухфакторную авторизацию. vk.com/page-59800369_47885415
Тогда будет восстановление через email, а не телефон.
А email возьмите Google тоже с двухфакторной.
ibKpoxa
Есть мнение, что двухфакторная авторизация, завязанная на номер телефона, является ослаблением защиты, по сравнению с достаточно криптостойким паролем без двухфакторной авторизации, т.к. получение симки по поддельной доверенности (история с билайном на эту тему уже достаточно освещена в интернетах) даёт злоумышленнику доступ к восстановлению пароля через смс, хотя не стоит отрицать, что этим восстановлением пароля иногда и самому требуется воспользоваться, как раз в случае хакерских атак.
aalebedev
Для захода во ВК нужно:
— пароль
— код с СМС или Google Authenticator.
Для восстановления нужно:
— доступ от почты
Такие данные тяжело получить одновременно.
С другой стороны, я везде включил двухфакторку и отключил мобильный банк.
iSlayter
Это не так, если к странице привязан номер телефона то когда приходит письмо для восстановления пароля на email после перехода по ссылке и установления нового пароля требуется принятие SMS на привязанный номер.
От меня точно так же уезжала моя страница, был привязан неиспользуемый номер. Всё это случилось буквально на днях, благо есть знакомые в силовых структурах и мы уже через несколько дней нанесли визит вежливости туда, откуда безобразничали.
Служба поддержки ВКонтакте оказалась просто замечательной и за сутки переписки мне отвязали старый номер от страницы и привязали текущий, на который кстати, как оказалось, когда-то в прошлом уже ТОЖЕ была зарегистрирована чья-то страница.
ps. и, кстати, писал я в службу поддержки со страницы друга, в качестве подтверждения приложил фото паспорта крупным планом, плюс своё фото на фоне этой страницы с вопросом, плюс скриншот и данные для входа в личный кабинет билайна где так же значились мои ФИО. Вообщем был очень приятно удивлён тем что кто-то там, на другой стороне, уделил время на ответы в моё обращение (которое передавали на уровень выше как я понял из того что там другой агент отметился).
iSlayter
Уже не даёт комментарий редактировать — старый номер был билайна, новый — мегафона, и ссылку и скриншот от личного кабинета давал я, естественно, от мегафона.
Старый номер выдали 15 сентября сего года, а не пользовался я им, мне кажется, менее года.
Dywar
Запрет действий по доверенности у операторов мобильной связи
nxsofsys
Спасибо, жаль наводку не дали в службе поддержки. Однако настроить двухфакторную авторизацию через Google Authenticator я не смог — вконтакте не хочет принимать коды из него после сканирования штрихкода.
aalebedev
Возможно не правильное время стоит на устройстве, там есть еще вариант захода через SMS и резервные коды.
nxsofsys
Еще раз спасибо. Дествительно, время было неправильное. Все работает.
GeXoGeN
двухфакторную аутентификацию можно обойти при наличии симки. когда запрашивает код, можно нажать «Проблемы с получением кода» и далее выбрать резервный вариант проверки — отправку СМС на привязанный номер.