Пост о том, как привязанный к аккаунту сервиса Яндекс.Почта телефон, помог угнать домен созданного мной сетевого издания "Банки Сегодня". Отмечу, что в это издание я вложил все свои накопленные деньги, душу и 3 года кропотливой работы.

Началось все пока ещё сегодня, 25 сентября 2019 года. В 15:50 я (администратор домена), получил на телефон сообщение от МТС: кто-то инициировал замену моей сим-карты:

image

То есть, некто перевыпустил мою симку. Как это удалось сделать — большой вопрос, который мы адресуем компании МТС.

Естественно, первым делом я проверил, а не от мошенников ли мне пришла СМС. Проверив номер, указанный в СМС, я понял, что номер верный, значит проблема серьёзная. Уже через минуту я начал пытаться связаться с ТП МТС. Квесты прохождения телефонного меню МТС результатом которых является общение с оператором заслуживают отдельной истории. Скажу кратко, на то чтобы начать живое общение с «человеком» у меня ушло минут 7.

К сожалению, общение не было долгим, секунд через 20 разговор прервался. Скорее всего, в этот же момент мошенник активировал сим-карту, так как совершить звонок со своего номера более я не смог, моя симка стала неактивной. С другого номера удалось дозвониться в службу поддержки МТС, в результате чего номер (который был привязан к почте) был заблокирован.

Но было уже поздно. Злоумышленник получил доступ к электронной почте на Яндексе, на которую был зарегистрирован личный кабинет регистратора доменных имен.

Кстати, к почте была подключена двухфакторная аутентификация, но именно из-за привязки номера телефона это «угон» домена и произошёл. Если бы к моей почте не был привязан номер телефона, то мошенник не смог бы сбросить мой пароль.

Сразу же мошенник смог получить доступ к личному кабинету регистратора (рег.ру) и перенес домен на другой аккаунт. Так как домен был в международной зоне .NET, передать домен от одного аккаунта в другой не составило труда.

На данный момент сайт нашего издания работает и сегодня мы даже успели запустить соответствующий пост. Но думаю уже завтра, после того как обновятся DNS-сервера, мой корабль, который я строил 3 года, скроется за горизонтом.

Хочется верить, что все мои письма в Яндекс, в Reg.Ru, обращения в МТС а также Полиция (сегодня не успел подать заявление, но завтра обязательно это сделаю), всё это даст результат.

Мы никогда не занимались политикой и не писали заказных материалов. Но такая участь постигла и наш сайт.

С надеждой на лучшее, совладелец сетевого издания «Банки Сегодня».

UPD 15-00.
Заполнив длинную анкету, уже восстановлен доступ к почте Яндекс. Составлено заявление в полицию. Отправил сканы в ТП Reg.Ru

UPD 17-00.
Случилось большое чудо! Reg.Ru вернул мои DNS (домен пока ещё не возвращён). И уже совсем скоро мои юзеры попадут на мой сайт. Видимо, мошенник рассчитывал на то, что пока будут идти разбирательства, мой домен склеится с его (тут светить его домен не буду, думаю вы сами можете легко его узнать). Он настроил 301-ый редирект со всех моих страниц — на страницы уже на его домене.

Наши настоящие DNS сменились приблизительно в 3 часа ночи сегодняшнего дня. И уже с 9 утра больше половины наших читателей стали редиректиться на домен мошенника. Динамика посещаемости:

image

Комментарии (473)


  1. ustasby
    26.09.2019 00:03
    +2

    В рег ру можно вот так просто за один день сменить регистратора?


    1. isxam
      26.09.2019 00:06
      +1

      тот же вопрос, но ко всем в этой цепочке, начиная с оператора связи


      1. ustasby
        26.09.2019 00:12
        +1

        С оператором все понятно, если они даже звонок не делают по номеру который собрались менять по очередной липовой доверенности. Завтра проверю как у нас домен привязан, попробую проделать те же действия кроме перевыпуска симки.


        1. cleaner_it
          26.09.2019 07:22

          Напишите здесь результаты, пожалуйста


        1. mig126
          26.09.2019 14:26

          Судя по публикациям ещё год назад для переноса домена к другому регистратору REG.RU просил прислать копию паспорта и скан заявления, написанного от руки.
          Сейчас видимо упростили.


          1. gecube
            26.09.2019 15:08

            До сих пор не упростили. Могу подтвердить — требуются паспорт, прочие документы. Чуть ли не личная явка в офис.
            Вероятно, люди путают техническую передачу домена (когда управление записями и делегирование меняются на другой аккаунт) и передачу владения (когда полностью домен перерегистрируются на другое лицо — физ или юр). Мы так влетели случайно, когда оказалось, что домен остался на предыдущем владельце и ничего не сделать — только подождать, пока истечет срок регистрации и зарегать его заново.


            1. nekt
              28.09.2019 02:45

              У них разные политики передачи в разных зонах.
              Насколько я помню — для передачи домена .net и .com достаточно электронного письма с адреса администратора домена и использования токена передачи в другом лк


          1. NTG24
            26.09.2019 16:18

            В рег.ру нельзя передать домен без явки в офис и написания заявления в бумаге. Можно только передать управление другому администратору.


            1. tech42
              26.09.2019 16:21

              Можно. Есть возможность сделать при помощи соглашения о поручении. А также при помощи заявления, подписанного ЭЦП (см. случаи по оформлении ЭЦП на любого человека)


      1. tech42
        26.09.2019 16:00

        Нет, нельзя. В REG.RU можно легко передать домен на другой аккаунт в пределах одного регистратора. Но вот для получение EPP кода необходимо заполнить заявку и приложить паспорт. Он будет сверен с WHOIS. ТС'у крайне рекомендую как можно быстрее написать в свободной форме заявление на передачу домена и приложить скан паспорта (лучше свежий, сделанный рядом с бумажкой и надписью) на свой аккаунт, отсканить и отправить в поддержку reg.ru. Скорее всего, его вернут на аккаунт. Сейчас на домене, как я вижу, стоит статус для блокировки передачу другому регистратору. Можно застраховаться от этого в будущем: через поддержку регистратора нужно установить clientUpdateProhibited, clientDeleteProhibited, clientTransferProhibited статусы. Тогда никакие данные изменить будет нельзя без снятия статусов. Но эти галки плохо совместимы с услугой WHOIS privacy


        1. mig126
          26.09.2019 16:12

          Там ниже уже представитель орифлейм рег.ру объявился и отписался со своего люто заминусованного аккаунта.
          Судя по комментам(и состоянию кармы), дичь уже не в первый раз творится.


          1. tvr
            26.09.2019 16:19
            +1

            Судя по комментам(и состоянию кармы), дичь уже не в первый раз творится.

            Это из-за вот этой истории, за которой последовало ещё несколько статей, в которых рег.ру выглядел очень бледно, а его представитель в комментариях отписывался штампованным канцеляритом. Увлекательнейшее чтиво, я вам доложу.


            1. khim
              26.09.2019 16:56

              Увлекательнейшее чтиво, я вам доложу.
              Типичный результат ситуации, когда человека для PR выделили, но «на всякий случай» прислали талмуд страниц на 500, краткое содержание которого «только ни в коем случае никому ничего не обещай».


    1. Matsun Автор
      26.09.2019 00:11
      +1

      Пока ещё регистратора не сменили. Как я понял после общения с ТП, он в рег ру, но в другом аккаунте. По телефону они ничего сделать не смогли. Создал тикет, который был адресован в юридическую службу и которая начинает работу с 9 утра =(


      1. ustasby
        26.09.2019 00:17

        Значит еще ничего не потеряно, в любом круглосуточном мтс перевыпустите симку с запретом на перевыпуск и верните почту.


        1. Matsun Автор
          26.09.2019 00:22

          Да, это уже всё делаю, почту верну, телефон тоже, а вот домен, под вопросом -(


          1. edogs
            26.09.2019 00:26
            +1

            Про банки не забудьте.
            А после восстановления симки проверьте не установлены ли редиректы или смс-про и прочие услуги, тут тоже могут быть сюрпризы.


            1. FDA
              26.09.2019 09:03
              +2

              Однажды по после покупки нового телефона мне потребовалась замена SIM-карты. У меня была старая размера microSIM, а телефону требовалась nanoSIM. В ближайшем офисе своего оператора я поменял карту за 5 минут, но в тот же день столкнулся с тем, что не могу войти в Сбербанк Бизнес.Онлайн. Приходило какое-то невнятное SMS с их номера 900. Я позвонил на горячую линию, и там мне объяснили, что банк привязывается не к номеру телефона, а к уникальному номеру симки. Я симку сменил, номера телефона прежний, а уник. номер изменился. У меня там два счёта. Для ИПшного пришлось ножками топать в банк и писать там письменное заявление, а со счётом ООО чуть попроще было. У нас там две учётных записи и через вторую мы подали в личном кабинете электронное заявление. В течение дня всё заработало. Но защита меня порадовала!


              1. tempick
                26.09.2019 09:07

                А что за уникальный номер симки? Я если честно, не разбираюсь в этом. Это не тот ли PUK-код? Или там отдельный номер зашит наподобие IMEI в телефоне?


                1. DaemonGloom
                  26.09.2019 09:09
                  +2

                  Последний вариант. IMSI называется в их терминах. Есть ещё зашитый секретный код KI, который из современных симок не достать. Но из старых можно было, что позволяло склонировать симку. Или записать коды в память телефона с особой программной модификацией, что позволяло переключаться между симками просто из меню.


                  1. ursaa
                    26.09.2019 13:57
                    +1

                    KI и в старых симках не доставался, он подбирался при «включении» симки. Ограничений на количество включений практически не было — сейчас (ну как сейчас, уж лет 10 как точно) все нормальные симки имеют сильно ограниченный цикл включений, потому подбор KI на них неэффективен. А после окончания циклов симка окирпичивается.


                1. FDA
                  26.09.2019 09:17

                  Забыл точную аббревиатуру, но это длинный такой номер. Уникальный для каждой SIM. Сбер как-то определяет его и если вдруг авторизуешься с новой SIM, но со старым номером, то тупо не шлёт тебе SMS-пароль. А вместо этого какие-то длинное сообщение, что мол, возможно, Ваш номер взломали и надо обратиться в колл-центр. Но это только для бизнес-аккаунтов вроде. Личный у меня по моему работал, хотя два года назад было, могу и путать.


                  1. pae174
                    26.09.2019 10:14

                    MSIN — (Mobile Subscriber Identification Number) индивидуальный номер мобильного абонента. Является составной частью IMSI

                    Это внутренний 10-значный (9-значный для Северной Америки) номер карточки абонента (в GSM — SIM-карточки). Является составной частью 15-значного номера IMSI. Первые 5 (6 для Северной Америки) знаков IMSI одинаковы для одной сети и одной страны.

                    Номер SIM-карточки известен только ей и коммутатору сотовой сети. В коммутаторе каждой карточке присваивается от одного до 10 номеров абонента (зависит только от ПО коммутатора), который и выдаётся абоненту. При утере или замене SIM-карточки, теряется только MSIN, но не федеральный номер абонента, который хранится в коммутаторе (HLR), а не в SIM-карте.

                    Таким образом в мобильном телефоне хранятся IMEI и MSIN. В закодированном виде они передаются коммутатору, когда абонент (A) совершает вызов. Другому абоненту (B) коммутатор отображает один из федеральных номеров установленный как основной. При получении вызова от абонента (B), коммутатор принимает звонок для любого из 10 федеральных номеров, записанных для абонента A в коммутаторе. При этом поиск абонента А в сети осуществляется по MSIN, приписанному этим номерам.


                    1. dom1n1k
                      26.09.2019 14:53

                      А откуда Сбер этот номер узнаёт? Через приложение своё что ли? А если телефон-звонилка?


                      1. wlr398
                        26.09.2019 15:48

                        У сотовиков есть специальное типа API для банков, оттуда и узнаёт.
                        По телефонному номеру, который клиент банку сам сообщает. Звонилка, не звонилка, это не важно.
                        На смартфоне с доступом к телефонному функционалу наверное можно и прямо из приложения IMSI достать.


                        1. vikarti
                          26.09.2019 17:27

                          API не только для банков.
                          Похоже что как минимум формально — для любых сервисов рассылок. Проверка — идем на smsc.ru/testhlr и вводим свой номер (и капчу). Получите IMSI (если конечно оператор не маскирует его — некоторые точно маскируют — delo.ua/business/kievstar-rasskazal-kak-zaschischal-svoi-seti-ot-atak-240181 ).


                      1. pae174
                        26.09.2019 17:10

                        Сейчас банки заключают с операторами договора на предоставление этих данных по тем тарифам, на которые договорятся. В будущем планируется создание некой единой информационной системы учета всех симок, в которую операторы обязаны будут сливать все данные и доступ к которой будет предоставлен «банкам, кредитным организациям и прочим организациям» по тарифам, утвержденным правительством.

                        Почитать можно тут: www.rbc.ru/technology_and_media/17/09/2019/5d78e4c79a7947b0d7c514ba


                      1. webkumo
                        26.09.2019 17:54

                        Это сервис для рассыльщиков смсок, перед (или после?.. хз, не помню) отправкой смс-ки рассыльщик может узнать текущую (+возможно хистори последних) симку в сети. Точнее хз, где-то на хабре вроде статья про это была… пару-тройку лет назад..


                      1. catharsis
                        26.09.2019 19:46

                        IMSI отдается через SS7, то есть потенциально доступен любому оператору с которым есть связность.
                        Даже данные VLR отдаются. Сервисы "узнай местоположение любого абонента" работали притворяясь каким-нибудь сотовым оператором из Центральной Америки. За это их конечно бьют и отключают.
                        Это все нужно для того чтобы роуминг, в частности, правильно работал.
                        Кто лучше знает, поправьте плиз, я в телекомах не работал.


                        1. xslibris
                          27.09.2019 08:50

                          Почти всегда это не сработает ибо TMSI, который будет отдан на запрос информации о местоположении абонента, ничего общего с реальным IMSI иметь не будет. Ну кроме кодов страны и оператора. Да и номер VLR скорее всего тоже будет фейковым и указывать будет на какой-нибудь SS7 файрволл.


                    1. bisquitie
                      26.09.2019 23:08

                      Первые 5 (6 для Северной Америки) знаков IMSI одинаковы для одной сети и одной страны.

                      и называются MCC и MNC. А какой там формат кодирования всех этих данных… мм!


                1. easty
                  26.09.2019 09:57

                  IMSI, цифровой код сим карты, начинается с кода оператора и подобной служебной информации. Я думаю сбер такое научился делать, когда стали сами MVNO и получили доступ до сетей сигнализации.


                  1. tempick
                    26.09.2019 10:01

                    спасибо большое!


                  1. wlr398
                    26.09.2019 10:04

                    Российское отделение Ситибанка делало отслеживание смены IMSI довольно давно, более 10 лет назад, в те времена даже слова такого MVNO не знали.


                  1. khim
                    26.09.2019 13:15
                    +1

                    Райф тоже так делает, причём давно.


                    1. vvzvlad
                      26.09.2019 13:22
                      +1

                      Альфа тоже. Это уже пару лет как стандарт для всех вменяемых банков.


                    1. easty
                      26.09.2019 13:22
                      +1

                      Ну не спорю. Возможно есть интеграции с каким нибудь оператором, тот денежки берет за это.


                      1. force
                        26.09.2019 13:27
                        +1

                        Именно так. И именно за денежки. Банк не сдает конкретный IMSI, но он знает факт, что он сменился.


                  1. sw0rl0k
                    26.09.2019 13:39
                    +1

                    У меня сбер заблокировался так еще в 2013 году, задолго до того, как они стали MVNO. Но для физика все решается звонком на горячую линию. Спросили секретное слово, данные паспорта, последние 4 цифры каждой карты и когда совершалась последняя операция по любой из карт.


                  1. Genttw
                    27.09.2019 17:30

                    На самом деле доступ к сетям сигнализации сбер имеет с тех времен, как создал свой СМС-банкинг. Просто начал использовать эту информацию с 2012-2013 года.


                1. NightGhost
                  26.09.2019 12:46
                  +5

                  Вот чего вы человека минусите за то, что он вопрос задал? Прям бесить это стало, новая дебильная мода хабра. 100 комментариев о какой-то херне все с удовольствием плюсуют, а как коммент с вопросом – так всё, ливай дурака, неча ему среди местных интеллектуалов делать.


                  1. Artemis86
                    26.09.2019 15:58
                    +3

                    Эта дебильная мода уже давно, с тех пор как школота захватила Хабр. Активно плюсуют няшные комментики, особенно с плоским юмором, а чуть высказал мнение отличное от большинства-сразу минусы. Чтобы не высовывался. Задал вопрос вместо няшного коммента или плоской шутки? Получай.


                  1. WraithOW
                    26.09.2019 18:48

                    новая дебильная мода хабра

                    2 минуса и 9 плюсов

                    Безусловно, именно эти два человека — лицо хабра.


                    1. NightGhost
                      27.09.2019 11:02

                      На момент написания коммента было только 2 минуса.


                    1. NightGhost
                      27.09.2019 11:04

                      UPD: дубль, инет лаганул


                      1. mig126
                        27.09.2019 16:21

                        Это не инет. У Хабра такая проблема с дублями уже годы существует.


                  1. WasteLandR
                    27.09.2019 17:30

                    Еще чаще многие комментарии, особенно новичковские, даже не пропускают через модерацию, хотя оный не является ни оскорбительным, ни агрессивным или подобным, а обычным сообщением, которым хотел поделиться юзер.


                  1. Noiwex
                    27.09.2019 20:04

                    Тут есть некоторые полоумные особы с достаточным количеством кармы которые обижаются на всё подряд, нечего удивляться.


              1. gkozlenko
                26.09.2019 09:30
                +2

                То же самое было, но только с Альфа Банком. Хорошая защита.


                1. tvr
                  26.09.2019 10:51
                  +1

                  Не всегда оно работает сразу.
                  Я симку менял перед самым новым годом, а альфа вопль по этому поводу издала аж в апреле.


                  1. Genttw
                    27.09.2019 17:41

                    Оно работает в онлайне, просто сравнение записей IMSI в БД банка с текущим реальным IMSI выполняется при совершении критичных операций с т.з. банка.
                    Это сделано потому, что один запрос актуального IMSI стоит банкам 50+ копеек. Конечно звучит смешно, но если эту цифру помножить на количество транзакций, то получится вполне внушительная сумма.


                1. MaksimovEvgeny
                  27.09.2019 17:30

                  Альфа-банк мне прислал уведомление о замене SIM-карты и заблокировал личный кабинет спустя несколько месяцев (точно уже не помню) после фактического перевыпуска SIM. Вот такая вот хорошая защита…


                  1. tvr
                    27.09.2019 17:38

                    У меня было прикольнее. Никаких предупреждений и уведомлений — просто блок в самый неподходящий момент, уже выезжал из города и надо было перевести денег за бронь жилья.


              1. BDI
                26.09.2019 09:49

                Год или два назад по той же причине(новый смартфон, нано-сим) менял билайновскую симку. В офисе оператора сразу предупредили что после замены на сутки блокируется приём СМС от банков(насчёт MFA на почтах не помню). Через сутки спокойно мог войти в ЛК своих банков(Сбер, ВТБ24), без походов в отделение.

                Скажите, давно вы меняли симку? Возможно это какое-то нововвдение?

                P.S. Правда симка у меня не личная, оформлена на работодателя.


                1. FDA
                  26.09.2019 09:58

                  Симки я менял в прошлом году. Одна была личная (Билайн), вторая корпоративная (Теле2). К обоим привязан был личный кабинет в Сбере. Как я писал выше, доступ в кабинет был заблокирован до подачи соответствующего заявления.
                  Но повторюсь, это касается наверное только Бизнес.Онлайна. Не припомню, чтобы для личной кабинета что-то поменялось. Но защита реально хорошая. Вот реально проще до офиса Сбера доехать, чем потом в полиции по кабинетам бегать :-)


                  1. BDI
                    26.09.2019 10:07

                    Понятно. Буду иметь это ввиду, на случай замены симок бухгалтерии :).


                  1. German1984
                    26.09.2019 10:30

                    У Сбера для частных клиентов такая же практика. Только, к сожалению, о блокировке в офисе Билайна не предупредили


                    1. FDA
                      26.09.2019 11:02

                      Это очень хорошо! А то сейчас много чего к номеру телефона привязывается!


              1. balamutang
                26.09.2019 10:30
                +1

                Я недавно менял симку на Билайне и на сутки мне на перевыпущенной симке тормознули все смс, от банков и даже Почты России. Аналогично работает и у Мегафона, странно если у МТС это не так.


                1. akamap
                  26.09.2019 11:26

                  У МТС так же. Пару месяцев назад менял симку…


                  1. khim
                    26.09.2019 13:22
                    +1

                    Может это только при замене «живой» симки? Я в прошлом году утерянную менял, причём она была мне нужна, чтобы что-то срочно оплатить, так вся процедура «заменить-симку/убедиться-что-Райф-её-не-принимает/позвонить-в-Райф/сделать-перевод» заняла меньше часа…


                1. grmood
                  27.09.2019 17:31

                  Менял симку теле-2, меньше года назад, ничего не тормознулось почему-то


              1. 6095959
                26.09.2019 11:27

                Аналогично. Но, что интересно, когда перенес номер к другом оператору, всем ИБ было пофиг.


              1. Vrag
                27.09.2019 17:31

                У меня прямо с вами как-будто разные cбербанки. В том, который в моём варианте вселенной «SMS с их номера 900» чудесно приходили через 10 минут после «переезда» номера от зелёнофиолетового опсоса к чёрному. Вероятно, как вы догадываетесь, SIM карта при этом тоже некоторым образом менялась.


          1. Vilgelm
            26.09.2019 07:52

            Если домен переведен на другой аккаунт внутри регистратора, а не на другого регистратора и регистратор не мудак, то он вернет вам его.

            Я один раз сталкивался с подобной ситуацией, но у Network Solutions. Там правда уже шел исходящий трансфер другому регистратору, но они приостановили его. Правда захотели документы, а любые российские документы их не устроили. В итоге домен оказался в подвешенном состоянии: они его продлевают, висит он у них, но пользоваться им нельзя.


            1. ne_kotin
              26.09.2019 08:56

              Если домен переведен на другой аккаунт внутри регистратора, а не на другого регистратора и регистратор не мудак

              Вот как раз последнее обстоятельство вызывает сомнения…


              1. Vilgelm
                26.09.2019 08:59

                Поэтому лучше пользоваться чем-то типа Evonames, там можно для критических действий типа трансфера задать второй пароль (пин), это спасает от таких ситуаций.


                1. d-b
                  28.09.2019 08:59

                  Спасибо за инфу, ценно


        1. mihmig
          26.09.2019 14:37

          >>запретом на перевыпуск

          Что это за услуга и как её потребовать в салоне?


          1. RiseOfDeath
            26.09.2019 16:17

            >>запретом на перевыпуск
            Что это за услуга и как её потребовать в салоне?

            А самое главное что делать, если симка реально сломается и ее потребуется перевыпускать?


            1. ne_kotin
              26.09.2019 16:55

              Запретом на перевыпуск без личного присутствия.
              Если ломается — идете с паспортом в салон и меняете.


              1. balexa
                26.09.2019 17:01

                И как это вас спасет-то от целенаправленной атаки на вас? Ну напечатает злоумышленник паспорт на цветном принтере, никто не будет вдаваться в детали. Либо вообще, даст на лапу работнику салона. Не, возможно этого работника даже найдут и накажут, только к тому времени все ваши ящики-домены-пароли-деньги уже уплывут.


                1. ne_kotin
                  26.09.2019 17:03

                  И как это вас спасет-то от целенаправленной атаки на вас?

                  Ну как-то спасает вроде. Паспорт печатать — гораздо более сложное и дорогостоящее занятие, чем прийти с липовой доверенностью и ксерокопией липового же паспорта. Большая часть мошенников уже на этом этапе отвалится.


                  1. edogs
                    27.09.2019 02:07

                    Паспорт печатать — гораздо более сложное и дорогостоящее занятие
                    Только вот паспорт-то не обязательно, есть куда менее защищенные варианты которые принимаются. Куда менее — воспроизводятся на обычном принтере, ну и печать надо изготовить обычную.


      1. FDA
        26.09.2019 09:11

        Буквально неделю назад менял регистратора в Ru-center. Домен давно-давно был зарегистрирован на меня как физ. лицо. Я сейчас переносил его на ООО. Так как в нашем городе представительства Ru-center нет, то пришлось распечатывать заявление, заверять его у НОТАРИУСА и отправлять заказным письмо в Москву! После этого в лично кабинете появилась возможность смены регистратора. Переносил домены из зон .ru, net.ru, ru.net и .cloud.


    1. edogs
      26.09.2019 00:12

      Строго говоря в статье про смену регистратора нет.
      Речь о переносе домена на другой аккаунт у того же регистратора.


    1. Vilgelm
      26.09.2019 07:49

      В Godaddy (один из крупнейших регистраторов) при наличии доступа к почте можно сделать исходящий трансфер за 20-25 минут. То есть через полчаса домен уже будет у другого регистратора и тогда все.


      1. vsantonov
        26.09.2019 18:16

        Подключил у них двухфакторку через Google Authenticator и даже при доступе к почте увести домен будет не так просто.


    1. vikarti
      26.09.2019 10:29

      вот тоже вопрос. EPP-коды то как получали и вообще как прошел трансфер ТАК быстро. У меня он несколько дней занимал всегда (правда — между регистраторами).


    1. sharaev
      26.09.2019 11:06

      Можно обратиться в вышестоящую инстанцию и они сменят в обход рег.ру


    1. Arris
      27.09.2019 00:44

      В рег.ру еще и не такое можно :(

      Имели печальный (но не настолько!) опыт взаимодействия.


  1. ovalenko
    26.09.2019 00:12

    Было похожее с РегРу, в поддержке сказали, что не вернем домен, так как он перенесен. Пришлось уговаривать похитителя вернуть его.


    1. Matsun Автор
      26.09.2019 00:12

      И как успехи?


      1. ovalenko
        26.09.2019 00:24
        +1

        Сайт был намного меньше по масштабам вашего, потому в результате «переговоров», удалось добиться переноса обратно.


  1. dartraiden
    26.09.2019 00:34
    +2

    Вот поэтому я не привязываю номер телефона к критичной почте, на которую многое завязано. Это ненадёжный резервный способ, которым может воспользоваться злоумышленник. По сути, ваш аккаунт при таком раскладе защищает лишь бдительность сотрудников сотового оператора — поведутся они на мошенника с липовой доверенностью и подвешенным языком или нет.

    Передаю отдельный привет почтовому сервису mail.ru, сотрудники которого, если к ящику не привязан телефон (но привязан TOTP-аутентификатор), готовы отдать доступ любому, кто знает «пароль, использовавшийся при регистрации ящика».


    1. inkvizitor68sl
      26.09.2019 01:06

      > почтовому сервису mail.ru
      Весело. Их пароли в интернетах встречались, как раз тех времен, когда пароли были «использовавшиеся при регистрации».


      1. dartraiden
        26.09.2019 15:53

        Ну вот я тоже офигел. У меня была ситуация:
        — телефон не привязан
        — привязана 2FA, я могу генерировать валидные коды
        — я могу назвать содержимое своего майлрушного облака (потому что у меня эти файлы, лежат на десктопе)
        — я могу назвать имена папок, которые созданы в почте (а там довольно специфичные имена)

        Т.е., вроде бы, вполне нормальные такие доказательства, что я владелец аккаунта.

        И в этой ситуации из-за моих частых входов через VPN из разных уголков мира мне заботливая система безопасности mail.ru сбрасывает пароль. И единственным вариантом (поскольку телефон для приёма SMS не привязан) было «вспомните пароль, с которым вы регистрировали почту».


        1. khim
          26.09.2019 16:59

          Amazon тоже так любит делать. Но он умеет посылать одноразовый пароль на почту. А mail.ru так не умеет? Послать пароль на вторую, «запасную» почту?


    1. ivan386
      26.09.2019 01:09

      Мою почту сегодня тоже взломали. Вспомнив ответ на контрольный вопрос которого и я то не помню потому что вводил там набор цифр и букв как раз для того чтобы таким образом не взломали. Похоже это был массовый взлом.


      Почту взломали с IP: 146.120.110.13


      1. ivan386
        26.09.2019 13:20
        +1

        yandexsupport что скажете? В один день двумя способами взломали.


        И раскажите пожалуйста как действует кнопка "это не я" в логах действий на которой я азбуку морзе отбивал и не видел ответа как она должна повлиять на взломщика и вообще сработвла ли.


    1. aim
      26.09.2019 01:12

      Очень странно что reg.ru так быстро домен передал другому регистратору. Раньше требовался договор и письмо на бумаге… Я правда давно с ними не общался, последний раз лет 7 назад. Может и поменялись условия.


      1. Barabas79
        26.09.2019 01:54

        У автора домен не ru, для них работает простая передача домена без бумажных документов.


        1. AbstractGaze
          26.09.2019 08:33

          C ру у рег.ру тоже самое, месяц назад переносил на другой аккаунт (с физ на юр лицо). Все делается дистанциионно в течение полу часа. Перенос с рег.ру на бегет, заняло уже несколько дней.
          Подделать в случае угона подпись на скане, думаю вообще не проблема в случае именно угона.


        1. aim
          26.09.2019 09:52

          ясно, спасибо за пояснение!


        1. FDA
          26.09.2019 10:04

          Как писал выше, недавно в ru-center переносил домен в зоне .cloud. Без письменного заявления это сделать невозможно. Зря рег.ру такие вольности позволяют.


    1. rusbaron
      26.09.2019 17:16

      Сейчас на сколько я знаю без номера телефона почту не зарегестрировать. Или это не равно привязке?


      1. bodqhrohro
        26.09.2019 19:56

        Смотря где. rambler.ru, cock.li, meta.ua — номер не требуют. Плюс ничто не мешает свой почтовый сервер поднять.


        1. rusbaron
          27.09.2019 09:54

          Свой, это если много времени свободного. Я где то пол года держал свой, но стабильность страдала.


      1. sumanai
        26.09.2019 21:58

        Зарегистрировать, но через несколько дней её блокируют «В связи с подозрением на взлом», даже если там был 40 значный надёжный пароль.


    1. sumanai
      26.09.2019 21:56

      если к ящику не привязан телефон (но привязан TOTP-аутентификатор),

      Как это у вас получилось? Сейчас ни мейлру, ни яндекс не дают привязать OTP без привязки телефона.


  1. id_potassium_chloride
    26.09.2019 01:16
    -2

    Уже не первый раз замечаю, что при угоне номера телефона фигурирует один и тот же оператор связи — МТС. Это совпадение? Или это какое-то когнитивное искажение? В любом случае брать номер у этого оператора на всякий случай не буду


    1. VIPDC
      26.09.2019 04:42

      Зря обольщаетесь. Недавно закрывал номер в одной полосатой компании, так там в компьютере левые данные были вбиты совпадала только фамилия (видимо кто то поленился, а потом что попало вбил), так мальчик в салоне просто все исправил на мои и закрыл номер. Т.е. тупо совпала фио, он даже проверять не стал звонком на эту сим что она моя.


      1. WhiteBlackGoose
        26.09.2019 07:09

        Учитывая их (ребят из салонов связи) права и наивность, создается впечатление, что если я приду в салон связи в их фирменной юниформе и попрошу "перевыпустить, коллеги, карту для клиента", то они это сделают. Вспоминается история, как какую-то картину увели из Лувра прямо на глазах у всех посетителей.


        1. Dioxin
          26.09.2019 07:27

          см фильм «Старики-разбойники»


          1. DrAlan
            26.09.2019 10:23

            Он про реальное событие, а не про фильм.


            1. s37
              26.09.2019 15:50

              Мне так две мои перевыпустили, сказал номера и фамилию, у меня уточнили имя и отчество, я кивнул и сделали.


        1. wlr398
          26.09.2019 08:18

          Тут скорее всего целенаправленная атака и может быть просто сговор. Даже если в салоне есть камера, на ней будет — пришёл абонент, показал паспорт, получил симку. Даже доверенности не надо. Паспорт — любой паспорт, чтобы было видно на видео, что продавец проверил паспорт. А то что человек совсем не тот, это уже второй вопрос.
          Доказать причастность продавца практически невозможно. Ну даже если его уволят, то найти аналогичную работу не составит труда.


          1. tonad
            26.09.2019 12:20
            +1

            Доказать причастность продавца практически невозможно.

            Отсканированный паспорт?

            Ну даже если его уволят

            Это как минимум тянет на мошенничество. А может и посерьезнее можно найти статью, что-то там о сговоре группой лиц. Если уволят то не проблема, а если посадят, то уже не так все сладко.


            1. wlr398
              26.09.2019 12:32
              +1

              Отсканированный паспорт?

              А их кто-то сканирует в сотовых ларьках?
              Сам менял симку не так давно, продавец просто посмотрел и отдал.
              Тут же дал карточку. Всё заняло меньше минуты.
              Это ж не банк.
              Есть вообще точки продаж типа стойки в супермаркете. Там и камер нет, какой уж сканер.


              1. vedenin1980
                26.09.2019 13:39
                +1

                Есть вообще точки продаж типа стойки в супермаркете. Там и камер нет, какой уж сканер.

                Любой смартфон сейчас — уже сканер. Есть и специальные приложения для этого. Сделать фото паспорта и видео человека, кто его предьявлет специальным смартфоном со специальной программой — вопрос пары секунд. Зато подделать довольно сложно. А ведь можно еще и сравнить с фото с паспорта, сохраненным в базе, чтобы подельный паспорт с левой фоткой тоже не прокатывал.

                А их кто-то сканирует в сотовых ларьках?

                А это уже вопрос насколько поставленна безопасность в сотовой компании. По идее за такое должны сотовую компанию штрафовать или пользователи, потерявшие деньги, должны идти в суд/общество потребителей. После десятка судов — компания быстро изменит правила.


                1. wlr398
                  26.09.2019 16:03

                  Лучше бы того фотографию сверяли. Разбрасываться сканами паспорта ещё и по ларькам как-то уже перебор. И так их сканируют все кому не лень.
                  Но фото откуда-то должно взяться. Много абонентов пользуются симками по 10 и больше лет. Тогда просто вопроса такого не стояло. Ручкой анкетку заполняли, и это в лучшем случае.


                  1. khim
                    26.09.2019 17:03

                    Ручкой анкетку заполняли, и это в лучшем случае.
                    У меня в первом паспорте (на который SIM'ка зарегистрирована изначально) буквенная серия. В результате заменить SIM'ку можно только лично посетив офис. Ибо все электронные системы тупо не принимают такую серию… а почему они не могут принять новый паспорт — науке неведомо. Я три раза просил переключить, три раза мне говорили «всё отлично, в следующий раз сработает»… и три раза нифига не срабатывало. Пока забил, так как конкретно сейчас от меня до ближайшего офиса МТС километров… много.


            1. Anrikigai
              26.09.2019 19:28

              Отсканированный паспорт?

              Когда менял паспорт по возрасту, на цветном принтере распечатал, вырезал и вложил в корочки от паспорта.
              Конечно, снимать большую сумму в банк я не ходил, но во всех остальных ситуациях открывали корочки, смотрели цветное изображение паспорта, сличали с моей физиономией и возвращали. Этого было вполне достаточно.


        1. p-oleg
          26.09.2019 09:16

          Мне как-то понадобилось сменить сим-карту в зеленой сотовой компании. В салоне вообще без вопросов выдали новую симку. Все, говорят, старая не работает. Ваш номер на новой. Ни паспорт, ничего не спросили… Мск.


          1. wlr398
            26.09.2019 09:42

            По-разному бывает. Мне было нужно поменять симкарту, которой пользовался 10 с лишним лет. Симкарту подарили в ларьке при покупке мобильника. Записана оказалась на какого-то случайного человека. Понадобилось поменять на микросим. Не получилось. Несколько раз, в разных ларьках, всегда требовали привести того, на кого записано с паспортом. Пришлось менять номер.


            1. catharsis
              26.09.2019 19:58

              Я когда-то долго искал правильный ответ на этот вопрос и никто не мог толком сказать куда идти.
              Потом внезапно симка сдохла и я пошёл в зелёный офис в ближайшем ТЦ. У меня был оригинальный пин-конверт и не было оригинального пластикового холдера — без лишних вопросов поменяли данные в профиле.
              Кажется в 2003 году эта регистрация была добровольная и рандомное имя в личном кабинете появилось уже значительно позже


          1. balamutang
            26.09.2019 10:35

            Меня вот в МТС завернули с заменой сим, симка на сестру оформлена с той же фамилией. Видимо еще какой человек за стойкой попадется зависит.


            1. khim
              26.09.2019 13:37
              +1

              Зависит, но очень быстро они научаются больше «в глазах» читать, чем в документах. Ибо таких SIM'ок (оформленных на сестру, брата, свата, бомжа или вообще на тупой рандом) — миллионы. И выбор: либо терять миллионы абонентов, либо, иногда — единицы… когда номер целенаправленно угонят.

              Внимательно проверять документы тупо невыгодно.


          1. Haoose
            26.09.2019 23:25

            Менял симку МТС, т.к. для нового смартфона понадобился новый формат, а старая была только в большом форм-факторе. Так в их офисе кроме собственно номера даже паспорта не спросили. Удивился. Это так любой может прийти, назвать номер, фамилию владельца и получить симку. Мда…


        1. asorkin
          26.09.2019 11:15
          +1

          В Москве таким образом из Третьяковки один хрен родом из Крыма вынес в прошлом году картину Куинджи, тоже про Крым. Просто подошёл, снял и вынес. Чухнулись только через несколько часов.
          Задержали, посадили, вроде на три года. Чувак сказал, что сделал это по приколу за хайп.


        1. smilyfox
          26.09.2019 12:41
          +1

          Как раз вчера похититель картины Куинджи из третьяковки уехал на три года. По результатам уволили недобдившую смотрительницу


        1. d3emp
          26.09.2019 13:08
          +1

          Просто так там симки никто не перевыпускает, но учитывая оклад в 20к и в основном негативно настроенный контингент посетителей, проверка документов проводится посредственно. Обычно смотрят на совпадение имени-фамилии и серию-номер паспорта, если сменили фамилию, то имени-отчества. Иногда проверяют ранее выданые паспорта. Проверку паспорта на подлинность выполняют лишь когда выдают кредиты. Т.е. при замене симки паспорт даже редко в руки берут. Вполне достаточно более-менее качественной подделки. С другой стороны операторы берут заявление на замену сим, и там должна стоять подпись клиента. Заявление сканится и отправляется на сервер. Т. е. если левая замена, то можно поднять документы-камеры и попробовать доказать, что замена была произведена другим человеком.


          1. gecube
            26.09.2019 15:19

            А толку? к тому моменту, когда будет доказано, что это были не Вы, все Ваши аккаунты будут перерегистрированы и все деньги будут уже уведены… А потом идти в полицию… Ну, мы же все знаем какая это волокита будет.


    1. Vilgelm
      26.09.2019 07:58

      Перевыпускают что угодно, можете убедиться на соответствующих форумах.

      Правда для виртуальных операторов такие услуги встречаются реже и стоят дороже, так что если хотите снизить вероятность перевыпуска, то возьмите сим-карту какого-нибудь виртуального оператора без офисов.


    1. irondsd
      26.09.2019 13:51

      Если злоумышленники перевыпускают симку по поддельной доверенности, то не важно, какой оператор. Всё зависит исключительно от сотрудников офисов, а они не всегда бывают умны. Особенно в регионах.

      А спецслужбы чудесно справятся с задачей даже без перевыпуска, они устанавливают переадресацию и получают нужные смс, и вы даже об этом не узнаете.


    1. kir_rik
      26.09.2019 16:39

      В мегафоне в августе перевыпустили симку без паспорта и предоставления старой симки.
      Только ФИО + номер.
      Но первые сутки смс не работает. И на том спасибо.


      1. atbuhw
        26.09.2019 16:52

        Многие сервисы, к сожалению, предлагают опцию «sms не приходит, пусть позвонит робот», так что если звонки не заблокированы, то атакующий всё равно угонит аккаунт сразу.


  1. linux_id
    26.09.2019 01:29
    +2

    У Яндекса же есть приложение для двухфакторной авторизации. Даже если иметь доступ к телефону привязанному к аккаунту то восстановить доступ получиться только зная пин код задаваемый при включении двухфакторной авторизации или через техподдержку.


    1. cleaner_it
      26.09.2019 07:25

      Да, есть, как узнал — сразу сделал. Неудобство в полной зависимости от телефона, с другой стороны — уж лучше такая зависимость, чем пожертвовать безопасностью


      1. FDA
        26.09.2019 09:29
        +1

        Я лично использую Яндекс.Ключ для основного аккаунта в Яндекс.Коннект. Он очень важен, т.к. через настраивается вся почта организации. Но при этом каждый день в него не заходишь, поэтому лишняя морока с приложением на телефоне не страшна.


      1. tmin10
        26.09.2019 14:18
        +1

        И плюс одно приложение на телефоне персонально для Яндекса. Все TOTP коды (MS, Google) в одном приложеньке, а Яндекс — в своём...


        1. linux_id
          26.09.2019 17:49

          Достаточно установить только Яндекс.Ключ он TOTP для всех других сервисов поддерживает.


          1. Frankenstine
            26.09.2019 20:09
            +2

            Только вот я бы не стал доверять Яндексу TOTP других сервисов.


            1. linux_id
              26.09.2019 20:51

              Это оффлайн приложение.


              1. sumanai
                26.09.2019 22:03
                +1

                Которое прекрасно может сконнектится с любым другим приложением яндекса и слить ключи через них.


              1. Prototik
                27.09.2019 16:28
                +1

                Мамой клянусь оффлайн!


                1. linux_id
                  27.09.2019 22:24

                  Заведи себе отдельный смартфон без доступа к интернету и установи туда приложения для аутентификации.


                  1. sumanai
                    27.09.2019 22:38

                    Такое себе решение. Уж лучше аппаратный токен.


      1. DistortNeo
        26.09.2019 22:16
        +2

        Так в этом и смысл двухфакторности: человек должен пройти обе проверки.
        А нынешняя ситуация — это, наоборот, полуфакторность: достаточно пройти любую из проверок, чтобы получить доступ.


    1. Strate
      26.09.2019 23:01

      Вы пробовали восстановить доступ когда забыли пин код? Я пробовал — восстанавливается через смску. Так что это не панацея.


  1. eps
    26.09.2019 01:30
    +12

    Если для доступа к ящику достаточно номера телефона, это не двухфакторная, а старая добрая однофакторная аутентификация, причём единственный фактор не под вашим контролем.


    ОПа жалко, но пусть его пример напомнит ещё раз:


    • Не используйте сервисы, работающие через номер телефона (привет, Телеграм, Ватсап)
    • Не привязывайте номер телефона никуда, где он опционален
    • Не верьте байкам про «повышение уровня безопасности» при привязке номера. Вам обычно предлагают заменить фактор «знаю пароль» на фактор «могу получить SMS на общеизвестный номер»


    1. codecity
      26.09.2019 02:18

      Не используйте сервисы, работающие через номер телефона (привет, Телеграм, Ватсап)

      Просто изначально это сервисы не для бизнеса. Для обычного пользователя это ОК, т.к. геммора с забытыми паролями/контрольными вопросами больше нет. Почему бизнес подумал, что они им подходят — абсолютно не понятно.


      1. eps
        26.09.2019 02:31

        Почему бизнес подумал, что они им подходят — абсолютно не понятно.

        Потому что бизнес хочет быть там же, где обычные люди, и говорить с ними на их языке.


        Кто-то предоставляет специальные учётки для бизнеса (Facebook Messenger, iMessage), но, обычно, приходится регистрировать учётку на обычный телефон и всем его рекламировать


      1. Fuzzyjammer
        26.09.2019 15:16

        Для обычного пользователя это тоже не ОК, обычному пользователю не нравится, когда его держат за маразматика, который не в состоянии запомнить десяток символов пароля, обычному пользователю не нравится, когда он не может спокойно залогиниться с произвольного устройства и связаться с контактами, когда телефон не доступен (сел/утерян/роуминг не работает). Но почему-то такая схема вытеснила привычный логин по имени и паролю, даже телеграм, который рекламировался как «нормальный мессенджер, не чета вацапу и вайберу», последовал этому паттерну.


      1. uSasha
        26.09.2019 18:46

        Более того, раньше Телеграм регался и работал по вводу пароля, без привязки номера.
        Но потом они эту возможность убрали.


        1. Groosha
          27.09.2019 02:22

          Вы что-то путаете. Всегда номер телефона требовался, даже в 2013


    1. andreymal
      26.09.2019 02:18

      привет, Телеграм

      Ну справедливости ради в нём всё-таки сделали второй фактор в виде старого доброго пароля (что, впрочем, факта привязки номера телефона не отменяет)


      1. eps
        26.09.2019 02:24

        Этот пароль не сильно помогает — его можно сбросить по номеру телефона, с частичной потерей данных


        1. andreymal
          26.09.2019 02:26

          Ну не знаю, ткнул что забыл пароль — отправили код на почту.


          Правда, почта на mail.ru с привязанным номером телефона :D


          1. WhiteBlackGoose
            26.09.2019 07:11

            Опционально


        1. gecube
          26.09.2019 09:38

          Помогает. В том и дело, что Вы должны решить — либо данные настолько ценны, что Вы готовы их потерять в случае утери ключей доступа, либо наоборот.
          Меня лично кейс телеграма устраивает, т.к. я понимаю, что я могу купив новую симку получить ЧЕЙ-ТО номер и кто-то может получить один из моих бывших номеров. И я бы не хотел ни получать доступ к своей переписке, ни видеть чужую. Другой вопрос, что, да, люди, с которыми я контактировал могут удивиться, что под той же телеграм-учеткой другой человек, но это уже решаемый вопрос и в интернете никогда наверняка не знаешь, кто на другом конце.


          1. webkumo
            26.09.2019 15:01

            Вот за этот идиотизм я и крайне нелюблю эти модные чатилки. Не, ну реально, понадобилось мне по какой-то причине (переехал в другой город/страну/планету, просто решил сменить оператора… раньше-то перенести было нельзя) сменить номер… И что? Где мой аккаунт?! Почему мне надо специально нотифицировать свои контакты о смене аккаунта?!


            1. gecube
              26.09.2019 15:20

              Телеграм позволяет привязаться к юзернейму, а потом можете номер менять. Это сложно? Нет. Требует доп. действий? Да. Но так же и с любым сервисом, который требует привзяки к номеру — не пользуетесь номером уже — возьмите и поменяйте.


              1. Ashkelonium
                26.09.2019 22:20

                Причем там действий на 5 минут, я когда сдал рабочую симку уезжая из России перепривязал номер к новой личной (рабочий номер не захотел сохранять)


              1. webkumo
                26.09.2019 23:31
                +1

                А вы представляете, skype, icq и многие другие позволяли создать акк и везде им логиниться. И не надо ничего переносить. И на одном устройстве — хоть 10 аккаунтов имей (некоторые даже в один и тот же момент позволяли логиниться в несколько акков).


                Frankenstine представим на секундочку — потеряли телефон будучи в дргой стране, выхода нет, взяли новый телефон с временной местной симкой — в свой акк вы не войдёте в вайбере никак. В аське/скайпе — легко.


                1. gecube
                  27.09.2019 00:30

                  Это такой троллинг или я чего-то не понял? :-)


                  И, да, кстати, мелкософт легко может заблочить доступ, если решит, что Вы выходите с подозрительного места. Благо по почте можно подтвердить личность… Но почта тоже привязана к телефону
                  Замкнутый круг


                  А ещё — тот же телеграм научился с какого-то момента в мультиаккаунт ( в оф. клиенте можно синхронно несколько учёток использовать, а раньше решалось установкой нескольких клиент — например, телеграм + телеграм икс).


                  1. webkumo
                    27.09.2019 02:41
                    +1

                    И, да, кстати, мелкософт легко может заблочить доступ, если решит, что Вы выходите с подозрительного места. Благо по почте можно подтвердить личность… Но почта тоже привязана к телефону
                    Замкнутый круг

                    К счастью, я был активным пользователем скайпа до того, как он поднял 4хцветный флаг. Собственно на текущий момент ни одной адекватной замены тому явлению, которое собой являли аська и скайп 2005го года я не вижу. Ибо, собственно, аська и скайп тоже стали вровень по уровню неудобства с хипстотскими неудобными мессенджерами, насильно привязывающимися к номеру телефона.


                    Да, кстати, в те же времена можно было завести мессенджер вообще не имея телефона!


                    1. atbuhw
                      27.09.2019 15:28
                      +1

                      Собственно на текущий момент ни одной адекватной замены тому явлению, которое собой являли аська и скайп 2005го года я не вижу

                      jabber?


                      1. ivan386
                        27.09.2019 17:51
                        +1

                        Tox?


                      1. webkumo
                        27.09.2019 18:42

                        К сожалению все попытки перейти на него ещё до 10го года провалились. Снова пытаться желания не возникает.


                        ivan386 наверное стоит посмотреть… проблема в том, что аська и скайп — это реально "явления" — массовые, удобные. А кто токсом пользуется?


                        1. atbuhw
                          27.09.2019 18:46

                          До 10 года многие сидели на винде, открытость исходников и вопросы информационной безопасности были не так популярны. На мой взгляд, сейчас уж точно более хорошее время для повторения попытки, чем до 10 года.


                          1. sumanai
                            27.09.2019 22:39

                            До 10 года многие сидели на винде

                            Я вас удивлю, но псле 10-го тоже.


                          1. webkumo
                            28.09.2019 02:19

                            Ну был у меня в параллель поставлен линукс. Но низкая популярность и глюки ломали возможность нормально им пользоваться… лучший опыт с протоколом был на каком-то ру-почтовом домене, до того как они перекрыли общение с другими серверами. В общем с моей стороны для новых проб по-сути ничего не поменялось, а надежды на протокол и клиенты маловато...


                        1. ivan386
                          27.09.2019 19:39

                          Те кому не нужна привязка к почте или телефону. Ну и отсутствие центральной точки отказа.


                    1. khim
                      27.09.2019 20:29

                      В одну и ту же реку нельзя войти дважды…

                      Да, кстати, в те же времена можно было завести мессенджер вообще не имея телефона!
                      Тогда и в интеренет ходили не с мобильника (как сегодня в основном происходит) и людей, у которых был PC, но не было смартфона было достаточно.

                      Мир был другим — и мессенджеры были другими. Сегодня процент людей, имеющих PC, но не имеющих смартфона столь мал, что им можно пренебречь — отсюда и всё остальное…

                      А сегодня — мир поменялся. Разумеется вы не сможете найти замену явлению… потому что её и нет.


                      1. atbuhw
                        27.09.2019 21:06

                        Сегодня процент людей, имеющих PC, но не имеющих смартфона столь мал

                        Думаю, вы ошибаетесь. Среди сторонников СПО многие используют только телефоны типа «звонилка».


                        1. khim
                          27.09.2019 23:55

                          Среди сторонников СПО многие используют только телефоны типа «звонилка».
                          Вы имеете в виду Столлмана? Вы абсолютно правы, среди фанатов free software таких действительно много.

                          Сегодня процент людей, имеющих PC, но не имеющих смартфона столь мал
                          Думаю, вы ошибаетесь
                          В каком месте? Все вместе взятые сторонники free software — это столь ничтожный процент населения, что он неспособен ощутимо подвинуть статистику ни в какую сторону.

                          Вот сторонники OSS (Open Source Software), которые разрабатывают GCC, GLibc и кучу других проектов… дело другое — их много и их интересы учитывают. Но они пользуются смартфонами и Макбуками,
                          а не ноутами на открытом MIPSе.

                          Если бы было иначе, то вещи типа Librem 5 продавались бы сколько-нибудь осмысленными тиражами. А на деле — даже поделки от Yandex'а продаются бо?льшими тиражами. Притом, что они могут в принципе кому-то интересны только на территории России, а подобные недотелефоны — вроде как должны распространяться по всему миру.

                          Только не нужны они никому. Ну, в сколько-нибудь ощутимых объёмах. Время «фанатов СПО», увы, прошло. Как ни прискорбно это сознавать.


              1. Arris
                27.09.2019 00:53

                Не подскажете алгоритм действий?
                А то может я чего-то не понимаю в этом телеграме…


                1. redmanmale
                  27.09.2019 17:43

                  Settings -> Edit profile -> Change number


            1. Frankenstine
              26.09.2019 20:15
              +1

              Viber так же при смене симки говорит об обнаружении нового номера и предлагает прозрачно на него «съехать». Ваши контакты получат уведомление, что у вас сменился номер. Вам даже не нужно будет им звонить и объясняться или рассылать массово СМС «привет, это мой новый номер, запиши типа».


            1. darthslider
              26.09.2019 21:53

              В контексте разделения работа/личное меня очень парит, что в телеге нельзя просто(!!) создать второй аккаунт. Это прям пляски с бубном.


          1. mkll
            26.09.2019 20:45
            +1

            Если смена номера плановая, а не «аварийная», то любой из современных мессенджеров позволяет указать новый номер и выполнить миграцию на него.

            При этом как минимум тележка и вайбер еще и пропишут этот новый номер у всех ваших собеседников в этом мессенджере в контакты уже в самом телефоне (в телефонной книжке контактов т.е.).

            В некоторых случаях это, кстати, может быть минусом.


          1. ViTTyler
            26.09.2019 22:20

            А зачем сейчас покупать новый номер для личных нужд? Переход к другому оператору с сохранением номера работает вполне себе ок.


            1. gecube
              27.09.2019 00:31

              Есть нюансы. Начиная от того, что просто так переехать с номером из одного региона е оператору в другом регионе может не получиться (коллеги напоролись на это). Ну, и вообще смена номера стремная вещь, на самом деле.


    1. 0lom5zhdovdv
      26.09.2019 02:25

      Потому номер от критической почты должен быть неизвестным. В идеале контрактным :)


      1. eps
        26.09.2019 02:28
        +1

        Поэтому у критической почты не должно быть номера

        Fixed.


        Если серьёзно — Google, Yandex, и, конечно, провайдеры посерьёзнее вроде Protonmail разрешают не иметь телефона у почтового ящика. Yandex вам не даст настроить 2fa без этого (иронично), у остальных, кого я знаю, всё хорошо


        1. Eldhenn
          26.09.2019 02:58
          +1

          Яндекс?! Попробуйте завести почту на яндексе без телефона. Подождите недельку, и попробуйте зайти в неё ещё раз.


          1. edogs
            26.09.2019 04:24

            Видимо индивидуально. Яндекс завели без проблем без телефона и все работает. А вот гугл без телефона завести не удалось, пришлось вбивать, правда потом удалось отвязать.


            1. ValdikSS
              26.09.2019 05:48

              Скоро перестанет работать. При попытке входа пришлют сообщение, что вас пытаются взломать, поэтому, чтобы защитить ваш аккаунт, привяжите-ка ваш телефон.


              1. AlxDr
                26.09.2019 16:12
                +1

                У меня несколько таких есть и пока всё нормально. Видимо, выборочно проверяют или по мере активации каких-то сервисов.

                В формате «завёл почту, один раз на неё что-то активировал, записал пароль и закрыл» ящики держатся последние вот уж год как.


              1. DrEds
                26.09.2019 22:20

                Вот не факт. У меня есть куча старых аккаунтов, на которые я захожу раз в полгода и номера не требует.
                Проблемы возникают, если ты заходишь из другого места, либо аккаунт делал что-то подозрительное.


              1. Noiwex
                27.09.2019 20:10

                Да, причём даже если заходишь с того же айпишника — не признают. Выполняют план ФСБ?


            1. razielvamp
              26.09.2019 07:21

              На яндекс без проблем учетки без телефона заводил.
              А вот с гуглом, да, жопа. Блокируют учетку через пару дней без телефона. Если указать номер, а потом отвязать, то также блокируют учетку пока новый не введешь.
              Микрософт тоже учетку блокировали без номера. Но после двух недельных ругательств со службой поддержки, таки смог воссьановить учетку без номера.


              А что касается гугла, то есть небольшой лайфхак, если создать и использовать аккаунт на андроидфоне как основной, то его не блокируют.
              Через некоторое время использования, наверное, можно от девайса отвязать.


              1. eps
                26.09.2019 08:17

                В своё время имел привязанные к Гуглу, Яндексу и Фейсбуку мобильные номера. Давно отвязал их все и всё работает.


                Они знают, что у меня был телефон (и я не бот), но не используют их для аутентификации или восстановления пароля


                1. Frankenstine
                  26.09.2019 20:20

                  С другой стороны, если ваш акк как-то взломают, у вас не будет даже возможности попытаться вернуть контроль (конечно, если «всё серьёзно», вам и номер ваш отвяжут быстренько).


                  1. atbuhw
                    26.09.2019 20:59

                    если ваш акк как-то взломают

                    При условии надёжного пароля (уж для гугла можно непоскупиться и сгенерить и выучить уникальный и надёжный) и если гугл действительно вообще ни при каких обстоятельствах не пускает никак, кроме как по паролю, поверхность атаки значительно снижается по сравнению с sms, примерно так же, как с шифрованием диска по паролю. Если уж пароль выведали, то даже физический телефон украсть по сравнению с этим — не проблема.


                1. mkll
                  26.09.2019 20:54

                  У гугла важно наличие на аккаунтах TOTP 2FA. Если есть — учетки без телефонов живут спокойно и счастливо (тьфу-тьфу-тьфу).


                  1. atbuhw
                    26.09.2019 21:06
                    -1

                    Я правильно понимаю, что этот метод требует исполнения кучи закрытого гугловского и андроидовского кода при каждом входе?


                    1. mkll
                      26.09.2019 21:59

                      Это TOTP. Его спеки открыты, реализации доступны в исходниках.


                      1. atbuhw
                        26.09.2019 22:07

                        А как его использовать при входе в гугл? Я не нашёл, как это сделать в веб-версии гугла (может плохо искал, тогда прошу прощения) и как это сделать в thunderbird, поэтому мне показалось, что для этого нужно запускать приложение от гугла на андроидовском телефоне.


                        1. mkll
                          26.09.2019 22:36

                          Заходите в Google Account, потом слева выбираете Security, будет примерно так, как на скриншоте по ссылке:
                          https://drive.google.com/open?id=1UVsWfNV3mlOt68zdZy6lnZ1OELwKc02K

                          А дальше уже выбираете конкретный способ 2FA.
                          Возможно, среди предложенных вариантов не будет нужного, а только через телефон и USB-key — тогда, говорят, помогает привязать телефон, снова попробовать включить 2FA, уже через TOTP, а телефон можно отвязать.

                          В Thunderbird это зависит от того, как вы настраивали аккаунт — выбрали Google Mail из предложенных или вручную как сторонний сервис. Если первое, то там, по-идее, должен быть 2FA, но я не уверен, потому что не пробовал, а не пробовал, потому что мне не нравится отдавать на сторону полный доступ к аккаунту.

                          Правильней будет
                          а) Сгенерировать app password в аккаунте гугла.
                          б) Настроить Thunderbird на использование стороннего почтового сервиса, указав вручную хосты IMAP и SMTP, порты и т.д.
                          в) При этом в качестве пароля к аккаунту указать app password из п. а).

                          App Password не дает полного доступа к аккаунту, не действует в веб-версии, это только доступ к почте через POP3/IMAP/SMTP, а для почтовой программы больше ничего и не нужно.


                          1. atbuhw
                            26.09.2019 23:03

                            Ясно, спасибо:

                            говорят, помогает привязать телефон

                            а телефон можно отвязать

                            Это я точно добровольно делать не буду и никому не советую, потому что не могу быть уверен, что при каких-то якобы «чрезвычайных» обстоятельствах гугл не примет sms-код с этого номера в качестве пароля. Здесь в коментах уже писали, что иногда гугл присылает sms на якобы «отвязанный» номер:
                            habr.com/ru/post/468909/#comment_20673717
                            Хотя в том случае автор и не написал, что sms на этот номер достаточно для входа, но с учётом того, что он пишет, такой вход кажется куда более вероятным, чем ситуация, когда гугл не знает вообще никакого номера, атакующий не знает пароля, но гугл его пустит по коду из sms на произвольный телефонный номер.

                            как вы настраивали аккаунт

                            Лично я выбрал из предложенных, но это было очень давно, может быть TOTP ещё вообще не было, и кажется, Thunderbird тогда никакой 2FA не предлагал.

                            отдавать на сторону полный доступ к аккаунту

                            Вы имеете в виду «на сторону» — это «сообщить приложению thunderbird»?

                            Сгенерировать app password в аккаунте гугла

                            Для этого, я так понимаю, нужно сделать 2FA, а для этого всё равно «временно» сказать гуглу свой телефон.


                            1. mkll
                              26.09.2019 23:08

                              Попробуйте, может быть, можно добиться желаемого без указания телефона. У меня лет 10 были указаны телефоны в аккаунтах, лет 7 настроена 2FA, года 2 назад я убрал все телефоны, 2FA/TOTP осталось. Т.е. я уже банально не помню всех подробностей и последовательностей действий, но текущее состояние таково, что 2FA/TOTP есть, телефонов нет, и гугл не возмущается по этому поводу, хотя периодически и напоминает при входе, что, мол, телефона нет, чувак, ты уверен, что так и надо? Я отвечаю уверен и он какое-то время не беспокоит. Но я и веб-интерфейсом редко пользуюсь.


                1. sumanai
                  26.09.2019 22:07

                  но не используют их для аутентификации или восстановления пароля

                  Уверены?


                  1. eps
                    27.09.2019 09:31

                    Да, легко проверить:


                    Откройте страницу входа в приватном окне браузера, напишите свой email и ткните «забыл пароль». Посмотрите, какую информацию будут спрашивать. Отвечайте на всё «я не знаю», чтобы вам продолжали предлагать варианты.


                    1. atbuhw
                      27.09.2019 15:30

                      Это гарантирует безопасность, только если ответы на эти вопросы имеют такую же энтропию и секретность, как пароль. Иначе может оказаться, что при ответах на все вопросы «не знаю» вас пошлют, а если правильно ввести, скажем, настоящий год рождения, то попросят код из sms на «отвязанный» номер, а потом пустят.


              1. Ackbar
                26.09.2019 22:20

                А что если по imap попробовать получать почту без телефона, даст ли?


                1. atbuhw
                  26.09.2019 22:47

                  По imap гугл пускает ещё хуже, чем через веб-интерфейс. У меня бывали ситуации, когда в веб-интерфейс пускали без телефона (это до сих пор так, к счастью), а в imap нет, говорили «войдите через браузер».


                1. razielvamp
                  27.09.2019 07:31

                  У меня не было случаев когда на телефоне учетка использовалась, а через imap была заблокированна.


                  Кстати, у гугла по умолчанию в настройках конфиденциальности вход по smtp, pop3 (и, может быть, imap, точно не помню) отключен.


            1. astraleuro
              26.09.2019 07:31
              +1

              C google'ом есть лайфхак:
              Берете сброшенный на дефолт android-смвртфон (скорее всего проканает и с эмулятором) и при запросе google-аккаунта выбираете «создать новый», придумываете пароль и радуетесь гугл-почте без номера телефона.
              А из веб-версии да, обязыввает ввести номер телефона


              1. Vilgelm
                26.09.2019 08:20

                Можно и из веб версии, но нужен резидентский айпи с которого до этого не регали аккаунты. Тогда он не будет спрашивать номер.

                А вот «отвязка» на самом деле ничего не дает, даже если потом другой номер привязать, то при срабатывании антифрода потребует смску на номер который был указан при реге. Так легко аккаунт потерять.


                1. AlxDr
                  26.09.2019 16:13

                  Что такое «резидентский айпи»?


                  1. Vilgelm
                    26.09.2019 16:17

                    IP провайдера который предоставляет доступ в интернет конечным частным пользователям (например Ростелеком или Comcast). Бывают еще business (типа Энфорта), hosting (тут из названия понятно).


                    1. AlxDr
                      26.09.2019 16:31

                      Имеется в виду именно персональный выделенный адрес, чтоб вот прямо во whois были вписаны данные физлица?

                      У меня, например, айпи выделенный, но по whois там данные провайдера и всё.


                      1. Vilgelm
                        26.09.2019 16:34

                        Нет, просто чтобы во whois было написано что это Ростелеком, а не ВДС.ру


              1. upviqq
                26.09.2019 08:24

                Это как повезёт, не универсальный вариант. Если с одного ip много регистраций, то и на смартфоне спрашивает телефон. Я так знакомым иногда смартфоны сбрасывал или настраивал новые и теперь с моего домашнего статичного ip без телефона не зарегистрируешься в гугле. Даже с тора иногда прокатывает, а я теперь в чёрном списке.


                1. gecube
                  26.09.2019 09:39

                  Учитывая, что у Вас провайдерский адрес, а не Вы сами себе купили IP-адрес, то ничего не меняется — какой-то клиент до Вас мог этот адрес заблочить (еще до того, как Вы получили статик)…
                  Ну, и давайте будем честными — статик — это означает, что у Вас адрес всегда при выходе в интернет один и тот же (против динамически изменяемого). Совершенно необязательно, что он не делится с кем-то еще (конечно, если в договоре с провайдером не указано иное)


                  1. upviqq
                    26.09.2019 09:55

                    Нет, у меня выделенный личный адрес и до того, как я стал часто регистрировать аккаунты, телефон не спрашивали.


                1. goldrobot
                  26.09.2019 14:21

                  Пытался зарегистрировать брату планшетик свежо купленный, с дуру вбил его реальный возраст, из-за которого гуголь решил создать обрубочный аккаунт (детский) с просьбой ввести почту мамы-папы. Откат и изменение возраста и прочее такое не помогало, ну никак, гугл писал «введите реальный возраст», или что-то около того.
                  Интернет был через вайфай, с белым ИПом. В итоге я даже через ПК несмог зарегистрировать, пока через впнку не попробовал.

                  Чего они этим добиваются?


                  1. khim
                    26.09.2019 15:16

                    Чего они этим добиваются?
                    Возможности не смотреть на небо в клеточку? За нарушения COPPA можно получить весьма немало.

                    Причём сам закон диктует вот это вот всё: он требует «защиты детей» — но при этом такой, чтобы ребёнок не смог догадаться, что его «защищают» и обойти её, просто обманув и сказав, что ему 90 лет.

                    Учитывая что вам эту защиту потребовалось обходить аж с помощью VPN (будем считать, что ребёнок, умеющий в VPN уже достаточно взрослый, чтобы порно смотреть)… цель вроде достигнута…


                  1. algotrader2013
                    26.09.2019 15:48

                    del, пока писал, khim написал лучше и развернутей


                  1. atbuhw
                    26.09.2019 21:07

                    Не понял? То есть если с ip заергистрировался ребенок, то взрослый себе другой аккаунт завести уже не сможет?


                    1. khim
                      26.09.2019 21:25

                      С того же устройства — нет. Хотя, может, если вайпнуть…


                      1. atbuhw
                        26.09.2019 21:28

                        Вот мне тоже кажется, что если устройство свежекупленное и при первоначальной настройке что-то пошло не так, то возврат к заводским установкам — первая очевидная мысль. Особенно если (я правильно понимаю, что это так?) в гугле в итоге не «детский» аккаунт проапгрейдили, а завели абсолютно новый. То есть вы не пробовали вайпать?


        1. A114n
          26.09.2019 11:08

          Я не понял, к чему относилась ирония, ко всему предложению?
          Ни гугл ни яндекс не разрешают завести почту без номера телефона. Может быть это можно обойти какими-то хитростями, но как обычный пользователь я просто вижу перед собой окошко с требованием ввода номера телефона и не могу с ним ничего сделать — ни закрыть, ни отложить на бесконечность.


          1. simpleadmin
            26.09.2019 11:12

            Регулярно использую яндекс для одноразовых ящиков —
            s.nord.by/s/m/2019-09-26_11-10-30_98ae3510-f4c9-4dec-a674-1a2085de2d081622.png


            1. A114n
              26.09.2019 11:18

              А вы всегда с одного и того же IP заходите?


              1. simpleadmin
                26.09.2019 11:22

                И так и так. Когда надо было 50 учёток в один день делал их через прокси.
                Когда нужна одна делаю со своего статического. В среднем раз в месяц завожу новую со своего ip.


                1. A114n
                  26.09.2019 11:35

                  Я помню я попытался удалить телефон с номера, и всё сработало, но когда я зашёл через VPN мне просто не дали зайти пока я опять не ввёл номер телефона и смс, тупо не мог открыть почту и всё.

                  Может быть что-то изменилось? Попробую при случае.


            1. OrangeCrusty
              26.09.2019 15:47

              используйте 10minutemail, это проще


              1. simpleadmin
                26.09.2019 15:53

                Отнюдь.
                10minutemail, cock.li и т.д. не принимают многие сервисы, например github.
                Плюс одна регистрация в yandex даёт сразу 6 алисов — ru|ua|by|kz|uz|com (возможно ещё narod.ru), которые воспринимаются сторонними сервисами как отдельные e-mail.


                1. klirichek
                  27.09.2019 05:26

                  гугловый email тоже можно произвольно разбавить точками до собачки. Получается не один, а целое "облако" адресов, все сводятся к адресу без точек.


                  1. simpleadmin
                    27.09.2019 07:40

                    Такое github принимает, но банит в течении первых 5000 запросов.
                    Как и варианты с "+".


          1. eps
            26.09.2019 11:16

            Всё серьёзно, только Яндекс требует ослабить защиту вместо усиления с TOTP.


            У меня 3 яндекс-учётки и 1 google, телефон не доступен как способ восстановления ни в одной из них.


            • К Google был привязан номер телефона (потому что Андроид). Успешно отвязался. 2FA через TOTP или резервные пароли, для восстановления номер телефона не предлагают
            • Яндексовые, вероятно, тоже с номерами были. К одной привязан прямо сейчас (потому что Яндекс-такси), но для восстановления недоступен — доступен только резервный email или «заполните анкету с персональными данными и мы поговорим». 2FA через TOTP не дают включить, требуют разрешить аутентификацию по номеру телефона


            1. khim
              26.09.2019 13:47
              +1

              Если данные действительно серьёзные надёжнее озаботится и купить ключик.

              Поскольку он, в отличие от телефона, клонируется пользователем, а не ОпСоСом, то шансы на то, что его «угонят» крайне малы.

              P.S. Строго говоря U2F в принципе не клонируется, но имея один — можно привязать и другой к тому же аккаунту, достаточно дома (ну или в другом «надёжном месте») заныкать бумажку с кодами.


            1. sumanai
              27.09.2019 18:19

              Всё серьёзно, только Яндекс требует ослабить защиту вместо усиления с TOTP.

              Не только, ещё mailru.


    1. M_AJ
      26.09.2019 05:12

      В WhatApp можно дополнительно установить ПИН.


    1. LAutour
      26.09.2019 09:51
      +1

      Не используйте сервисы, работающие через номер телефона (привет, Телеграм, Ватсап)

      Благодаря нашим «законотворцам» это все сложнее делать.


    1. Archon
      26.09.2019 10:08

      Не верьте байкам про «повышение уровня безопасности» при привязке номера. Вам обычно предлагают заменить фактор «знаю пароль» на фактор «могу получить SMS на общеизвестный номер»

      Проблема начнётся тогда, когда сервис сойдёт с ума и решит, что ваш фактор «знаю пароль» недостаточен, чтобы войти.

      Например, яндекс однажды просто взял и заблочил мою учётку за «подозрительную активность». Ничего, кроме пароля, там не стояло. Потребовался не один месяц, чтобы доказать, что я не верблюд, и восстановить аккаунт.

      А эпл недавно молча включил обязательную проверку второго фактора при входе в некоторые их сервисы. Если же второго фактора нет, то попросят ответы на два контрольных вопроса, которые вы задавали лет так 10 назад. Ошиблись несколько раз подряд (хотя бы на один из двух) — добро пожаловать в блокировку. Восстановить контрольные вопросы, не имея привязанного второго фактора, нельзя, можно только выкинуть аккаунт и завести новый.

      Поэтому лично я считаю, что номер по возможности должен быть привязан, но он не должен совпадать с общеизвестным вашим номером.


      1. Barbaresk
        26.09.2019 16:22

        Тут возникает другая проблема. Если номером не пользуются, то он очень быстро протухает и уходит от вас. А если им пользются для личных разговоров, то все равно узнают при целевой атаке.


        1. vikarti
          26.09.2019 17:41

          Если вы за этот номер готовы платить и в принципе не против показать свои документы — не обязательно.
          Пример — берем Zadarma.ru и регистрируем и себе номера. Сотовые — обычно 120 рублей в месяц, за номер (если России/США),. И хоть обпринимайтесь SMS (будут валится в их приложение/на почту/FB Messenger/Telegram).
          Из недостатков:
          — скан паспорта и остальное — придется им загрузить (вообще это сервис IP-телефонии а не).
          — с Российских номеров отправлять (если оно вам надо) СМС — нельзя вообще в принципе.
          — с MNP насколько я понимаю — оно не совместимо никак.


          1. atbuhw
            26.09.2019 17:53

            Это очень дорого по сравнению с отправкой одной sms-ки себе раз в месяц с обычного номера, тогда не протухнет.

            Другой вопрос в том, насколько это безопасно, как в случае zadarma, так и в случае обычных операторов (насколько сложно узнать такой номер, особенно если он используется при регистрации во многих местах, и потом провести стандартную атаку), и можно ли найти сервисы, НЕ ставящие клиентов перед выбором «или создавай уязвимость (говори телефон) или ожидай рандомного отказа в обслуживании и потери данных».


            1. wlr398
              26.09.2019 18:59

              отправкой одной sms-ки себе раз в месяц

              Раз в 3 месяца достаточно. В большинстве случаев номер не отберут гораздо дольше. У меня чёрный оператор забрал специально оставленный протухать номер только спустя полтора года. Даже оставленные копейки начали списывать гораздо позже 3 месяцев. Где-то через полгода, если правильно помню.


            1. Archon
              27.09.2019 13:20

              Это очень дорого по сравнению с отправкой одной sms-ки себе раз в месяц с обычного номера, тогда не протухнет.

              Отправка периодической смски — это дёшево, но очень неудобно и сравнительно опасно. На каждую такую симку надо иметь отдельную звонилку, периодически вывозить звонилку «проветриться» (и отправить СМС) в место скопления людей, и т. д.

              Почти у каждого оператора можно подключить какую-нибудь дешёвую ежемесячную услугу/абонплату, которая засчитается за активность номера. Цена вопроса обычно в районе 20 рублей в месяц. После этого симку можно положить в ящик и не беспокоиться вообще ни о чём.

              Тут скорее вопрос в том, кому и как сильно надо взломать именно вас. Если речь об обычных жуликах с липовыми доверенностями, то достаточно просто нигде не палить номер и регистрировать его не на себя. Даже простым перемешиванием номеров в пределах одной семьи уже можно отсечь массу горе-злоумышленников.


              1. atbuhw
                27.09.2019 15:20

                периодически вывозить звонилку «проветриться» (и отправить СМС) в место скопления людей

                Это нужно, только если стоит задача обеспечения полной анонимности. Но тогда zadarma, где требуется скан паспорта (да и платить потом, вероятно, не биткойнами, и не через терминалы оплаты сотовой связи, а даже если и через терминалы — это такое же неудобство, как проветривание симки) — явно бесполезная опция.

                Я скорее комментировал предыдущие комментарии в этой ветке, где полная анонимность вроде не предполагалась, а фактически предлагалось использовать номер телефона как пароль (ещё один или единственный, в зависимости от сервиса), со всеми недостатками такого «пароля».


                1. Archon
                  27.09.2019 15:24

                  Будем отталкиваться от того, что всё, что знает ваш сотовый оператор о вас, посмотрит любая Маринка в любом салоне связи под Новокузнецком. Максимум, что этой Маринке в итоге светит за массовый перевыпуск карт — увольнение с офигенской зарплаты в 7 тысяч рублей.

                  Т.е. чтобы хоть как-то усложнить Маринке жизнь, сим-карта для восстановления пароля должна быть по самому минимуму оформлена не на вас, и никогда не светиться с вашего IMEI. Остальное опционально и зависит от уровня параноидальности, да.


                  1. atbuhw
                    27.09.2019 15:32

                    Казалось бы, если Маринка работает в компании zadarma, она может сделать то же самое.


                    1. Archon
                      27.09.2019 15:42

                      Конечно. Я и не призываю ей пользоваться, даже наоборот, обеими руками за левые симки с подключением какой-нибудь дешёвой опции, делающей их несгораемыми.


                      1. atbuhw
                        27.09.2019 15:48

                        С этим согласен. Хотя на мой взгляд, лучше искать и использовать безтелефонные сервисы, их пока ещё можно найти.

                        А ещё вместо опции есть вариант мегафон-мльтифона, с которого можно звонить через voip каждый месяц (и пропускать эти звонки через vpn, tor и всё, что пожелает фантазия). Примерно тот же уровень безопасности.


            1. vikarti
              28.09.2019 06:52

              «Стандартную атаку» = «прийти в центр обслуживания и мальчика который работает за 20 тысяч в месяц попросить перевыпустить карту»? С Zadarma и аналогами — не пройдет фокус.
              Если речь про дыру с «роумингом» в SS7 — тут все же немного повыше уровень атаки.
              Если про дыру что товарищи в штатском вежливо попросят копию СМС… отправка СМС на e-mail у Zadarma — штатный функционал вообще то и документы они — просят. От такой атаки — не защитят. И да, оплаты биткоинами нету.

              Если же товарищи в штатском — угроза и выбран вариант использовать дешевую левую симку тогда надо эту симку не ставить в телефоны где была «родная» и не включать этот телефон вне мест скопления людей (куда идти с выключенным/в авиарежиме своим телефоном) — соответствие данных симки и IMEI спалите.

              Вопрос именно в том, от кого именно мы защищаемся? И сколько готовы потратить.


      1. claygod
        26.09.2019 16:30

        Если вторая симка от оператора другой страны, возможно это будет полезно.


        1. atbuhw
          26.09.2019 16:40

          Не очень, поскольку есть уязвимость SS7. Коротко: российский оператор может сказать оператору, выпустившему симку «симка роумится у меня» (уязвимость в том, что оператор, выпустивший симку, не может это проверить), а потом за взятку или по приказу компетентных органов форвардить все sms атакующему.

          Вообще говоря, это может сделать любой оператор, но тому, у которого реально роумится ваша симка, даже врать не надо, говоря «симка роумится у меня».


          1. claygod
            26.09.2019 16:55

            Интересно. Но как я понимаю, это технически посложнее и требует большей подкованности в вопросе, чем та, что профигурировала в истории автора.


            1. atbuhw
              26.09.2019 17:04

              Технически, если симка реально роумится, не знаю. Вопрос в том, насколько «близко» у операторов лежат таблицы «sms отправленные на данный роуминговый номер» (для чтения) и «физические sim-карты, соответствующие собственным номерам» (для записи). Но это правда, что легитимный перевыпуск сим-карт происходит постоянно, а ситуацию «настоящий абонент просит у роумингового (!) оператора копию полученных sms» представить себе сложнее.


    1. catharsis
      26.09.2019 21:17

      В телеграме есть 2FA


    1. xenolog
      27.09.2019 18:30

      ОПа жалко, но пусть его пример напомнит ещё раз:
      Не используйте сервисы, работающие через номер телефона (привет, Телеграм, Ватсап)


      В Телеграме, кажется, чутка хитрее.
      Если есть активные сессии, то придет не CMCка, а уведомление в телеграм от сервисного аккаунта.


      1. sumanai
        27.09.2019 18:34

        Мало кто держит активные сессии ночью.


  1. Berks
    26.09.2019 03:34

    Мэйлру буквально на днях обновил интерфейс почты. Теперь на входе предлагает ввести пароль или войти по смс. И это действительно нифига не двухфакторная.


    1. prizzrak
      26.09.2019 10:56

      Ахах. Это еще что. Вот у кого «двухфакторная авторизация», так это у letyshops.
      Был зареган аккаунт, привязан телефонный номер для подтверждения вывода средств. Прошлым летом летели с женой на самолете и, на пересадке в аэропорту, на почту свалилось письмо, что оформлена заявка на вывод средств на яндекс-кошелек. Я, будучи вполне уверенным, что находясь даже без доступа к СМС (роуминг не подключал) никаких заявок не подавал — сразу написал письмо в ТП, что происходит грабеж среди бела дня и успокоился. Когда в следующий раз добрался до интернета опять — деньги были уже выведены и ТП написала, что все порядке и ничем помочь не могут. В процессе общения с оной выяснилось, что их «двухфакторная авторизация» заключалась в том, что для подтверждения вывода средств нужно было просто ввести ПОЛНЫЙ привязанный номер в строку подтверждения и ВСЁ! Даже никаких кодов через СМС они не посылали.
      Денег так и не вернули (было больше ста баксов кэшбэка) и это была последняя моя встреча с letyshops.


      1. vladkorotnev
        27.09.2019 08:30
        +1

        Ну так, если всем по правде по сто баксов раздавать, то и правда разориться можно, а так в базе пометил выданными и готово :-)


  1. hssergey
    26.09.2019 04:11

    А у опсосов было же, что при замене симкарты СМС блокируются на сутки. Как раз для избежания таких ситуаций. Или там двухфакторная аутентификация по звонку?


    1. aik
      26.09.2019 05:16

      Банковские смс.


      1. onix74
        26.09.2019 07:28

        Мне при смене сим-карты и такие не приходили.


      1. Vilgelm
        26.09.2019 08:24

        И не у всех опсосов.


      1. mkll
        26.09.2019 21:09

        У Мегафона — все SMS.


  1. romicohen
    26.09.2019 04:43

    Заявления в полицию, в ФСБ (отдел «К»), в Роскомнадзор (дада, пусть хоть раз что-то полезное сделают).
    Настаивать на том что дело срочное.
    Копии заявлений следует прикрепить к письмам в МТС, Рег.ру и исходному регистратору домена. Пусть блокируют возможность изменения записей в dns до решения суда.
    Думаю всё решаемо. Главное действовать быстро.
    Удачи!


    1. lamer84
      26.09.2019 11:24

      Хаха. Знаете, что Роскомнадзор сделает? Направит через месяц запрос в МТС. Отгадайте, что на этот запрос ответит МТС? Подсказка: они себе не враги.


      1. msatersam11
        26.09.2019 15:20

        Периодически что-то подобное с народом происходит…
        Периодически мошенников за ж.пу таки ловят.
        Вообще, всегда забавляла такая позиция: «все плохо, а потому, жаловаться никуда и что-либо делать я, разумеется, не буду — только поною и пообвиняю всех вокруг… даже тех, кто не при делах»


        1. lamer84
          26.09.2019 18:30

          Вообще, всегда забавляла такая позиция: «все плохо, а потому, жаловаться никуда и что-либо делать я, разумеется, не буду — только поною и пообвиняю всех вокруг… даже тех, кто не при делах»
          Не, я не говорю, что жаловаться не надо. Я описал конкретную реакцию РКН на действия с паспортными данными (по идее же перевыпуск сим-карты должен по паспорту производиться) из личного опыта. Собственно, просто пришлась к слову.


      1. MikhailZakharov
        26.09.2019 15:42

        Как сказать. Я когда возвращал деньги за подключенные платные услуги, то воспользовался Роскомнадзором как рычагом. С МТС звонили и просили отозвать обращение. Так что в моем случае это работало.


        1. lamer84
          26.09.2019 18:31

          С возвратом денег, видимо, прокатывает, я слышал не одну историю про то, как просят забрать обращение. И это хорошо, хоть как-то работает.


        1. and7ey
          27.09.2019 20:16

          Уже не работает. Роскомнадзор теперь отвечает, что мы тут не причём — идите в суд.


    1. cri0gen
      26.09.2019 22:21
      +1

      Отдел К к ФСБ не имеет никакого отношения и заявления напрямую не принимает. В отдел К запрос может послать следователь полиции (если у него будет желание и настроение) и только после этого они будут что-то делать. Ну а Роскомнадзор тут совсем не при чем.


  1. ivlis
    26.09.2019 05:30

    Автора очень жаль, но это всем напоминание что смс не является надежным каналом для второго фактора. Только приложение типа Google Authenticator, USB ключ или смарткарта. Это все стоит очень дёшево и позволить себе может даже простой человек, не то что бизнес.


    https://techbeacon.com/security/state-two-factor-authentication-text-what-security-pros-need-know


    1. Vilgelm
      26.09.2019 08:25

      А вы не знаете случайно как теперь включить двухфакторную по OTP в Gmail, если она не была включена до этого? Недавно попробовал для нового аккаунта, а там просто нет такой опции, вообще. Есть смс и «разрешать вход на телефоне».


      1. bacminuscab
        26.09.2019 09:15

        OTP в Gmail как отдельный способ защиты теперь недоступен (если ранее не был включен). Где-то год уже как.
        Кто-то пишет, что OTP как опция появляется при привязке телефонного номера, — для возможности восстановления OTP, но это совсем не тот уровень защиты по OTP, что был у Google раньше.


        1. Vilgelm
          26.09.2019 09:17

          Интересно можно ли привязать номер, включить OTP и потом отвязать его?
          И нафига они вообще так сделали?


          1. bacminuscab
            26.09.2019 09:54

            Видимо, далеко не все заботятся о сохранении OTP где-то еще помимо основного устройства, тогда при пропаже основного телефона доступ к аккаунту потерян.
            Сейчас попробовал, вполне рабочий вариант — выбор для второго фактора уведомления на устройстве (он идет в комплекте с 10 резервными кодами), после этого становится доступно добавление OTP.


      1. DaemonGloom
        26.09.2019 09:19

        support.google.com/accounts/answer/185839?co=GENIE.Platform%3DAndroid&hl=ru
        Пройти по всем шагам из инструкции — самое простое. Где-то месяца два назад делал — всё успешно было. Правда у меня номер привязан.


    1. NetBUG
      26.09.2019 09:18

      SMS вообще не является безопасным каналом связи.
      Можно только догадываться, почему каждая собака норовит его спросить при регистрации.


      1. eps
        26.09.2019 10:14

        Им удобно, что к каждому пользователю привязан номер паспорта и все проверки клиента уже провели спец. организации.


        Попробуйте зарегистрировать что-нибудь на международный номер телефона, вроде iNum. Вам не дадут; у сервисов есть ограниченный список стран, номера которых принимаются.


        1. NetBUG
          26.09.2019 10:34

          Собственно, я такими сервисами и не пользуюсь в итоге.
          У меня есть два отличных номера, которые я иногда использую для регистрации, один эстонский, второй гонконгский; если сервис почему-то не готов их принять — вероятно, он не нужен.


      1. atbuhw
        26.09.2019 16:19

        Можно только догадываться, почему каждая собака норовит его спросить при регистрации.

        Полагаю, что чтобы затруднить доступ анонимным оппозиционерам. А на безопасность пользователей им иногда более-менее плевать (тогда они разрешают сброс пароля через sms), а иногда всё же нет (и тогда они всё же требуют обычный пароль).


    1. BackDoorMan
      26.09.2019 10:34
      +3

      Тут есть ещё момент, что при внезапном окирпичивании телефона про доступы привязанные к G.Authenticator можно забыть.


      1. Prototik
        26.09.2019 11:06

        OTP секреты можно бекапить. Лично мои лежат зашифрованные gpg в git репе (-ах).


      1. Mogwaika
        26.09.2019 11:08

        А как его вообще переносить на другую мобилку?


        1. ovalenko
          26.09.2019 19:20

          Использовать менеджер паролей, они уже многие генерируют OTP.
          Бесплатный офлайн менеджер Enpass, базу между устройствами синхронизируете через любое облако Google Drive, Dropbox и др.
          Папку синхронизации делаете с офлайн доступом.
          Таким образом актуальная зашифрованная база паролей с кодами будет всегда на

          • Облаке (онлайн)
          • Компьютере (офлайн)
          • Телефоне (офлайн)
          • В корзине облака (если удалится)


          1. sumanai
            26.09.2019 22:15
            +1

            Бесплатный офлайн менеджер Enpass

            В первый раз слышу. И я не вижу ссылки на исходные коды.
            Использую KeePass с плагином KeeOTP и бед не знаю.


            1. linux_id
              26.09.2019 22:52

              Держать пароли и плагин для генерации одноразовых кодов на одном устройстве и к тому же в одной программе — глупее не придумаешь.


              1. atbuhw
                26.09.2019 23:06

                Это уж точно не менее надёжно, чем использовать только пароль. А иногда и более — больше шансов, что борцы с анонимностью в гугле или в других сервисах не будут уж слишком борзеть и требовать «повышения безопасности», когда авторизация и так двухфакторная с их точки зрения.


              1. sumanai
                27.09.2019 18:26

                Согласен, это не двухфакторная авторизация, просто дополнительная защита от перехвата пароля.


      1. Volodar
        26.09.2019 11:22

        При включении Google Authenticator выдается набор разовых кодов, как раз на подобный случай. Хранить их в отдельном от телефона месте и при потери телефона возможно будет войти в аккаунт.


      1. Eugney
        26.09.2019 12:51
        +1

        Храните токены в хранилке паролей, в случае необходимости есть, например, WinAuth.


      1. Psih
        26.09.2019 13:10
        +1

        Authy


      1. SaberRed
        26.09.2019 13:20
        +1

        Есть Aegis и andOTP, в них можно сделать зашифрованную резервную копию.


      1. A1054
        27.09.2019 21:58

        может, authy использовать?


    1. HunterXXI
      26.09.2019 10:41

      в статье ни слова про двухфакторку по смс. если что.


    1. AlxDr
      26.09.2019 16:27

      Насколько я понял из текста, второго фактора в данном случае не было в принципе.
      Двухфакторная аутентификация предполагает использование двух независимых друг от друга факторов. Если один можно восстановить через другой (пароль через смс, например), то 2FA в данном случае фактически отсутствует.


  1. Vilaine
    26.09.2019 07:27
    +2

    Государство уже чуть ли не сажает за нарушения работы с персональными данными, а тут номер увели, альфа и омега современной жизни. Не мог бы мобильный оператор понести крупную материальную ответственность за свою ошибку? Это было бы весьма выгодно всем гражданам.


    1. polar11beer
      26.09.2019 10:20

      На деле, эти данные регулярно утекают и гуляют в свободном доступе.


      1. Praksitel
        26.09.2019 14:04
        +1

        У меня недавно в ватсапе была переписка с неизвестным номером, следующего содержания (по памяти, Я и НеизвестныйНомер):
        (НН) — Привет! Можешь помочь с телефоном?
        (Я) — Привет! Как?
        (НН) — У меня не получается зарегистрироваться, поможешь?
        (Я) — Как?
        (НН) — Ну тебе сейчас придёт пин-код, а ты мне его скажи.

        Возможно, даже такое прокатывает.


        1. mkll
          26.09.2019 21:27
          +1

          Моей маме недавно пришло письмо от Apple, в котором было написано примерно следующее:

          «Дорогая Анна, вы зарегистрировали новую учетную запись Apple на ваш email <такой-то>, для подтверждения нажмите на ссылку внизу».

          Мою маму зовут иначе и она ничего не регистрировала, просто кто-то ошибся email'ом.

          Так вот — было очень трудно объяснить ей, что вообще происходит, что письмо не ей, и что нажимать на ссылку не надо. Если бы меня не было в зоне досягаемости, она бы нажала на ссылку, как пить дать.

          А еще я сталкивался с тем, что при регистрации на каком-нибудь сервисе через email/пароль люди не понимают сути происходящего. Вводят не только email, но и пароль от своего почтового ящика (!). Потому что думают, что эти реквизиты нужны сервису, чтобы иметь доступ к почте. Зачем — сказать не могут, потому что не понимают в «этих ваших интернетах» почти что ничего.

          Так что с такой интернет-грамотностью прокатить может вообще всё что угодно. В каком-то смысле это другая планета совсем. :)


          1. khim
            26.09.2019 21:59

            Вводят не только email, но и пароль от своего почтового ящика (!). Потому что думают, что эти реквизиты нужны сервису, чтобы иметь доступ к почте.
            Когда этого не понимает ваша мама — это ещё ладно. Но когда этого не понимают создатели Web-сайтов… то возникает ощущение, что это мы все тут на другой планете.

            Несколько лет назад я наблюдал как какой-то немец при мне покупал что-то. Так ему сторонний сайт попросил ввести имя и пароль от его аккаунта в Дойч-Банке! Которые тот, не моргнув глазом, ввёл! Ему пришла SMS'ка, он подтведил заказ, через пару дней товар пришёл…

            То есть Web-сайт просто заходил под его именем и паролем в банк и, как бы, нажимал там кнопки, чтобы отправить деньги. Причём это был не развод, а как, я понял — тогда считалось, что, типа, так и надо… Не знаю — сейчас у них это всё так же роботает или уже прикрыли лавочку…

            Сказать, что я ох#%$ел — значит ничего не сказать…

            А вы говорите — мама, которая ничего не смыслит в интернетах…


            1. mkll
              26.09.2019 22:21

              Друзья, живущие в Штатах, сообщают, что отправить скан кредитки факсом или продиктовать продавцу по телефону все реквизиты карты — обычная практика.

              Это обусловлено тем, что, во-первых, в целом обмана и кидалова гораздо меньше в обществе, а во-вторых, процедуры отзыва платежа или расследования мошенничества отлажены и работают без лишних телодвижений, поэтому люди знают, что они не потеряют свои деньги таким способом. Насколько мне известно, скажем, при card payment refund банк сначала отменяет платеж, возвращая деньги клиенту, а уже только потом начинает разбираться в обстоятельствах инцидента. Т.е. клиент крайним не бывает никогда или очень редко. У нас же клиент крайний всегда.

              Ну и само понятие «мошенничества» тоже иногда прям радует. Не слышали про некую австралийскую фирму, которая работала на рынке интим-товаров под неким брендом, в то же время название юрлица было крайне неприличным? Схема была следующей: у них покупали товар, оплачивали онлайн, они товар под какими-либо предлогами не отгружали, а предлагали вернуть деньги путем отсылки чека по почте. И реально присылали чеки на полную сумму, всё без обмана. Но на чеке было крупно написано стыдное и неприличное название фирмы-чекодателя. Расчет был на то, что люди постесняются нести этот чек в банк для обналичивания. Какая невинная шалость, но деятельность фирмы признали мошеннической — далее суд, Сибирь (вернее, Аутбэк).

              Когда этого не понимает ваша мама — это ещё ладно

              Да, но таких «мам» — половина Рунета, извините.


              1. khim
                26.09.2019 22:28

                Это обусловлено тем, что, во-первых, в целом обмана и кидалова гораздо меньше в обществе, а во-вторых, процедуры отзыва платежа или расследования мошенничества отлажены и работают без лишних телодвижений, поэтому люди знают, что они не потеряют свои деньги таким способом.
                Нет, не надо так глубоко копать, это вообще всё совсем не о том. Просто в США был один этап, который Россия пропустила напрочь (как пропустила и чеки, о которых вы пишите чуть ниже): заказ товаров по каталогу. Когда фирмы выпускали (обычно ежемесячно, иногда чаще, иногда реже) каталог всех товаров и рассылали его по почте (обычной, не электронной), а товары потом заказывались по телефону. Это ещё в 70-80е было.

                Ну и как вы в подобной системе обойдётесь без того, чтобы продиктовать реквизиты карты по телефону? Или, позже, без скана кредитки, отосланного факсом?

                А вот дать пароль от банка, чтобы от вашего лица в банк позвонили и что-то сделали… я не думаю что такое когда-либо было. Даже в Германии.

                Да, но таких «мам» — половина Рунета, извините.
                Это понятно, моё замечание было о другом: если даже вебмастера не понимают, что так делать не надо — то чего вы хотите от условных «мам»?


                1. mkll
                  26.09.2019 22:49

                  Нет, не надо так глубоко копать, это вообще всё совсем не о том. [...] Ну и как вы в подобной системе обойдётесь без того, чтобы продиктовать реквизиты карты по телефону?

                  Никак. Но если бы был большой процент кидалова, то эта тема вообще бы не взлетела. Или даже не началась бы, потому что люди думали бы «как? продиктовать реквизиты карты продавцу? он же украдет все мои деньги!»
                  Так что это именно о том. Именно на этой основе подобная схема могла появиться и появилась.


                  1. khim
                    26.09.2019 23:06

                    Или даже не началась бы, потому что люди думали бы «как? продиктовать реквизиты карты продавцу? он же украдет все мои деньги!»
                    Ну так началась она ещё раньше — в 30е, до войны. Тогда их выпускали продавцы и вопроса «а что он будет делать с моими данными» не возникало в приниципе: все эти данные у него и так были! Ну и дальше, потихоньку, когда эта система расширялась… банки же не подписывали договора с мелкими, никому не известными, компаниями… какой смысл компании стоимостью в несколько миллиардов воровать у вас тысячу долларов? Смешно.

                    В России этот этам тоже был пропущен, так что оношение к кредиткам и их номерам с самого начала было совсем другое…


                    1. mkll
                      26.09.2019 23:16

                      Да, отличий и факторов так много, что выделять в качестве главной причины что-то одно не имеет смысла.


                1. juray
                  26.09.2019 23:51
                  +1

                  Да ладно телефон, изначально процедура оплаты картой в обычных торговых точках представляло собой снятие копии — оттиска (слипа). Собственно, именно для этого надписи на картах рельефные. Считывание магнитной полосы внедрилось сильно позже, в 70-х — а эмбоссированные карты появились аж почти в начале века.


                1. TheGodfather
                  27.09.2019 19:32

                  А вот дать пароль от банка, чтобы от вашего лица в банк позвонили и что-то сделали… я не думаю что такое когда-либо было. Даже в Германии.


                  Было и есть, в 2019 году и именно в Германии зачастую при заказе в интернет-магазинах просят ввести банк и логин\пароль от *вашего интернет-банка*. И ничего, люди вводят.


                  1. khim
                    27.09.2019 20:32

                    Было и есть, в 2019 году и именно в Германии зачастую при заказе в интернет-магазинах просят ввести банк и логин\пароль от *вашего интернет-банка*. И ничего, люди вводят.
                    Да, но как до этого дошли? Диктовать номер кредитки — это понятно, американцы так делали задолго до появления интернета.

                    Но ведь в офлайновом мире логин/пароль никто не спрашивал и от вашего имени в банк не звонил… так почему этот подход прижился???


              1. RaFaeL-NN
                26.09.2019 23:07

                Ну и само понятие «мошенничества» тоже иногда прям радует. Не слышали про некую австралийскую фирму, которая работала на рынке интим-товаров под неким брендом, в то же время название юрлица было крайне неприличным? Схема была следующей: у них покупали товар, оплачивали онлайн, они товар под какими-либо предлогами не отгружали, а предлагали вернуть деньги путем отсылки чека по почте. И реально присылали чеки на полную сумму, всё без обмана. Но на чеке было крупно написано стыдное и неприличное название фирмы-чекодателя. Расчет был на то, что люди постесняются нести этот чек в банк для обналичивания.

                Так это ж из фильма «Карты, деньги, два ствола»
                www.youtube.com/watch?v=KIRGFBBpNNQ


                1. mkll
                  26.09.2019 23:22

                  Ха-ха, я не видел многих из известных фильмов, не знал. :)
                  А вот интересно, была ли вообще эта австралийская история в реальности? Я читал про нее давно, но уж точно не 20 лет назад (фильм вышел в 1998-м), так что автор мог и присочинить. С другой стороны, она могла послужить реальным прообразом для этого эпизода в фильме.


              1. begin_end
                28.09.2019 03:10

                Но на чеке было крупно написано стыдное и неприличное название фирмы-чекодателя.
                Неужто кто-то в реале все-таки реализовал эту идею из фильма? Если найдутся ссылки на новость, было бы интересно почитать подробности.


                1. mkll
                  28.09.2019 03:13

                  Да вот уже и не знаю. :))
                  (см. чуть выше)


      1. fin_all
        26.09.2019 22:22

        Звонили мне два дня подряд — в понедельник и вторник с одного и того же номера. Знали И.О.


    1. A114n
      26.09.2019 11:10

      Не мог бы.
      Это оператор кого надо оператор.


    1. rdc
      27.09.2019 15:18

      Мобильный оператор не занимается обеспечением безопасного доступа к учёткам в интернете. Он не брал на себя такую ответственность и не расписывался под ней в договоре. Ошибка совершена не им, а тем, кто придумал использовать SMS для этих целей.


      1. atbuhw
        27.09.2019 15:24

        На 100% не поручусь, но оператор скорее всего по закону обязан обеспечивать тайну связи. Так что им тоже совершена ошибка, если по закону. Другое дело, что понятно, что все они, и операторы, и яндекс, руководствуются не законами, а в первую очередь борьбой с анонимами, а во вторую очередь руководствуются взятками.


  1. user004
    26.09.2019 07:48

    Если симка выпускается по доверенности, то операторам следует сделать запрет на получение всех смс и звонков в течение часа, например. (Что может создать другие проблемы)
    Изменение этой настройки должно быть с большой задержкой и так же уведомлением.


    У некоторых операторов можно запретить действия (перевыпуск) по доверенности.
    По-хорошему оператор должен впаривать это так же, как и платные услуги.


    Есть еще варианты перевыпуска симки?


    1. Arty_Fact
      26.09.2019 09:27

      Не нужна доверенность, нужен свой человек в отделении.


    1. bacminuscab
      26.09.2019 10:27

      Уже обсуждались похожие темы, — запрет на час (и несколько часов) не особо поможет, если замена сим проводится утром на Дальнем Востоке, к примеру, а вы — к западу от Урала.
      Запрет замены по доверенности (если он действительно программно ограничивает замену сим в офисах, а не просто сохраняет это как галочку в системе) никак не защищает от недобросовестного сотрудника точки продаж, который скажет, что ему показали паспорт, — ответственности у оператора за такого сотрудника нет.


  1. Matsun Автор
    26.09.2019 07:55
    +2

    Спасибо за советы!

    Тем временем уже произошла смена DNS на нового владельца

    Name Server alan.ns.cloudflare.com
    Name Server sofia.ns.cloudflare.com

    Сегодня предстоит много работы, посмотрим что выйдет…


    1. scarab
      26.09.2019 15:17

      Повод написать ещё в поддержку CloudFlare о том, что с данным доменом производились мошеннические операции. С некоторой долей вероятности притормозит процессы и усложнит мошенникам жизнь.


  1. Desavian
    26.09.2019 07:58

    Хм, после перевыпуска сдохшей симки у мегафона целый день не приходили вообще никакие смски, даже отправленные с самого же телефона на него… в обратную сторону все работало и смски с этой симки посылались… имхо вполне достаточно для того, чтобы разобраться в ситуации и все вернуть как было… почему у МТС до сих пор не так — сложно сказать.

    з.ы. уточнял в отделении мегафона когда симку менял — включить смски раньше этого периода они из офиса никак не могут, ни за деньги ни при предъявлении любых документов (у меня и паспорт и договор, все было на руках)


  1. SlavniyTeo
    26.09.2019 08:18

    На тему долгого пути до службы поддержки оператора мобильной связи.


    Имеет смысл не звонить со своего телефона к оператору, а пойти на его сайт и написать ему в чатике. По моему опыту опечаток при пополнении счета, отвечают быстро и проблемы решают.


    Последний раз в чатике писал Мегафону, собеседник тест Тьюринга прошел успешно. Может быть, благодаря тому что проблема была очень типовая (пополнение счета на неверный номер).


    Лучший вариант: одновременно и звонить, и писать (если ПК под рукой).


  1. Aquahawk
    26.09.2019 08:21

    Много людей в моём посте про банки спрашивала, а что это я параною на тему привязки телефона к банку?


  1. Vilgelm
    26.09.2019 08:29

    Надо давно уже запомнить, что СМС ненадежны, привязка номера скорее снижает защиту, чем ее повышает, особенно если это российские номера. Если есть выбор между OTP и SMS следует выбирать OTP. Если приходится пользоваться именно СМС, то найдите где-нибудь сим карту AT&T, купите на ebay портативную AT&T соту, подключите ее дома и регайте все на этот номер, так хотя бы намного меньше шансов что симкарту перевыпустят или смс перехватят.


    1. screwer
      26.09.2019 10:17

      Чтобы когда сим карта сдохнет/потеряется/залочится лишиться сразу всего. Зато другим не досталось.


      1. Vilgelm
        26.09.2019 10:44

        Из двух зол выбирают меньшее, это явно меньшее зло.


        1. vladkorotnev
          27.09.2019 08:40

          Но если речь про AT&T Microcell — увы, их больше не выпускают. А получится ли привязать существующую для работы из России, так-то, интересный вопрос.


          1. Vilgelm
            27.09.2019 08:58

            Из России они напрямую не работали, но если на роутере поднять впн до США, то вполне работали. По крайней мере насколько я об этом слышал.


      1. aborouhin
        26.09.2019 15:02

        Вот недавно сам озадачился подобным вопросом — найти более надёжную (читай — не российскую) SIMку для 2FA.
        Пока основной вариант, который рассматриваю, — купить финскую симку Elisa (Saunalahti). Регистрируется на себя, можно через личный кабинет заказать перевыпуск с выдачей в салоне в Финляндии (а смотаться до туда из Мск в крайнем случае быстро и недорого), работает в РФ, есть тариф без абонплаты. Заодно как тревел-СИМку для инета в Европе можно использовать.


        1. catharsis
          26.09.2019 20:04

          она не требеут каждые три месяца что-нибудь делать, чтобы оставаться в живых?


          1. aborouhin
            26.09.2019 20:06

            Пишут, что минимум раз в год пополнять баланс надо только. Если её в путешествиях использовать — то так или иначе придётся. А если не использовать — ну, значит, минимальную сумму пополнения считаем годовой абоненткой за это счастье.


  1. NIKOSV
    26.09.2019 08:34

    Это не двухфакторная аутентификация, а СМС аутентификация.

    Правильная мультифакторная аутентификация включает в себя три вещи:
    1. То, что ты знаешь (пароль)
    2. То, чем ты физически владеешь (физический ключ, телефон)
    3. Твоя биометрика (опечаток пальца, сетчатка)

    Как это выглядит с помощью того же гугл аутентификатора или lastpass аутентификатора?
    1. Вводишь пароль
    2. На телефон приходит уведомление что пытаются залогиниться туда-то, разрешить?
    3. Разрешаешь и сканируешь свой палец

    Жаль что далеко не все сервисы и приложения поддерживают это. Я бы сказал единицы кто поддерживает.


    1. HunterXXI
      26.09.2019 10:42

      в статье ни слова про двухфакторку по смс! я тут один прочитал статью?


    1. MikhailZakharov
      26.09.2019 15:48

      У lastpass есть возможность получить СМС, даже если подключен аутентификар. Там под полем ввода кода есть ссылка типа «у меня нет приложения сейчас, отправьте СМС». Я им фича реквест создавал, с просьбой дать возможность отключать СМС при 2FA с помощью других устройств. За 2 года ничего не сделали, пришлось уйти с них. Может быть, конечно, сейчас уже реализовали.


  1. Dioxin
    26.09.2019 08:36

    2FA стало совсем мало.
    Больше FA, хороших и разных.
    И почту для бизнеса может лучше свою замутить? С опричниками и палачами.


  1. Sserge
    26.09.2019 08:36

    Я попросил свою знакомую перевыпустить мне сим-карту, сам был не в РФ а симку СВОЮ потерял. Мегафон.
    Послал копию паспорта и отдельно свою подпись, плюс форма с их сайта, она в фотошопе наложила, распечатала и сделала копию.
    Я ни помнил ни номер договора ни кодовое слово но в офисе все сделали. Хотя сначала не хотели но моя знакомая немного надавила на них.
    Это к тому что процесс реально не сложный если есть копия вашего паспорта или паспортные данные + фото.
    А на этой симке был доступ к банкам и в случае злого умысла, деньги бы увели…


  1. ajratr
    26.09.2019 08:36

    Такое ощущение что за вами охотились и вели подготовку для выполнения всех тех действий что вы написали.
    Перевыпустили симку. Тут же полезли в ящик почтовый. Что бы туда попасть надо знать адрес электронной почты и знать что этот номер привязан именно к этому адресу, либо вы включили номер телефона как логин. По умолчанию номер телефона как логин для доступа в почту не используется.
    Начали переносить домен.
    Слишком уж быстро события разворачиваются.

    Или я не прав и по номеру телефона в течении нескольких минут можно пробить всю информацию о человеке, владельцем каких доменов он является, к каким почтовым адресам и аккаунтам в соцсетях привязан номер и т.д.?


    1. Vilgelm
      26.09.2019 09:03

      по номеру телефона в течении нескольких минут можно пробить всю информацию о человеке

      Можно, но не за несколько минут. Если кто-то присмотрел именно этот домен, то дальше дело техники.


    1. wscms
      26.09.2019 09:56

      Сотрудник, например…


    1. lotse8
      26.09.2019 14:07

      Whois домена — там было все, пробивать ничего не надо.


  1. Wertugo
    26.09.2019 08:45

    Очень интересный пиар ход через IT Ресурсы. Неплохо.


    1. DDoSInsurance
      26.09.2019 09:20
      -1

      Статья habr.com/ru/post/465355 заложила новый жанр журналистики на хабре — пиар сайтов через истории о взломах.


      1. bodqhrohro
        26.09.2019 20:24

        Да и раньше такое было. Контора, кстати, пару лет назад таки внезапно сдохла — карма? (та, что индуистская, а не хабровская :))


  1. pumi
    26.09.2019 09:14

    Разве нету временного запрета на прием смс сразу после смены сим-карты?


    1. ipodman
      26.09.2019 22:22

      Только на банковские смс


  1. DarkWolf13
    26.09.2019 09:18

    телефон для сервисов и прочих аутотенфикаций лучше держать совсем отдельный чуть ли не в сейфе. а то простой телефон могут и на улице на добровольнопринудительной основе оформить без акта безвозмездной передачи третьи лицам если задача будет стоять очень серьезная…


    1. solver
      26.09.2019 10:50
      +1

      Лол. Вы статью вообще не читали?
      Ну будет лежать у вас, в сейфе, телефон с неработающей, давно перевыпущенной симкой… чем это вам поможет?


      1. wlr398
        26.09.2019 10:57

        Формально — неизвестный злоумышленникам номер. В отличии от всем известного основного.
        Но не гарантия абсолютно. Даже сотрудник колцентра, скорее всего, сможет сделать поиск по фамилии и найти все номера.


        1. nevzorofff
          26.09.2019 13:20
          +1

          Номер можно хранить оформленным на юр. лицо., там и симку перевыпустить чуть сложнее — с юр. лицами работают менее половины офисов, и доверенность нужна с печатью, и знать надо юрлицо на которое привязан номер, а там может оказаться этих номеров с десяток.
          Для себя уже думаю оформить отдельную симку, вставить в роутер модем с ней и отправлять на свой телефон все СМС через какой-нибудь телеграмм, pushbullet итп.


        1. solver
          26.09.2019 18:37

          Да не нужен никакой сотрудник кол цента.
          Как вы думаете работает схема? Кто-то увидел в интеренете человека и под него ищет данные?
          Нет.
          Мошенники покупают у сотрудников банков информацию о счетах с остатками. В этой инфе есть и прявязанные номера. И не только.
          Погуглите немного. И на хабре уже были статьи с такой инфой и в других источниках.
          Когда мошенник берется за раскрутку человека, у него есть вообще вся инфа него, вполоть до имеющейся недвижимости и транспортных средств.
          Имея такую полную информацию намного легче выполнять свои черные дела.

          Так что пока на фундаментальном уровне ничего не изменят, такие схемы будут работать…


          1. wlr398
            26.09.2019 19:06

            Мошенники покупают у сотрудников банков информацию о счетах с остатками.

            Такая схема скорее актуальна для наркодилеров.
            В данном случае, думаю, именно имелась атака на владельца популярного интернет ресурса.
            На запасном номере для смс банков какие могут быть остатки?


      1. DarkWolf13
        26.09.2019 20:08

        телефон с перевыпущенной симкой не лежит, потому что я слежу за тем что бы телефон считался условно используемым, но не светить его номер в социальных контактах… исключительно для авторизаций сервисов.


        1. atbuhw
          26.09.2019 20:50

          Фактически, при условии корумпированности сотрудников салонов (которую мы здесь наблюдаем), это превращает номер телефона в пароль (в лучшем случае, но явно не в случае яндекса — в ещё один пароль). Этот новый пароль может быть и не известен вашим знакомым, но (1) по определению хранится в открытом виде на серверах, (2) вероятно, используется в нескольких местах, и (3) кому-то кроме вас и серверов точно известен (тому же сотовому оператору, например).


  1. Tarakanator
    26.09.2019 09:18
    +1

    Не понял. А где 2-х факторная аутентификация?
    в заголовке угнан благодаря 2-х факторной аутентификации.
    В тексте благодаря угону телефона.
    Где сработала 2-х факторная аутентификация после угона я так и не понял.


    1. HelpOP
      26.09.2019 09:26
      +2

      Яндекс позиционирует привязку телефона как 2-х факторную аутентификация, а автор даёт пищу для размышления что фактически она однофакторная.


      1. Tarakanator
        26.09.2019 09:30

        Спасибо, теперь понял. Кстати в почте россии так-же.
        Заявление на упрошённое получение почты через 2-х факторную аутентификацию написал, а по факту выдают только по коду из СМС.
        Мне даже интересно стало, если посылка уйдёт налево, смогу я доказать что не получал, используя 2-х факторную аутентификацию, т.к. 2-го фактора в природе нет.


        1. HunterXXI
          26.09.2019 10:32
          -1

          смс блокируются на сутки после перевыпуска симки. автор не договаривает чего то.


        1. be1ay
          26.09.2019 11:38

          Ага, причем каждый раз спрашивают телефон и ты диктуешь, а вся очередь слушает. Это вообще жесть. Я спросил у вас же должен быть мой номер просто отправьте смс, нет диктуйте )


          1. pewpew
            26.09.2019 11:41

            Можно на бумажке написать. Я обычно так делаю — заранее распечатываю все данные.


          1. Greenoctopus
            26.09.2019 13:06
            +1

            У меня ни разу номер не спрашивали, говорил номер трека, они его вбивали и приходила смс. Может от отделения зависит?


            1. General_Failure
              26.09.2019 13:27
              +1

              По моим наблюдениям, зависит от наличия номера телефона на посылке и внимательности, настроение и может чего-то ещё у оператора.
              Одна и та же операторша, выдывая посылки, и сразу забивала номер с пакета, и просила чтоб я продиктовал, и спрашивала, мой ли номер на пакете :)


        1. General_Failure
          26.09.2019 12:29
          +1

          Последний раз ходил получать посылку — код пришёл пушом в приложение.


          1. qyix7z
            26.09.2019 12:58
            +1

            Мне и пуши в приложение приходят при получении, и смс.


          1. Tarakanator
            26.09.2019 13:15
            +1

            если приложение работает, то пушом, если нет-СМСкой. Принципиальной разницы нет. Всё равно 2-х факторной аутентификации нет.


      1. zxosa
        26.09.2019 11:34

        только сегодня сделал двуфакторную у яндекса, для этого скачивается приложение я.ключ, а в статье просто привязка к телефону.


    1. catharsis
      26.09.2019 20:09

      Четыре года назад поддержка Яндекса объясняла мне что это не баг, это фича
      habr.com/ru/post/297208/#comment_9579472


  1. Fuco
    26.09.2019 09:19

    Вы же остались администратором домена как фмзическое/юридическое лицо. Это не поможет вернуть его?


    1. alexxxst
      26.09.2019 12:34
      +1

      Вряд ли. Домены в зарубежных зонах меняют владельцев по одному клику без каких-то особых проверок. Вот в RU/РФ бы так просто не прокатило.


  1. serf
    26.09.2019 09:32

    Двухфакторная аутентификация это «пароль + еще что-то», то есть нужно знать и пароль и иметь доступ ко фторому фактору (через И, не ИЛИ). Если в вашем случае можно сбросить пароль просто имея доступ к телефонному номеру, то это мягко сказать гупость системы который в пользуетесь, а не двухфакторная аутентификация.

    PS К тому же использовать номер телефона как второй фактор не дальновидно, лучше уже TOTP токены или хардварные ключи.


  1. yamilov
    26.09.2019 09:39
    -1

    В очередной раз убеждаюсь и повторяю, Яндекс — уже не торт.
    В любом случае, искренне сочувствую Вам о произошедшем. Уверен, домен вы вернёте, вопрос во времени и потраченных нервах. Держите в курсе, пожалуйста (через updates к статье).
    Ну и в очередной раз, произошедшее показывает, что в России ничего нельзя регистрировать — не надёжно.


    1. Doctor5772
      27.09.2019 13:59

      в России ничего нельзя регистрировать — не надёжно.

      А по сему поводу неплохо напомнить про 9,5 правил ведения бизнеса в России тем, кто ещё не знает


  1. x67
    26.09.2019 09:43

    Настало время трехфакторной аутентификации! Смс+пароль+ssh ключ


  1. 13werwolf13
    26.09.2019 09:44
    +2

    Мой уровень юридической грамотности практически на нуле, но я уверен что можно подать в суд на яйца и яшу. На первых за то что позволили угнать симку, а на вторых за то что позволили узнать какую именно симку надо угонять. Пусть оплатят три года работы, стоимость нового домена и стоимость старого домена за три года, моральный ущерб и прочее.


    1. Crysdd
      26.09.2019 15:19

      Ага. В России.


  1. Alessandra
    26.09.2019 09:48
    +8

    Здравствуйте, Артём!

    Мы уже заблокировали домен для переноса. Насколько видим, в тикете вложены документ о регистрации СМИ и сертификат на владение доменом. Копии заявления и паспорта не приложены, а они понадобятся для дальнейшего расследования.

    Настоятельно рекомендуем как можно быстрее обратиться в правоохранительные органы, чтобы мы смогли помочь вам вернуть домен.

    Как только копия заявления будет у вас на руках, пожалуйста, отправьте необходимые документы в рамках созданного ранее тикета.


    1. blind_oracle
      26.09.2019 10:11

      Вот что Хабр животворящий делает! (с)


      1. Oxoron
        26.09.2019 11:13

        Matsun — взгляните на коммент выше.


      1. mk2
        26.09.2019 11:53
        -1

        Потратили свой один в сутки коммент сюда)


        1. dartraiden
          26.09.2019 15:59
          +2

          И молодцы.


    1. Sanctuary_s
      26.09.2019 13:32
      +1

      Рад, что принимаются меры, но, к сожалению, если бы не Хабр, то ничего не было. И так всегда. Без придания гласности такие гадости не будут решать в спешке.


      1. MaximChistov
        26.09.2019 14:55

        ну вообще-то он в кучу сми написал. так что не факт, что именно на хабре они это в первую очередь увидели


        1. khim
          26.09.2019 15:21

          Ну и правильно сделал, мне кажется. Да, было бы шоколадно, если бы такие вещи не требовали поднимать бучу в СМИ и всё разруливалось бы теми, кому положено это делать «в рабочем порядке»… но мы живём в неидеальном мире, так что если удастся вернуть домен хотя бы так — уже неплохо будет. Лучше перебдеть, чем недобдеть.


  1. Andrey_Rogovsky
    26.09.2019 10:06

    Привет, Артем!
    Надеюсь, ты не оставишь действия отсоса опсоса безнаказанными?
    У тебя доход с сайта официальный?
    Тогда составь досудебную претензию на покрытие упущенной прибыли и отправь ее им, лучше открытым письмом. Можно хабрапостом.
    Я давно не плюсую посты но вот для твоего бы сделал исключение.

    Нельзя спускать с рук такие дела.


    1. PurpleTentacle
      26.09.2019 10:47

      Есть мнение, что только угроза потери больших денег по суду может сподвигнуть опсосов ужесточить правила проверки в салонах. Это в их руках, они могут это поменять, если будет решение руководства. А сейчас их всё устраивает.


    1. trueMoRoZ
      26.09.2019 11:00

      а вот недавно нам законодатели вроде как коллективные иски подвезли. вот такую пирушку опрокинутых устроить бы. тогда любых сволочей построить можно.


  1. kryvichh
    26.09.2019 10:08

    Надеюсь, эта история будет доведена до финала. И я не имею ввиду возврат номера телефона и домена, а посадку преступника. Пусть хоть раз СОРМ и проч. многомиллилардные системы послужат во благо простого человека.


    1. Praksitel
      26.09.2019 14:10
      +1

      Так они же не для этого создавались, а, как раз, наоборот.


  1. nikweter
    26.09.2019 10:27

    Да что Яндекс! В одном хорошо известном зеленом банке таким образом 8 млн. руб. со счета увели. Точно также перевыпустили симку МТС, пришли в отделение с фальшивым заявлением по передаче аккаунта на другой токен, и через часа обнулили расчетный счет.
    Удивляет оперативность — когда сам что-то просишь сделать, то может неделя пройти. А тут за 4 часа все сделали.
    Два года прошло, полиция ничем помочь не смогла.


    1. bacminuscab
      26.09.2019 15:56
      +1

      Попробуйте с вашим юристом разобрать такое решение Верховного суда.
      Если вкратце — в этом деле удалось признать действия мошенников как не прекращающие обязательства банка перед клиентом, т.е. средства должны вернуться банком клиенту в полном объеме.


      1. khim
        26.09.2019 17:15

        Отличное решение, кстати. Тот факт, что

        Когда сам что-то просишь сделать, то может неделя пройти. А тут за 4 часа все сделали.
        обозначает, что либо служба безопасности работает отвратительно, либо там вообще были «свои люди» в банке. Деньги должны вернутся — а там, дальше, пусть банк что хочет, то и делает.

        В конце-концов вы деньги в банке держите ровно для того, чтобы не хранить пачки денег в сейфе и не содержать охрану, которая за этим сейфом будет присматривать…


        1. Barbaresk
          26.09.2019 19:17

          Есть подозрение, что там не просто «свои люди в банке», а сам банк таким иногда занимается. Как отдельная статья дохода. Просто есть еще куча историй с пропажи вещей из банковских ячеек и еще много чего.


    1. catharsis
      26.09.2019 20:13

      В отделение можно и с фальшивым паспортом прийти.
      Что такое передача аккаунта на другой токен?
      У вас есть хардварные ключи, и все равно зачем-то используются смс?


      1. nikweter
        27.09.2019 04:05

        Хардварные ключи используются для работе в интернет банке. По смс приходят уведомления об операциях. Вероятно, смс коды также приходят для подверждения каких-то действий, вроде смены токена.


        1. atbuhw
          27.09.2019 15:25

          А как этого защищает от хакера с полностью левым хардварным ключом, который перевыпустил симку на имя жертвы?


  1. HunterXXI
    26.09.2019 10:30
    -5

    Автор чего то не договаривает… В статье не слова о том как была организована двухфакторная аутентификация в его случае и как предположительно её обошли.

    Личные предположения автора выдаются за факт, а тем не менее не понятно как был взломан аккаунт на Яндексе.

    В статье кстати ни слова про СМС. СМС, если что, блокируются оператором на сутки после перевыпуска симки. Кто делал — знает. Как раз для того что бы не было махинаций по банковским кодам.

    Кто-то что-то не договаривает. Тёмная история.


    1. Whuthering
      26.09.2019 12:00

      В статье кстати ни слова про СМС. СМС, если что, блокируются оператором на сутки после перевыпуска симки. Кто делал — знает. Как раз для того что бы не было махинаций по банковским кодам.
      Некоторые опсосы блокируют только смс об банков, от остальных отправителей сообщения же принимаются без проблем.


      1. HunterXXI
        26.09.2019 12:49
        -2

        кто конкретно? оператора «некоторые опсосы» нет на территории РФ


        1. Whuthering
          26.09.2019 14:11

          Эм… У вас с русским языком все в порядке? Логично, что под понятие "некоторые опсосы" как раз попадают некоторые операторы из тех, что есть на территории РФ.

          Например, Мегафон (поволжский филиал). Симку менял в мае. На словах сказали «в течении суток смс приходить не будут», по факту же банковские действительно не приходили (и бонусом Сбер заблокировал онлайн-банк по этому номеру вообще), а с остальных номеров (в том числе сервисных) нормально приходили уже через час (возможно и раньше, я специально не тестировал).
          Выше в комментах аналогичный пример про МТС привели.


          1. HunterXXI
            26.09.2019 15:18
            -2

            Логично, что

            Для меня не логично. Вопрос — как жить дальше будем? отправим меня в концлагерь?


    1. punkkk
      26.09.2019 12:09
      +2

      Перевыпускал симку — ничего не блокировалось ни на секунду. Вставил — сразу позвонил кому хотел, смс с подтверждением для чего-то там тоже пришла (правда, через час после замены).


      1. HunterXXI
        26.09.2019 12:48
        -2

        когда? 5 лет назад? я пепевыпускал симку и блокировали на сутки.


  1. ua30
    26.09.2019 10:50

    Украли рабочий МТС (на Украине это сейчас Водафон). Восстановить номер нереально. Требуют «любимые номера» (на которые часто звонил). Какие могут быть любимые номера у рабочего телефона? Там каждый день десятки новых.

    Еще вроде вышли на вариант с IMEI. Но там древний телефон, который покупали лет 10 назад. Коробку давно выбросили.

    Готовы предоставить распечатки с номерами и датами хоть за последние несколько лет — никого это не интересует.

    Автору удачного разрешения ситуации.


    1. firegurafiku
      26.09.2019 11:46

      Еще вроде вышли на вариант с IMEI. Но там древний телефон, который покупали лет 10 назад. Коробку давно выбросили.

      А сам телефон не выбросили? Команда *#06# покажет IMEI.


      1. zag2art
        26.09.2019 11:48

        Видимо украли


      1. ua30
        26.09.2019 11:50

        IMEI, как правило, можно найти внутри на наклейке. Но увели не номер, а телефон с SIM картой. Это я к тому, что в МТС нереально решить что-то, где требуется персонализированный подход. Им нужны или 10 номеров или IMEI. То, что ты можешь предоставить на порядок больше, но другой информации, подтверждающей права на номер — их не волнует. Или так как сказали, или никак.

        Впрочем, справедливости ради, это не только в МТС. Так во всех крупных компаниях.


        1. Frankenstine
          27.09.2019 09:59

          Хрень собачья. В случае утери телефона с симками, номер восстанавливается в течении часа — примерно столько времени нужно чтобы заехать домой, взять пластиковую карту, из которой выламывали симку (и на которой выбиты пины, пуки и всё такое), и заехать с ней в отделение. Я сам так восстанавливал свой номер, когда посеял телефон (а нашедший тихо прикарманил) в 2014 году.


          1. ua30
            27.09.2019 10:20

            «Хрень собачья»?..

            заехать домой, взять пластиковую карту, из которой выламывали симку (и на которой выбиты пины, пуки и всё такое)
            Ну да. Или как писалось выше — IMEI с коробки тоже здорово может помочь. Вот только кто же все это хранит столько времени (телефону и карточке шел 9 или 10 год)?


    1. Tarakanator
      26.09.2019 12:14
      +1

      Ну так сделайте выборку по распечаткам, на какие телефоны больше звонили.
      Если максимум 5 раз на один номер, значит номера на которые 5 раз звонили-любимые.


      1. ua30
        26.09.2019 13:42
        +1

        Мы называли такие номера. Не приняли.

        Загвоздка в том, что на том конце сидят типичные операторы, которые вообще не заинтересованы брать на себя ответственность и отходить хоть на шаг от руководства или чего там. В принципе, они и не должны. На это есть руководство. Но то ли руководство не желает брать эту ответственность. То ли политика компании такая что есть правила и точка. Тем не менее, проблем клиентов это не решает. Размещать номера телефонов на полиграфии и прочих статичных источниках информации отпадает всякое желание. В итоге, я понимаю почему так происходит. Но от этого мне не легче.


        1. Tarakanator
          26.09.2019 15:04

          А почему не приняли такие номера? Как аргументировали, что не любимые?


          1. pod
            26.09.2019 15:15

            а они никак не аргументируют, «номер не проходит, назовите другой». сам сталкивался при утере телефона с симкой с этим моментом. ко всему если назвал пару номеров, которые не прошли то возможность восстановить блокируется на сутки.


    1. 4e1
      26.09.2019 13:14
      +1

      У меня в водафоне как-то требовали 2 номера телефона и примерные даты и суммы 2-х последних пополнений счёта. А что я тогда хотел — толком и не помню.


    1. fougasse
      26.09.2019 22:24

      Если часто звонимые тербуют и есть распечатки с номерами за последние пару лет — почему не отсортировать и не дать Водафону?


  1. zag2art
    26.09.2019 11:47

    Уверен, с тем кто это проворачивает, вы много раз бывали в одной комнате


    1. ua30
      26.09.2019 13:47
      +1

      Вполне возможно.

      Но с другой стороны уж больно отточено все выглядит. Будто человек не в первый раз этим занимался и точно знал что и как делать.

      Мне самому вариант контрактных номеров не очень нравится. Но походу надо или контрактный номер, или просто симку, которая ни где не светится, и включается только для получения СМС. Я пока остановился на втором варианте.


    1. lotse8
      26.09.2019 14:13

      whois — все данные были выложены «пострадавшим» там собственноручно


  1. grigor
    26.09.2019 15:08
    +1

    Не совсем понимаю комментарии про то, что домен в других зонах можно перевести в 2 клика. О каких доменных зонах речь?

    В последнее время домены регулярно переношу, т.к. перехожу с разных регистраторов к одному, и всегда это занимает значительное количество ДНЕЙ. Перенос в рамках одного регистратора, может, и будет быстрым (но при этом и легко обратимым), а вот перенос от этого регистратора к другому займёт от 5 до 14 дней.

    Даётся сначала несколько дней владельцу домена на то, чтобы он запретил передачу, если он вдруг передумал, затем ещё другой регистратор ждёт несколько дней перед тем, как принять домен.

    Так что ситуация, конечно, дико неприятная, но реальная окончательная передача домена в течение пары часов представляется мне крайне маловероятной.


  1. Duster
    26.09.2019 15:19
    +1

    Почему я, не специалист по компьютерной безопасности, вынужден говорить такие очевидные вещи?..
    1. Один домен — один емейл. Этот емейл должен быть известен только вам и вашему регистратору. Его имя может быть билибердой. Больше его никак не допускается использовать, он вообще нигде не должен быть засвечен, кроме регистратора. Он не должен гуглиться, его не должно быть в базах. Он должен быть только в ху-из.
    2. Двухфакторная авторизация — плацебо. Она чаще вредит, чем помогает. А помогает она только во временной защите данных при уже скомпрометированном пароле (задумайтесь на секундочку). Она должна быть дополнительным барьером, а не основным. К тому же, телефоны имеют свойство быть потеряными/сворованными. Более того, авторизация через второй фактор должна транслироваться сообщением на основной ваш номер.
    3. Для доменов, приносящих вам доход, должен быть отдельный номер телефона. На нем должны быть активированы все возможные запреты — доверенности, смены владельцев, и прочее-прочее-прочее. Доступ к нему должны иметь только вы.


    1. grigor
      26.09.2019 15:32

      1. Почему е-мейл, которые в хуизе, нельзя загуглить? Опять же, если используется whois privacy, то тот же nic.ru легко выдаст данные хуиза, если вы под видом адвоката (или с его помощью) заявите, что владелец домена фигурирует в иске для суда (ещё даже до подачи самого иска). По закону он этого делать не должен, но делает. И плевать, в общем-то, хотел на ваше мнение по этому вопросу.

      2. Если только пароль скомпрометирован, то почему двухфактора помогает «защитить данные лишь временно»?

      3. Увести домен по-настоящему (с передачей другому регистратору), чтобы вам с той стороны помахали рукой, довольно проблематично, и это вопрос не одного-двух часов, а дней, в течение которых нужно разве что вообще выпасть из Сети дней на 5-10, чтобы не узнать о происходящем.


      1. Duster
        27.09.2019 07:13

        1. Ну я, собсно, и написал, что он должен быть только у регистратора, и в ху-из.
        2. Потому что бывают разные ситуации, одна из которых в посте. Если пароль скомпрометирован, и злоумышленнику станет известно о владельце, дальше может вступить соц. инженерия или еще какой-то способ заполучения второго фактора. Да, шанс низкий, но он есть.
        3. Согласен, но автору удалось. Лишняя осторожность не бывает лишней. Все мы должны быть немножечко параноиками.


    1. grigor
      26.09.2019 15:33

      Дубль


  1. gecube
    26.09.2019 15:21

    Давайте будем честны. Правильный заголовок не такой как сейчас, а "Многие сервисы выдают однофакторную аутентификацию по SMS за 2FA".


    1. atbuhw
      26.09.2019 16:34

      Боюсь, что «с точки зрения принятого в обществе языка» (не знаю, как сказать лучше) термин «2FA» уже означает не то, что он означал изначально, а «доступ по sms». Как фраза «очень приятно» означает просто (успешное) завершение процесса знакомства, а не какое-то (всегда) очень хорошее событие.

      Что, конечно же, не отменяет всего сказанного в комментариях выше, в частности крайней информационной опасности такого подхода.


      1. gecube
        26.09.2019 16:38

        Как предлагаете называть "честный 2ФА"?


        • 2ФА+
        • 2.5ФА
        • 3ФА
        • "честный" 2ФА?


        1. atbuhw
          26.09.2019 16:50

          Не знаю :((
          Можно было бы называть явно факторы (например, вход по паролю и gpg-ключу), но проблема в том, что я не видел сервисы, предлагающие такое. Будут сервисы — появится и термин.

          А термин «2FA» на данный момент уже сильно захвачен sms-щиками, и для целей информационной безопасности, как мне кажется, будет полезнее популяризировать опасность этого явления, чем пытаться «отбить» у них термин. Чтобы когда человек, прочитавший эту статью, видел оповещение от сервиса «наш сервис вводит 2FA» (именно такими словами), он воспринимал это как «вероятно, сервис становится опасным».


  1. atbuhw
    26.09.2019 16:07
    +1

    Мне кажется, уже давно назрела необходимость статьи на хабре (или где-то ещё) «(чёрный/белый) список сервисов, где (не)возможно получить доступ, используя только телефонную сеть (sms и звонки)». Опционально — (серый) список сервисов, где это возможно с удалением всех данных (вроде телеграма — может быть, для некоторых сценариев это тоже полезно).

    PS автору желаю скорейшего восстановления доступа.


  1. rboots
    26.09.2019 16:24

    Обращайтесь в полицию, домен не просто так пропал, а зарегистрирован на конкретное лицо/организацию. Выгодоприобретатель налицо, найти злоумышленников здесь должно быть делом техники. В худшем случае негодяев не найдёте, но домен вернёте.


  1. KonstantinSpb
    26.09.2019 16:41

    Переходите на gmail без привязки к телефону или собственному email-server на VPS/VDS


    1. Fedcomp
      26.09.2019 17:02

      gmail требует телефон. И перед тем как вы скажете что при регистрации он его не требует — он его может потребовать через неделю и не пустит без этого в аккаунт.


      1. ne_kotin
        26.09.2019 17:04

        он может и через год потребовать, но там всегда есть кнопочка «мне пофиг»


        1. Fedcomp
          26.09.2019 17:12

          image
          Возможно я ее где то тут пропустил?

          На всякий случай: ссылочка «помочь»: support.google.com/accounts/answer/114129


          1. atbuhw
            26.09.2019 17:28
            +1

            Что характерно, можно ввести абсолютно любой номер, а не только какой-то номер (или другие данные), связанный с истинным владельцем (и гуглу известно, что связанный).

            То есть никаких «подтверждений», что тот, кто ввёл сейчас пароль, «является владельцем аккаунта», гугл не получает, атакер, укравший пароль, может сделать то же самое. То есть это чистая борьба против анонимности, безопасность она не увеличивает (а то и уменьшает, если гугл потом будет пускать по sms без пароля).


            1. Fedcomp
              26.09.2019 17:37

              ну в принципе это довольно очевидно, хотя на мой взгляд они больше со спамом борятся чем с анонимностью. Я всего лишь отвечал автору выше что гугл оч любит блочить доступ к аккаунту. Насколько я понимаю яндекс ведет себя идентично.


              1. atbuhw
                26.09.2019 17:42

                Очевидно, да. Но враньё в заголовке настолько бесит, что хочется это высказать вслух.

                Анонимность vs спам — не знаю. Лично у меня в гугле сейчас штук 10 спам-писем в день приходит (причём реальный спам типа «вы выиграли $10000000000000», а не рассылки из-за галочки «хочу получать новости» при покупке чего-то где-то), и они попадают во «входящие». А анонимные политические письма — только в спаме.


          1. ne_kotin
            26.09.2019 18:10

            на такое не напарывался. а вот при логине в аккаунт, к которому не привязан номер, гугл предлагает его привязать, но там есть кнопочка пропустить.


            1. Fedcomp
              26.09.2019 18:18

              на такое не напарывался

              Систематическая ошибка выжившего


              В том то и дело что мои коллеги тоже говорили что можно иметь гмыло без номера.
              Зато protonmail пока что без спроса номера держится.


              1. atbuhw
                26.09.2019 18:40

                Зато про них много чего другого плохого на хабре пишут:
                habr.com/en/company/habr/blog/443222/#comment_19864116
                Коротко, в частности, отсутствие поддержки IMAP (только что коротко проверил, на случай если коммент устарел, но вроде до сих пор нет).


                1. Fedcomp
                  26.09.2019 19:20

                  В моем случае просто нужен был анонимный почтовый аккаунт для регистрации на сервисе.


  1. Matsun Автор
    26.09.2019 16:43

    Всем привет!
    Из последних новостей! Яндекс сработал оперативнее всех. Заполнил длинную анкету, приложил кучу сканов, и вот доступ к моей почте у меня уже есть.
    Отправил заявление в полицию. Пришлось конечно помотаться, из области в Москву, потом таки как оказалось, должны были принять по месту моей регистрации. Приняли.

    Дальше предстоит визит в Рег.Ру. И восстановление СИМ карты


    1. tvr
      26.09.2019 17:15

      Успехов в прохождении квеста!


    1. ivan386
      26.09.2019 17:44

      Посмотрите теперь инфу по действиям мошенника.
      В полной веб версии Яндекс.Почты есть внизу "Журнал учёта посещений".
      В Яндекс.Паспорт есть "История входов и устройства".


      Там можно увидеть что делал мошенник и с какого IP.


      У меня например IP взломщика был: 146.120.110.13


      1. Matsun Автор
        26.09.2019 17:50

        Ок, спасибо, буду изучать!


  1. skvoo
    26.09.2019 17:49

    Считаю что в этой ситуации шансы на восстановление домена достаточно велики.
    Перенос домена к другому регистратору занимает 7 дней. Надо за это время успеть достучаться до рег.ру.
    Домен должны заблокировать на перенос пока идет разбирательство.


  1. nu1Aiw7
    26.09.2019 17:49
    +1

    В течении одного месяца почту на Яндексе взламывали 3 раза (разные ящики).
    На всех аккаунтах используются случайно сгенерированные пароли 16-20 символов цифры+латиница разного регистра.
    Контрольные вопросы придуманы не привязываясь к возможным вариантам ответа и также являются случайными.
    К аккаунтам привязаны телефон и резервные e-mail, но никаких СМС и уведомлений на почту не приходило.
    Для приложений используются отдельные пароли.

    Все взломы с ip с которых никогда ранее обращений к аккаунту не было.

    В саппорт Яндекса обращался по этому вопросу, но в итоге просто перестали общаться.
    Если кому-то из техподдержки Яндекс-почты всё же хочется немного поработать и объяснить дырявость защиты пишите в личку скину номер тикета.


  1. Aigir
    26.09.2019 17:49

    Если симка будет оформлена на другого человека, это возможно усложнит возможность несанкционированной смены симки.
    Например мне жена в свое время подарила мобильник вместе с симкой, оформленной на себя. И я до сих пор пользуюсь этой симкой.
    При смене номера нужно знать ФИО владельца, на кого он оформлен. И этот владелец не я.
    Т.е. даже узнав мои ФИО и даже где-то раздобыв скан моего паспорта, сменить симку не получится.

    Хотя, в свете последних законодательных изменений могут возникнуть сложности, когда везде начнут проверять соответствие пользователей различных онлайн-сервисов реальным владельцам симок.


    1. atbuhw
      26.09.2019 18:05

      А вы уверены, что официальный порядок действий при перевыпуске карты требует от сотрудника салона именно «ввести и ФИО, и номер», а не «ввести номер, а потом сверить показанное на экране ФИО с паспортом»? Во втором случае симка на другое имя не поможет. В лучшем случае, если оператор снимает копию паспорта, увеличит размер взятки и удлиннит процедуру (нужно 2 раза спрашивать купленного сотрудника — сначала сказать правильное ФИО, потом подделать паспорт и потом перевыпустить симку), но не устранит уязвимость полностью. А если не снимает копию, тогда вообще ничего не меняется.


  1. toto88semerik
    26.09.2019 17:49
    -1

    Технологий к добру не ведут, а деньги нужно было выводить и не держать у дяди!


  1. chelsea2
    26.09.2019 17:49
    -1

    Лучше бы этот вброс озвучили батюшке в церкве. Здесь технический форум и ожидается что тут люди пишут нормальные статьи на нормальные технические темы, а не исповеди о злых какерах.


  1. Chikabanita
    26.09.2019 17:49

    Пиши, звони, придавай огласке! Тут чисто похуистическое отношение МТС. Большая тройка конечно совсем клала на своих клиентов. Правда не врубился насчёт Яндекса, если у тебя привязка по номеру, то ведь это однофакторная аунтефикация. Двухфакторная — это если ещё и пин, при ней бы как раз хер угнали почту


  1. AlexMist
    26.09.2019 17:49

    У Tele2 при замене sim SMS блокируются на сутки! Можно успеть обратиться ТП.


    1. atbuhw
      26.09.2019 18:10

      А звонки тоже блокируются? Если нет, то это не спасает, т. к. многие сервисы предлагают 2 опции, sms и звонок.


      1. AlexMist
        27.09.2019 15:30

        Звонки нет. Но SMS не приходят и не уходят!
        Выглядит как логичная защита, хотя бы какая то защита от подобных атак. Т.к. замену SIM может выполнить любой недобросовестный сотрудник салона. А ограничение SMS отключить он не может.


  1. vapersan
    26.09.2019 17:49

    Если в рег.ру работают люди с умом (ну или хотя бы без его отсутствия), то в случае если домен не был передан другому регистратору его с лёгкостью вернут вам назад.
    Могу пожелать только удачи в этом деле, надеюсь что ситуация решится положительно.


  1. seminiva
    26.09.2019 17:49

    А мне вот больше интересно накажут ли по закону вора, если да, то что ему грозит


  1. sla165
    26.09.2019 17:49

    Хм, я в регистрации доменов не разбираюсь но вот то что включили симку дает вариант найти где это было но данные в системе хранятся только месяц то есть сейчас уже 26 и данные будут еще где то 29 дней еще в системе где и откуда был сигнал с симкарты а точнее с устройства с которого он шел.А уж если он перевыпустил симку на ваше имя не будучи вами то это уже серьезное мошенничество.То есть там не один человек.


  1. Matsun Автор
    26.09.2019 18:11

    Обновил стар пост последними новостями!


  1. atbuhw
    26.09.2019 18:22

    301-редирект выглядит страшно. Насколько я знаю, даже при активном желании пользователя удалить из профиля браузера запись о нём довольно сложно (т. е. если сайт A хоть раз вернул «301, редирект на B», то потом, когда пользователь вводит A в адресную строку, браузер по умолчанию уже ничего не проверяет, а сразу обращается к B). Сталкивался с этим, когда http (не s) сайт неожиданно был заблокирован РКН.


  1. wild_one
    26.09.2019 18:30

    Несколько правил. Выношу на обсуждение и дополнение. Вот они:


    • Напишите заранее заявление в офисе мобильного оператора, что любые действия с SIM возможны только при личном присутствии
    • Не используйте SMS-авторизацию. Используйте, например, YubiKey и менеджер паролей (например, KeePassXC).
    • Бэкап п.2 на бумагу (с помощью Shamir Secret Sharing (ssss), и, например, gpg2 в симмметрином режиме. Шифруем нужные данные с помощью gpg2, печатаем на каждом листке бумаги. Длинный и случайный пароль симметричного шифрования делим ssss'ом и печатаем по одной дольке на каждой копии. Таким образом, чтобы собрать обратно бэкап yubikey-я — потребуется несколько таких "долек".
    • Базу KeepassXC бэкапим в несколько мест, иногда — вообще в оффлайн.
    • Дольки раздаем знакомым/кладем в сейфы в разных местах/whatever. Лишь бы не в одном месте, и чтобы злоумышленнику пришлось попотеть, чтобы собрать бэкап "юбика" обратно.
    • Профит.

    Получаем хорошо защищенную от атак платформу хранения паролей и 2FA, не привязанную к устройствам (кроме YubiKey), которую можно в любой момент восстановить в случае потери данных или YubiKey-я.


  1. grinCo
    26.09.2019 18:59

    У меня из-за привязки к телефону увели (скорее всего случайно) аккаунт wildberries.
    Я переехал в другую страну, и естественно, отказался от номера телефона. Этот номер попал к кому-то, кто потом при помощи смс восстановил пароль к моему аккаунту. К счастью у меня не были привязаны карточки.
    Саппорт Wildberries не ответил ни на одно письмо.


  1. yamilov
    26.09.2019 19:03

    А вот и диванная аналитика от ребят из Мэйл ру по этому вопросу :)


  1. ooprizrakoo
    26.09.2019 19:42
    +1

    Давным давно у Яндекс.Почты была одна очень хорошая особенность: при регистрации почтового ящика можно было указывать произвольный логин (не совпадающий с именем ящика), и авторизация в Я.Почте шла через именно через «логин/пароль», а не через «название ящика/пароль».

    И злоумышленник, даже зная пароль от почтового ящика пользователя, и имя почтового ящика, не мог получить доступ к аккаунту. По-сути, логин знал только сам пользователь, и больше никто — никакой брутфорс-не смог бы подобрать пароль, даже если бы он у меня был qwerty (ибо логин в письмах не светится)

    Однако совсем недавно безопасность Я.Почты значительно, с моей точки зрения, уменьшилась: теперь всех пользователей, которые авторизовывались в ней через логин/пароль, перевели на альтернативную авторизацию через имя ящика/пароль.

    К сожалению, мое обращение с техподдержкой на тему «я этого не просил, верните назад или хотя бы дайте возможность выбирать метод авторизации» не был услышан, техподдержка рекомендовала использовать 2ф-авторизацию для большей надежности. Но это, очевидно, может быть очень неудобно в ряде случаев, например когда у меня нет доступа к телефону, или когда нет мобильного интернета, или телефон сел/сломался/потерялся. Или когда его украли.
    Грустно, словом.


  1. C_21
    26.09.2019 19:54

    Привязка симки к паспорту это уже возможная утечка персональных данных со стороны оператора. Задать пароль для перевыпуска красной карты например в Украине можно в телефоном режиме. Без пароля отказываются даже выдать симку другого размера, даже при наличии паспорта и работающей симки. На все уговоры предлагают звонить оператору, а он требует пароль.
    Возможно для жителей РФ для повышения безопасности выгодней заказать сим карту в Украине или купить виртуальный номер телефона.


  1. thesame
    26.09.2019 19:54

    Судя по последним обновлениям, либо это кто-то из текущих или совсем недавних сотрудников, либо у вас серьезные проблемы с безопасностью. Тот, кто «угнал» домен, весьма оперативно поднял «клон» вашего сайта, следовательно, у него был свежий бекап.


  1. atamanenko
    26.09.2019 20:04
    -5

    А где «Я пиарюсь»?..
    Одни плюсы у автора от всей этой истории, которая, извините, вообще похожа на вброс.


  1. s_suhanov
    26.09.2019 20:37

    доступ к электронной почте на Яндексе, на которую был зарегистрирован личный кабинет регистратора доменных имен.

    А вот это было зря.


    Кстати, к почте была подключена двухфакторная аутентификация, но именно из-за привязки номера телефона это «угон» домена и произошёл. Если бы к моей почте не был привязан номер телефона, то мошенник не смог бы сбросить мой пароль.

    "Двухфакторная аутентификация" и "привязка номера к почте" — это же совсем разные вещи.


  1. milafabio
    26.09.2019 22:24

    Конечно, ещё было бы интересно услышать ответ МТС.


  1. podivilov
    27.09.2019 14:10

    Сотрудники Яндекса сами советуют привязывать свой телефонный номер к почтовому аккаунту.

    > Здравствуйте, Михаил!
    >
    > [...]
    >
    > Пожалуйста, добавьте актуальный номер своего мобильного телефона
    > на странице phone-passport.yandex.ru/phones. Тогда вы сможете
    > для восстановления доступа использовать вместо контрольного вопроса
    > смс.

    < Спасибо за оперативный ответ, но я искренне надеюсь, про телефон Вы шутите.
    < Или не осведомлены о том, как работает группа протоколов SS7.
    < Вам известно, что такое «атака на понижение»? Контрольный вопрос
    < в данном случае будет на порядок безопаснее, нежели чем
    < «безопасное восстановление аккаунта через телефон». Я уже давно отвязал
    < свои телефонные номера от всех своих аккаунтов, где это возможно.


    1. ivan386
      27.09.2019 14:40

      Контрольный вопрос
      < в данном случае будет на порядок безопаснее, нежели чем
      < «безопасное восстановление аккаунта через телефон».

      Оказалось что нет. Меня паралельно взломали именно через него. Хотя какзалось бы зная о такой возможности взлома я задал безсмысленный набор букв и цифр.


      Настроить двухфакторную аутентификацию
      Чтобы входить на Яндекс без пароля

      Супер вообще.


      1. sumanai
        27.09.2019 18:34

        Меня паралельно взломали именно через него.

        Откуда такая уверенность?


        1. ivan386
          27.09.2019 21:53

          Ну во первых я увидел письмо о восстановлении пароля через Контрольный вопрос до того как мошенник успел его удалить. Ну а потом в истории действий так и написано:


          Восстановление доступа
          изменен пароль
          восстановление через: контрольный вопрос
          25 сентября 2019, 21:41Москва
          IP 146.120.110.13
          Firefox 52.59
          Windows 8.1 6.3


          1. sumanai
            27.09.2019 22:41

            Занятно. Эх, жаль ни у кого не видел настройки «Не восстанавливать никак доступ, я не дурак и не забуду пароль».


            1. ivan386
              28.09.2019 11:10

              У меня складывается ощущение что упёрли базу Яндекс.Паспорта. И поскольку пароли уже как правило хранятся хеширванными то телефон и контрольный вопрос в базе скорей всего открыто. Вот их и использовали для взлома.


              Пора уже шифровать все записи в базе индивидуально. А ключи скриптам выдавать соответственно их уровню доступа.


  1. tegrato
    27.09.2019 14:30

    Очень громкая статья, но информация не очень вяжется с реальностью:
    1. Рег.ру очень сложно и долго переносит домены (буквально в этом году переносил управление доменами — очень заустал я с ними бороться, пока все перенес. У них еще личный кабинет и сайт в целом ужас какой бардачный — квест, короче).
    2. Передача управления доменами дает только возможность оплачивать его продление и менять DNS-записи (и то не всегда эти функции доступны — иногда требуется так называемая ПОЛНАЯ передача домена с отправкой фотокопии паспорта владельца, редко — частичная передача в управление дает доступ к функционалу). При этом владельца домена так не изменишь — только личное посещение с паспортом офиса или представительства РЕГ.РУ или нотариальная доверенность.
    3. Судя по тому, как все оперативно было сделано, кто-то заранее готовился к этому и знал, что и как делать. Шерше ля фам среди знакомых.


  1. rdc
    27.09.2019 15:27

    кстати, Gmail позволяет использовать городской телефон.
    код при этом диктует звонком железная леди.
    а угнать городской не получится, ни по доверенности, ни по фальшивому паспорту)


    1. atbuhw
      27.09.2019 15:36

      Зато во многих городах можно влезть в подъезд и подкрутить провода к физической линии. Это не ethernet, там такие скрутки работают.


      1. wlr398
        27.09.2019 19:35

        А на езернете чего бы они не работали? Днём пока никого нет дома, в форме монтажника обрезаем кабель идущий в дырку у квартиры, обжимаем RJ-45, включаем в ноутбук.
        И скрутки работают. Может быть на длине близкой к 100 метрам скрутки несколько ухудшат скоростные характеристики.
        Другое дело, что городские телефоны уверенно вымирают.


        1. atbuhw
          27.09.2019 19:43

          Ну…
          Во-первых, не знаю, что провайдерский свитч подумает, увидев на другом конце одного кабеля «два устройства» (в случае именно скрутки), а во-вторых, и главное, это совершенно бесполезно, когда почта ходит по https + в большинстве случаев vpn до провайдера.


  1. ZetaTetra
    27.09.2019 17:50

    Не знаю как у других операторов (У меня не МТС), а у некоторых операторов можно в ЛК заблокировать номер. Для этого с оператором связываться не надо:
    moskva.mts.ru/personal/podderzhka/mobilnaya-svyaz/deystviya-s-sim-kartoy/blokirovka-i-vosstanovlenie-sim-karti

    Подключите услугу «Добровольная блокировка», которая блокирует возможность использования услуг связи. При подключенной услуге «Добровольная блокировка» недоступно получение пароля к Личному кабинету с сайта МТС.


    наберите на своем телефоне команду *111*157#


    1. sumanai
      27.09.2019 18:33

      Если конечно злоумышленник не поменяет пароль раньше вас.