Оперативный поиск в сети, а также опрос знакомых айтишников показал, что никто пока этот способ еще не видел в работе. Отсутствие общеизвестности, а также неочевидность обывателям всех угроз применения полученного доступа делает его более опасным.
Внимание! Данный пост написан с целью предупредить сообщество о возможной опасности и новом виде мошенничества. Повторение действий, описанных в статье, с любыми аккаунтами, кроме своих собственных, влечёт ответственность в соответствие с законодательством РФ.Основная цель данной статьи: оперативно познакомить широкий круг специалистов и просто людей с новым способом угона аккаунтов от сервисов, которые можно авторизовать или восстановить через телефон. Также будет полезным проинициировать обсуждение данного способа и его вариаций среди опытного сообщества и распространить информацию шире. Поэтому буду краток и не претендую на всеобъемлющий анализ, скорее хочу описать конкретный случай и крупными мазками показать возможные вариации данного примера.
Описание способа
- Через взломанный аккаунт ВК (аналогично любой другой сети или мессенждера) к жертве стучится «старый друг» (злоумышленник) и описывает «проблему недоступного телефона».
- Он просит «помочь войти куда-то» получив смс-код, для этого просит переслать ему код или «скрин».
- Жертве приходит смс с кодом подтверждения одноразового доступа к сервисам МТС.
- Жертва выполняет просьбу и тем самым дает доступ к своему личному кабинету МТС.
Пример реальной переписки:
Естественно, я никому не отсылал код, потянул время злоумышленника просьбами вида «вышли еще раз, СМС не приходит» пока дозванивался знакомому и просил его срочно поменять пароль и принять меры. К сожалению, выяснить точный процент жертв через него не удалось, т.к. человек взломанный совершенно не планировал выходить в ВК, а срочно сменил пароль и вернулся к делам, но на мой вопрос «много ли людей попались», ответ был «полно!».
Предварительный анализ угроз и их ощущаемой «ужасности»
Краткий опрос 9 обывателей показал:
- в 4 случаях, в данной последовательности действий они не видят серьезной угрозы,
- 5-ых он настораживает и они готовы пытаться идентифицировать личность «старого друга».
Угрозы получения доступа к личному кабинету были озвучены такие:
- «спишут деньги со счета телефона»,
- «подключат услуги платные или рассылки»,
- «спишут деньги с карты автопополнения»,
- «могут перевести деньги на другой телефон»,
- «могут настроить переадресацию звонков и мошенничать»,
- «могут настроить переадресацию СМС и угонять аккаунты других сервисов».
Пункты 1,2 очевидны всем, 3-4 не очевидны опрошенным обывателям, но очевидны более опытным пользователям, а вот пункты 5,6 очевидны только наиболее опытным. Про наличие целого платежного шлюза в личном кабинете МТС знали только двое, а о возможности #7 отправлять деньги прямо со счета МТС на любую карту не знал никто. Ее я обнаружил, исследуя личный кабинет МТС с целью найти способы эксплуатации полученного доступа.
Тестовая эксплуатация угнанного доступа в ЛК МТС
Для проверки я взял второй номер и довольно быстро по этой схеме вошел в личный кабинет МТС и настроил переадресации.
МТС уведомляет старый номер жертвы о:
- смене пароля,
- входе в сервисы МТС,
- подключении SMS переадресации и услуги SMS Pro.
После этого телефон жертвы утихает и все идет на новый номер.
NB: Установка голосовой переадресации не приводит ни к каким уведомлениям от МТС, а зря.
Затем, только с помощью нового телефона, я удачно:
- совершил пополнение другого счета телефона,
- сделал перевод денег счет МТС > карта банка (комиссия 4.3%, но не менее 60р),
- восстановил доступ к паре аккаунтов в сети,
- принял звонок-аудиопроверку вместо СМС,
- заказал обратный звонок с сайта магазина,
- вошел в интернет-банк и отправил денег на неизвестную карту, см ниже.
Попытавшись восстановить доступы к основным своим (красный, зеленый, желтый) интернет-банкам, я столкнулся с необходимостью указывать дополнительные сведения вроде паролей, а для восстановления — номеров счетов и карт. Это немного усложняет процесс, точнее замедляет, так как, если жертва хотя бы раз отправляла реквизиты, то и это несложно найти в истории переписок, ведь мессенджер и его историю уже угнали.
Так что, в один из банков я тоже удачно вошел и отправил перевод Card2Card. Суммы были небольшие, вопросов у банка не возникло, однако ранее на крупных суммах, ничего сложнее персональных данных у меня никогда и не спрашивали.
Таким образом, я оцениваю риск финансовых потерь как крайне высокий. А крупных финансовых потерь как ощутимый, хотя, в моем случае, задача была облегчена легким поиском реквизитов в переписках, но думаю, я не один такой.
Завершу свое «письмо в редакцию» пожеланием бдительности вам и вашим близким.
Комментарии (86)
kvazimoda24
20.01.2019 14:15+2Наверное, я какой-то не такой. Но подобные нестандартные просьбы у меня вызывают резкое чувство, что что-то тут не то. И я скорее всего откажу, т.к. не понимаю, зачем это может быть нужно человеку, и не понимаю, какие могут быть риски для меня.
Старые схемы с просьбой дать в долг кажутся мне более адекватными, и по моим ощущениям больше людей должно вестись на это. А если же человек соглашается переслать кому-то СМС с кодом подтверждения, учитывая, что никому из его знакомых такое никогда не требовалось, то мне только вспоминается фраза, что лох не мамонт, он не вымрет.rub_ak
20.01.2019 16:21+1Я тоже был удивлен когда у меня руководитель попросил дать денег в долг и прислать номер карты, хорошо что почта была рабочая и проверить от кого письмо не сложно. Потом я ему ещё и код из смс присылал по почте. Он был за границей и пополнить карту без процента мог в отличии от перевода. Ситуации разные бывают.
KivApple
20.01.2019 18:42+1Вероятность таких ситуаций достаточно мала, чтобы инициироваться более тщательную проверку ситуации — попытаться связаться по другим каналам связи, задать уточняющие вопросы и т. д.
kvazimoda24
21.01.2019 17:26Как вам уже написали, ваша ситуация довольно редкая.
Когда с аккаунта моей сестры просили денег вдолг, я попросил позвонить и попросить голосом. Сказали, типа на занятиях, не может говорить. Сам же я, подозревая, что что-то тут неладное, попробовал дозвониться до сестры, телефон её не отвечал — специально, что ли, подгадывали время. Тогда я ей задал такой вопрос, на который может знать ответ только она, и крайне маловероятно, что этот вопрос она могла поднимать с кем-то в переписке. Человек на этом слился, т.к. ответить правильно не смог.
И я не вижу ничего странного в том, чтобы даже тому же начальнику задать наводящие вопросы или связаться с ним как-то ещё.
А вот так с радостью, как показано в статье, пересылать кому-то какие-то СМСки, мне кажется это довольно глупо.
AllexIn
20.01.2019 14:37+6Отправить кому-то уникальный код полученный на телефон?
Где здесь новый способ? Подавляющее большинство сервисов в самой смске пишут, что не надо этот код никому передавать. Повестись на такое может только совсем неискушенный пользователь, лет 50 проживший в бункере.
freeExec
20.01.2019 14:42+1Особенно странно, что на том конце переслать смс тебе может, а прочесть якобы нет.
Mad__Max
21.01.2019 00:10Не переслать, а заказать получение на твой телефон — вместо своего, якобы не работающего.
Для этого нужен интернет, но не нужна сотовая связь. «Обработка» так же идет через мессенджер, а не через смс. Интернет нужен, а сотовая связь — нет.
Т.е. с этой стороны как раз ничего подозрительного — у «знакомого» есть доступ в интернет, но временно не работает мобильный телефон, а он хочет каким-то интернет сервисом воспользоваться, который отправлят смс для подтверждения.jryj
21.01.2019 00:20Всё равно какой-то странный способ.
Обычно у сервисов уже есть твой телефон и на чужой — смс отправлять не будут.
А тут кто-то просит переслать смс — явно же тебя пытаются поиметь.
mkll
21.01.2019 21:23он хочет каким-то интернет сервисом воспользоваться, который отправлят смс для подтверждения
Именно. Т.е. где-то на каком-то интернет-сервисе указал телефон потенциальной жертвы (раз на него смс придет) — и это жертву не волнует? Я бы как минимум поинтересовался, что происходит и куда внесли мой телефонный номер.
vassabi
20.01.2019 15:34это могут быть чьи-то бабушки-дедушки. Вам от этого легче?
AllexIn
20.01.2019 16:14-1Мои бабушки и дедушки мной научены как на такое реагировать.
Полагаю как и у большинства хабровчан.
Зачем на хабре статья «А! Нельзя отправлять никому коды из смс! Уязвимость! Мы все умрем!»? Кто здесь её ЦА?
Лично я ожидал гораздо более изощренного обмана под таким заголовком.
Moskus
20.01.2019 23:26Обсасывание каждой «новой» схемы обмана, отличающейся от всех предыдущих только незначительными второстепенными деталями — это идиотизм уровня мусорных чатов, где такое всегда постят (родительские группы школ, районные группы и т.п.) Аргумент про «а если это случится с бабушкой/ребенком» столь же глуп и бессмысленен. Потому что абсолютно все эти «новые» схемы основаны на единицах вариантов обмана, которые перекрываются элементарными правилами безопасности электронной коммуникации, которых тоже единицы. А потому, их куда проще понять и запомнить пресловутым детям и пожилым людям (если они, конечно, не впали еще в старческую деменцию, а тогда уже вопрос — почему у них есть полный доступ к коммуникациям, будто они дееспособны). Бесконечные же перечисления «новых» способов только рассеивают внимание и создают ощущение «всесильности» жуликов у несведущих людей.
alastorz Автор
21.01.2019 20:14В целом с Вами согласен, но пока не видел хорошо сформулированного списка «элементарных правил безопасности электронной коммуникации, которых тоже единицы». И сам пока тоже не вывел его. Если видели или можете кратко сформулировать — поделитесь?
edogs
20.01.2019 14:45+5На развлекательных сайтах статья была бы уместна, но на хабре?
В чем новизна? Способ тот же самый — просят сообщить код который приходит Вам на телефон. Прелюдия — умер хомяк, потерян доступ, получил наследство от дяди из нигерии — абсолютно монопенисуален.
В чем социалка? Вас просят сообщить код который приходит лично Вам. А завтра что назовем социалкой? Когда попросят дать 5000р или телефон? Или пароль от хабра? Это не социалка, это тупая прямая просьба приватных данных.ianzag
20.01.2019 16:56-2> А завтра что назовем социалкой? Когда попросят дать 5000р или телефон? Или пароль от хабра? Это не социалка, это тупая прямая просьба приватных данных.
Не согласен. Залог успеха в том, что просит доверительный источник а не абстрактный Вася Пупкин.
tcapb1
20.01.2019 19:47+1Здесь проблема в том, что не всеми такое сообщение воспринимается как опасное. Это не просьба отправить деньги, это не просьба залогиниться куда-то под своими данными, не нужно открывать данные кредитки. Логическая цепочка «отправлю код -> зайдут в мой ЛК -> настроят переадресацию -> угонят мою страницу в соцсетях, на которую мне сейчас и пишут» формируется далеко не у всех.
И более широкая проблема: мы уже привыкли к двухфакторной авторизации в банках, приучились делать сложные пароли на почте, однако сейчас именно телефон становится главным средством для авторизации и для «открывания дверей» на другие сервисы.
А как раз у сотовых операторов уровень защиты совсем не соответствует угрозам. Можно войти в ЛК просто по СМС. А в МТС ещё не так давно (а может и сейчас) при создании личного кабинета с телефона, предлагалось создать пароль для ЛК из (внимание) четырёх цифр. Если вы пароль с тех пор не меняли — по нему до сих пор можно зайти в ЛК.edogs
20.01.2019 23:19-2Да нет, проблема в том, что человек вообще берется оценивать опасность в принципе.
А не должен — и об этом написано в каждом соглашении с кем угодно.
Просят данные, говорят что-то сделать — просящий и говорящий идет на фиг, сразу, без лишнего базара, без попыток построение хитровыделанных логических цепочек.
А как раз у сотовых операторов уровень защиты совсем не соответствует угрозам.
Тут есть варианты решения в целом. Зарубежная симка для смс от банков, например. Вы погуглите как получают квал. электронную подпись если интересно.tcapb1
20.01.2019 23:35+2Ну вы же понимаете, что это слишком сложно, чтобы стать массовым. Я даже в банк-клиент стараюсь лишний раз не логиниться, потому что мне влом ждать смс и вводить код.
У меня кучу раз просили деньги в долг со взломанных аккаунтов. Но также просили деньги в долг через Вконтакт и реальные люди. Я им переводил и они потом возвращали. Мне приходилось убеждаться, что тот, кто просит — это действительно мой знакомый, и тут я занимался как раз оценкой безопасности. По вашей логике я не должен был переводить деньги вообще никому никогда.edogs
21.01.2019 00:59Ну вы же понимаете, что это слишком сложно, чтобы стать массовым.
Что именно сложно?
По вашей логике я не должен был переводить деньги вообще никому никогда.
Нет. Речь идет о том, что нельзя играть пассивную роль — выполнять указания, делать как скажут.
Если Вы сыграли активную роль — сами нашли человека что бы выдать ему деньги (пусть и в результате его просьбы изначально), сами заказали код, сами его получили, сами его ввели куда нужно, то это совсем другое дело. Вы не следовали ничьим указаниям.
p.s.: Изумительно, заминусовали пост в котором по сути кроме совета не выдавать своих данных ничего и не было. Советуете выдавать? Так хоть аргументировали бы:)tcapb1
21.01.2019 01:12Что именно сложно?
Зарубежная симка для смс от банков — это разве просто? Её надо зарегистрировать и в дальнейшем поддерживать.
Если Вы сыграли активную роль — сами нашли человека что бы выдать ему деньги (пусть и в результате его просьбы изначально), сами заказали код, сами его получили, сами его ввели куда нужно, то это совсем другое дело.
В вышеуказанном случае можно провести такой анализ: это сообщение от моего знакомого, денег он не просит, значит наверное его не взломали, данных по моим банковским карточкам у него нет, так что вряд ли это запрос о подтверждении платежа, а даже если он получит доступ к моей мобилке — максимум что может сделать — снять 100 рублей со счёта, которые там лежат. Анализ проведён, результат неверен.edogs
21.01.2019 01:47Зарубежная симка для смс от банков — это разве просто? Её надо зарегистрировать и в дальнейшем поддерживать.
Это пример же просто. Кому-то просто, один раз купил и раз в полгода пополняй на евро. Кому сложно — есть альтернативы.
Анализ проведён, результат неверен.
Так мы же об этом и говорили «проблема в том, что человек вообще берется оценивать опасность в принципе. Просят данные, говорят что-то сделать — просящий и говорящий идет на фиг»©tcapb1
21.01.2019 01:54+1Тогда мы возвращаемся к моему предыдущему ответу: всех слать нафиг не вариант, могут быть и реальные просьбы от реальных знакомых.
edogs
21.01.2019 18:46Так на это уже отвечали же
Речь идет о том, что нельзя играть пассивную роль — выполнять указания, делать как скажут.
Если Вы сыграли активную роль — сами нашли человека что бы выдать ему деньги (пусть и в результате его просьбы изначально), сами заказали код, сами его получили, сами его ввели куда нужно, то это совсем другое дело. Вы не следовали ничьим указаниям
Mad__Max
21.01.2019 00:15У мегафона еще если вышел в интернет через мобильный — то вход в ЛК вообще без всяких паролей. Просто сопоставляют у себя в базе текущий ip адрес — номер телефона и пускают сразу так если ты с мегафоновского ip пришел.
trublast
21.01.2019 06:48Разница тут видимо в том, что код приходит от, в данном случае, МТС. Если смс от банка, там, как правило, написана сумма операции, что за операция, и ещё «никому не сообщайте этот код». Да ещё отправитель текстовый — название банка.
Не знаю, как выглядит код на доступ к ЛК МТС, но возможно сама СМС не так подозрительна, как банковская. Если это предварено диалогом вроде «Пытаюсь зарегаться на сервисе xyz.ru, чтобы купить телефон в интернет-магазине. Потому что мой телефон сдох. Представь, придурки, просят телефон, когда я пытаюсь купить телефон! Можно на твой номер зарегистрируюсь, и код регистрации к тебе придет?»
И приходит смс не от банка о подтверждении операции, а для входа в ЛК или регистрации. И в ней не написано «никому не сообщайте код», да даже если написано.
Человек понимает, что этот код для входа в личный кабинет, привязанный к его номеру. Но не видит в этом ничего опасного. Это же не перевод денег, а все переводы денег подтверждаются по СМС отдельно. А вот что таким образом могут подключить переадресацию смс он не думает.
TimsTims
20.01.2019 15:51+1Риск высокий не от того, что в МТС есть переадресация СМС и звонков, а в том, что многие другие сервисы полагаются на самостоятельную безопасность пользователя, и безопасность его телефона, и накручивают кучу функционала в надежде, что раз пользователь читает смс, значит это не мошенник.
Mad__Max
21.01.2019 00:18+1Да, повальная привязка всего и все на телефон и СМС — вообще корень зла.
Особенно когда и сброс пароля и другие функции безопасности так же на СМС повешены, а не дополняют друг друга.
Т.е. можешь читать/перехватывать СМС-ки? (для чего существуют кучи разных способов — вирусы на телефонах, перевыпуски симок, «крыса» среди сотрудников ОПСОСа, крыса из органов с доступом к СОРМ и т.д.) = можешь сделать все что угодно.
ianzag
20.01.2019 16:54> Описание способа
> [skip]
Указанный способ вживую видел в действии как минимум год назад. Да, на неокрепших юзерах отлично работает (например дети). В принципе, ничего нового в нем не вижу т.к. в корне лежит та же социалка что и везде. Что впрочем не делает его менее эффективным. Вопрос в выборе жертвы.
LumberJack
20.01.2019 17:45Как показывает практика — не выбирают. Тупо палят по площадям. И, судя по всему, результативно. Только объяснив родным и знакомым азы сетевой безопасности можно сократить кормовую базу подобных лиц. Ввести чуть ли не с начальной школы данный предмет было бы совсем неплохо. Но пока слово Божие преобладает.
Rohan66
21.01.2019 11:20Золотые слова! Почему бы основы информационной безопасности не ввести в курс ОБЖ и преподавать с первого класса вместе с основами ПДД? Сейчас смартфоны есть у всех практически с первого класса (мало кто покупает детям звонилку — а то лохом считать будут)) ) и аккаунт в ВК или ОК. А родители сами не всегда могут рассказать про безопасное использование технологий.
Meklon
21.01.2019 18:33+1Отлично. А вести их будет Мариванна.
Rohan66
22.01.2019 11:08А что — должен вести брутальный, лохматый хакер Вася?
Достаточно грамотно написанной методички. Тем более, что надо объяснить не всю теорию ИБ, а только азы про стойкие пароли, про всякие коды по СМС, про правила общения в соц. сетях. Ведь при изучении тех же ПДД в школе не требуют досконального их знания, а только в рамках прав и обязанностей пешехода.
vikarti
20.01.2019 17:21+1SMS Pro далеко не со всеми сервисами работает (даже у МТС в описании прямо сказано 'Услуга SMS Pro действует для входящих SMS с номеров абонентов международных и российских операторов мобильной связи, кроме SMS с коротких номеров (номер до 7 цифр), альфанумерик (буквенно-символьное изображение) и сообщений от сервисных услуг МТС.' )
Полноценная переадресация вообще всех SMS насколько знаю только у теле2 есть (включается через USSD и только так, и работает бесплатно(кроме стоимости исходящих SMS)).
IbhSvenssen
20.01.2019 17:33+2К слову сказать, недавно пополняя сотовый МТС ошибся ноликом и положил денег больше чем нужно, после этого нашёл у них на сайте функцию перевести деньги со счёта обратно на карту, но фактически эта функция заблокирована. При попытке перевести будет ошибка и требование обратиться в офис МТС. В офисе же вам расскажут, что по-умолчанию эта функция заблокирована как раз от мошенников, и чтобы её разблокировать, надо написать заявление на бумаге, предъявить паспорт и ждать сутки на его обработку. Только после заявления удалось сделать перевод.
1c80
20.01.2019 17:43+1а в чем оптовость такого угона? это же обычный перебор, в поисках лоха, только не очень верится, что 4 из 9 поведутся, на такой детский развод, где Вы опрос проводили если не секрет? По моим прикидкам, у людей с таким уровнем доверчивости, красть уже давно нечего.
pyrk2142
20.01.2019 20:01Метод не очень новый, но работающий, плюс каких-то значимых публикаций на эту тему я особо не встречал. Можно рассмотреть довольно забавное продолжение темы — создание злоумышленниками сайта с призами, кешбками или чем-то еще (даже новый мессенджер или такси/каршеринг), где при авторизации запрашивается номер телефона, затем через доступный API определяется текущий оператор для этого номера, потом запрашивается СМС-код для авторизации на сайте оператора, а пользователю показывают только форму для ввода кода на сайте. Что делать с кодом — известно из статьи. Думаю, что количество людей, которые введут код, не особо обратив внимание на то, кто его отправляет — достаточно большое.
Глобально — проблема в том, что мобильные операторы представляют из себя средство связи, а не авторизации. Количество дыр приемлемо для плохого средства связи, но не для системы авторизации. Боюсь, что завтра прочитаю статью «Найдена уязвимость, позволяющая читать переписку всех абонентов оператора *», а ведь такие дыры вполне есть.
cyrillpetroff
20.01.2019 22:14+1А чем полиция занимается? Разве это не их прямая обязанность — ловить таких вот «старых друзей»?
ainoneko
21.01.2019 08:00Полиция занимается «своей работой».
В схожем случае мне надо было лично прийти с отделение с паспортом, собственноручно написать заявление, а потом получить по почте письмо о том, что раз преступникам не удалось меня «развести», то и состава преступления не было.
(На ту же тему можно оффтопить про ГИБДД, которые «не могут определить владельца транспортного средства по номеру».)lgorSL
21.01.2019 21:46Лол, а какая минимальная сумма для состава преступления нужна? Если я отправлю условный рубль, то их отговорка уже не сработает?
tcapb1
20.01.2019 23:30А ведь на самом деле надёжной аутентификации сейчас нет вообще. Есть более-менее сносные способы, как авторизация через тот же мобильник: предполагается что мобильник может быть только в руках у владельца и доступ к настройкам имеет только он.
Однако это уязвимо для социнжиниринга, как в этой статье. Мобильник могут отобрать, предварительно подсмотрев/выпытав пинкод. Да и просто, если вы переезжаете в другой регион или другую страну и меняете номер, вы испытаете геморрой со сменой всех привязок. А если про какую-то привязку к вашему номеру вы забудете, а сам номер уже будет недоступен? А если просто вы потеряете телефон/симку, и по какой-то причине (опять же, нахождение в другой стране) не сможете их быстро восстановить?
С почтой — похожие проблемы. Можно забыть пароль и не пройти потом тест на жирафа при попытке восстановления. Почту могут увести. С почтовым сервисом может что-то случиться (вспомним почту на qip.ru), можно оказаться забаненным (помните историю про человека, которого забанили везде на гугле включая gmail за нарушение правил пользования одного из гугловских сервисов?).
Авторизация через соцсети — аналогично. Тем более что нарваться на бан в соцсети гораздо легче, чем на Gmail (получив при попытке входа примерно вот такое).
Пока как ни странно самым надёжным способом идентификации является паспорт. По крайней мере, я знаю, что если я протеряю все пароли к моему банку — я всегда могу прийти с паспортом в отделение, и мне всё восстановят.
Посмотрим, что будет с аутентификацией по биометрическим данным, может это как-то решит проблему. Но пока вот так.
sumanai
20.01.2019 23:46Пока как ни странно самым надёжным способом идентификации является паспорт.
Самый надёжный это авторизация по ключевому файлу. Потом пароль. А потом всё остальное.
Биометрия только создаст кучу новых проблем.tcapb1
21.01.2019 00:00Ключевой файл можно потерять.
Биометрия на мой взгляд единственный способ однозначного определения человека. Я не имею в виду текущий уровень технологий, но может быть в перспективе. По лицу, по отпечаткам пальца, по голосу, ещё как-то. Вы конечно можете потерять лицо и пальцы, но это на мой взгляд довольно маловероятно.
Здесь нужно решить три проблемы:
— однозначная идентификация по биометрическим данным (чтобы можно было отличить одного близнеца от другого, чтобы идентификация не терялась в случае смены внешности/возрастных изменений, чтобы невозможно было авторизоваться с фотки, с отрезанного пальца или просто используя цифровой отпечаток предыдущей авторизации)
— определение добровольности идентификации (если заставят приложить палец или посмотреть в камеру — система должна это понять и не пустить). Как это решить сходу не представляю, но думаю это решаемо.
— массовые, дешёвые и простые средства для такой идентификации
А затем можно обойтись вообще без какого-либо центра авторизации типа Гугла, сотового оператора или государства. Если биометрия будет однозначно преобразовываться в хэш — можно хранить эти хэши в децентрализованном блокчейне например и компании могут пользоваться им для авторизации. Мегаупрощённо: например, для каждого сервиса генерится собственный хэш с использованием приватного ключа сервиса. Сервис может не знать личность человека, который зарегистрировался, но привязка биоданных к логину на сервисе всегда будет однозначной. Если такое получится, то пароли, смс-коды и ключевые файлы станут не нужны.Mad__Max
21.01.2019 00:24Риск не в утери информации, а ее краже и дублировании. Если речь не про авторизацию с личным присутствием (хотя и тут возможны варианты — отпечатки например не особо сложно подделать имея «правильный» образец), то данные элементарно могут утечь и потом их будут использовать для проведения операций от вашего имени.
А биометрические данные в отличии от пароля не сменишь и не перевыпустишь как аппаратный ключик или сертификат ЭЦП.tcapb1
21.01.2019 00:30Думаю, это тоже решаемо. Главное, чтобы система понимала, что биоданные введены именно сейчас (а не когда-либо в прошлом) и добровольно. Тогда вы должны будете вот прямо сейчас, в момент логина, пройти биоидентификацию, чтобы залогиниться. Все предыдущие попытки идентификации просто не должны давать доступа ко входу куда-либо. Т.е. мы фактически будем каждый раз при идентификации по биоданным выпускать одноразовые ключи, второй раз по ним будет уже не зайти. Опять же, очень сильно упрощаю.
KodyWiremane
21.01.2019 08:09«Присядьте. Подпрыгните. Задержите дыхание на 5 секунд. Дышите. Выполните секретное действие...»
axilirator
21.01.2019 08:39+1Новый способ угона аккаунтов
Извините, но что нового в этом способе? По-моему, абсолютно ничего.
Обычная социальная инженерия.
С таким же успехом Вас могут попросить прислать копию паспорта, или скан отпечатков пальцев в любой соц. сети. В случае успеха, открывается куча способов угона ваших SIM-карт, денежных средств, и т.д. Если об этом еще не писали на Хабре, это ведь не значит, что способ новый?
Fox56
21.01.2019 08:52Как-то пару лет назад мне в ВК пришло сообщение от одной знакомой из Питера. Главное, что странен был тот факт, что с ней я особо не общался и не общаюсь. Она просто как знакомая из Питера. И подобные сообщения в ВК были в том же стиле. Типа не могу получить смс, ща тебе перекинут, а ты скажи текст… короче, Пришло смс с текстом" Пароль от личного кабинета МТС") Ну я тут все и понял естественно !))
peacemakerv
21.01.2019 09:44От любого мошенничества или вирусного заражения (через спам) мне всегда помогает одно простое правило: если ты лично сам не просил предлагаемую услугу (или действие) — то вопрошающего надо игнорировать.
Но вот как заставить это правило запомнить родителей и других «чайников» — не знаю…
LineAir
21.01.2019 12:32Чтобы предотвратить нежелательные списания со счета номера телефона МТС, рекомендую подключить услугу «Запрет возврата части аванса». Это можно сделать только звонком в контактный центр 0890. Отключить услугу можно только в салоне связи визитом владельца номера с паспортом.
Эта услуга не позволит переводить деньги другим абонентам, а также защищает от некоторых типов подписок (zaycev.net и mp3party.net этим грешат).
Как уберечься от переадресаций СМС и звонков я не знаю.
Arris
21.01.2019 22:35МТС уведомляет старый номер жертвы о:
смене пароля,
входе в сервисы МТС,
подключении SMS переадресации и услуги SMS Pro.
И, разумеется, не требует никаких подтверждений?
Как это характерно для опсосов!
Zmiy666
Основная проблема в том, что за подобное людей практически не ловят и не сажают. То есть, если ты воруешь барахло в маркете или отжимаешь мобилки по парадным, то это вполне себе уголовное преступление и реальный срок. Относительно быстро и легко доказуемо. А вот если мошенник спер деньги через вк, никто даже и не подумает его искать. Даже чтоб вернуть деньги придется очень сильно постараться и с большой долей вероятности — вам их не вернут, не смотря законодательство. Все же у банка юристы явно лучше.
И пока не будет найден способ в корне изменить подход к такого рода делам — новые способы мошенничества будут появляться каждый день и 95% будут находиться в зоне риска.
fedorro
Главное что сам контакт, видимо, не заинтересован что-то менять. Когда человек заходит с левого места, и начинает вдруг всем одно и то же сообщение рассылать (ну или по паттерну) — уже можно если не банить, то хотя бы предупреждение показывать что возможно это мошенники пишут, и нужно удостовериться в чистоте его намерений сторонним способом. Но даже когда уже множество человек нажало что «Аккаунт взломан» — сразу ничего не происходит, и злоумышленник может продолжать обрабатывать людей по списку друзей.Ладно бы что-то новое, но для вот этого всего технологии у них уже имеются.
Hardcoin
ВКонтакте? Он тут вообще выступает просто сервисом доставки сообщений. Неужели сервис сообщений должен заботиться, что б через него не рассылали мошеннические тексты? Если реально такой запрос в обществе есть, то закон-то примут. Детей от "плохой информации" уже защитили, теперь взрослых будут защищать от плохих сообщений. Точно хотите этого?
fedorro
В том то и дело, что взрослых от «лишней» информации уже защищают — в этом плане терять нечего. А вот выводить предупреждение\подсказку если множество очевидных факторов указывают на факт взлома аккаунта и мошенничество — это никого кроме мошенников ни в чем не ограничит.
Hardcoin
Да, на каждом этапе есть люди, которые считают, что хуже уже не сделают. Потом удивляются. А на самом деле терять есть что и много.
Сама по себе подсказка "это сообщение рассылали уже 20 раз" никого не ограничит, вы правы. Но она бесполезна, потому что сообщение будут менять немного.
Или может быть сообщение "он уже пишет десятому человеку за полчаса" кому-то что-то даст. Но это какие-то костыльные решения. Ну будет писать реже, напишет не сотне, а 50 человек. Вроде бы лучше, но не так, что бы сильно лучше.
А вот сообщение на смс "это вход в аккаунт смс на номер Х, никому его не сообщайте" — намного лучше. Да и настоящая двухфакторная во всех значимых сервисах — тоже намного лучше. И отслеживание денег намного лучше и возврат украденного и наказание вора.
Но это все не нравится, да? Обязательно нужно костыльное, неработающее решение, в котором ВКонтакте выступает кривым фильтром с кучей ложноположительных?
Fantyk
У контакта давно есть двухфакторная авторизация. Люди, видимо, сами не заинтересованы.
TonyLorencio
Грош цена такой двухфакторной аутентификации, когда нельзя отключить подтверждение по номеру телефона и от бота Администрации, а оставить только TOTP.
Fantyk
80% проблем это решает, это лучше чем вообще не использовать ее.
mkll
Хуже то, что она дает уверенность безопасности, хотя на самом деле никакой безопасности нет.
orion76
Чтобы поймать и посадить, надо собрать доказательства.
Чтобы собрать доказательства, надо «деанонимировать» мошенника и сохранить его «трафик».
Чтобы «деанонимировать» мошенника и сохранить его «трафик» необходима специальная «инфраструктура», не позволяющая выходить в сеть анонимно и позволяющая «прослушивать» трафик, в т.ч. и «шифрованный».
Нет уж, нет уж… Пусть меня лучше мошенники разденут до нитки и вгонят в долги, чем какой-то фсбэшник будет читать мою переписку.
Zmiy666
да даже хрен с ними с мошенниками — хотя не вижу проблем в том, чтоб отправить фургон омона по пеленгу телефона, с которого мошенник сидит в ВК. Благо они почти никакой защиты даже не пытаются ставить.
Проблема в том, что нельзя отменить свои платежи и вернуть все деньги, хотя-бы в течении недели. Ведь весь процесс путешествия денег можно отследить, это не какое-то сообщение в вк, и для этого ненужно чтоб ФСБшник читал ваши сообщения. Сразу будет видно где гад и обналичил, на какие номера перевел, куда положил и где/что оплатил. Можно даже бумажные деньги отслеживать, благо номер у всех уникальный. А пользование крадеными деньгами, на которые написано заявление — достаточно веский повод для задержания…
konst90
Zmiy666
Нет, ну хорошо. Допустим мошенник сидит на зоне, и физически до него не добраться. Зато можно блокировать его телефон, а так же всю цепочку перевода денег, включая телефоны соседей по камере ) Человеку, получившему блок случайно (например гад ошибся и отправил деньги на левый номер, ну или специально пытался замести следы) ничего не стоит ответить на звонок оператора и подтвердить, что он понятия не имеет, откуда к нему пришли деньги и позволяет их списать, и вообще поставить вайтлист денежных переводов, чтоб не могли переводить с незнакомых номеров (услуга должна быть бесплатна у оператора)
rogoz
Повеселила лучшая защита от ОМОНа — зона. )
Frankenstine
Почему вы так уверены в этом? Я как раз наоборот уверен что как минимум будет использован Tor.
ledocool
Уже есть закон яровой. Чет не особо работает, да?
Tomasina
Он есть только на бумаге.
Hardcoin
Зачем трафик? Если он украл деньги — есть путь прохождения денег, разве нет?
roscomtheend
Препочитаете быть раздетым до нитки ФСБниками? Месье знает толк…
lgorSL
Ха-ха, у нас могут на два года условно осудить за картинки в закрытом альбоме (вот). Так что у кого надо есть прямой доступ и приватным альбомам, и к переписке, а на проблему мошенничества им просто наплевать.
mickvav
Хинт — сидит человек в тюрьме. Пожизненно или оцень на долго. И ему передают телефон для подобных манипуляций. За курево, наркоту, что-у-них-там-ещё-в-ходу. И даже когда его «деанонимизируют» и добавят срок, в его жизни ничего не изменится, по большому счету. Так оно не работает. Вывод — будьте бдительны.
darthmaul
Я Вас таки прошу, 90% этих всех кидков — мамкины бандиты, школьники, из дома прямо фигнёй маются. А не трогают их ибо мелочь.
PS. Есть конечно и покрупнее дельцы, но те или скрываются хорошо или откупаются. С тюрьмы много не кинешь, без ПК — там же массовость нужна, всё таки таких идиотов не так и много.
Areso
Счет в банке тоже открывает сидя за решеткой? По «операторам» бить смысла мало, согласен, надо бить по денежным потокам.
mickvav
Выводят в нал, на угнанную карту другого такого же, и ищи-свищи.
darthmaul
Электронное мошенничество вообще трудно доказуемо во всём мире. Гляньте вон на популярность так называемых «рефандеров» в США\Европе например.
alsii
В Европе есть другое мошенничество. Предлагают непыльную работенку: надо принимать деньги на счет в банке и отправлять через мнтернет-сайт WU (или другого похожего сервиса) по указанным «координатам». Разумеется за определенную комиссию. Развод в том, что полиция легко отслеживает всю цепочку банковских переводов до вашего счета, а вот потом след теряется. WU и иже с ним не сообщают данные получателя денег. Да он еще и находиться обычно в какой-нибудь далекой стране. Вы остаетесь крайним в цепочке и вынуждены из своего кармана возвращать деньги пострадавшему.
Так что как раз пока деньги гуляют по банкам все просто…
axilirator
Я думаю, проблема в другом. Пока есть те, кого можно легко обмануть, будут и те, кто готов этим воспользоваться. Ужесточение наказания за сие деяние — не панацея, вряд ли это как-либо повлияет на текущую ситуацию. Социальная инженерия ведь не вчера появилась, людям пора уже заботиться о какой-то базовой самообразованности в этом плане.
nikolayv81
Основная проблема в том что операторы занимаются не своим делом и всячески упрощают сервисы чтобы простым людям было удобнее тратить больше денег через них (серые схемы с подписками и короткими номерами это только часть не своей функциональности).
Надеюсь когда-нибудь у властей хватит воли и совести остановить это и ограничить операторов только связью, а то они уже открыто заявляют что знают кто с кем и где и могут эту информацию использовать :(
Stas911
Думаю, подавляющее количество таких преступлений совершают люди, уже находящиеся в местах лишения свободы, тч навряд ли их это сильно напугает