Началось все пока ещё сегодня, 25 сентября 2019 года. В 15:50 я (администратор домена), получил на телефон сообщение от МТС: кто-то инициировал замену моей сим-карты:
То есть, некто перевыпустил мою симку. Как это удалось сделать — большой вопрос, который мы адресуем компании МТС.
Естественно, первым делом я проверил, а не от мошенников ли мне пришла СМС. Проверив номер, указанный в СМС, я понял, что номер верный, значит проблема серьёзная. Уже через минуту я начал пытаться связаться с ТП МТС. Квесты прохождения телефонного меню МТС результатом которых является общение с оператором заслуживают отдельной истории. Скажу кратко, на то чтобы начать живое общение с «человеком» у меня ушло минут 7.
К сожалению, общение не было долгим, секунд через 20 разговор прервался. Скорее всего, в этот же момент мошенник активировал сим-карту, так как совершить звонок со своего номера более я не смог, моя симка стала неактивной. С другого номера удалось дозвониться в службу поддержки МТС, в результате чего номер (который был привязан к почте) был заблокирован.
Но было уже поздно. Злоумышленник получил доступ к электронной почте на Яндексе, на которую был зарегистрирован личный кабинет регистратора доменных имен.
Кстати, к почте была подключена двухфакторная аутентификация, но именно из-за привязки номера телефона это «угон» домена и произошёл. Если бы к моей почте не был привязан номер телефона, то мошенник не смог бы сбросить мой пароль.
Сразу же мошенник смог получить доступ к личному кабинету регистратора (рег.ру) и перенес домен на другой аккаунт. Так как домен был в международной зоне .NET, передать домен от одного аккаунта в другой не составило труда.
На данный момент сайт нашего издания работает и сегодня мы даже успели запустить соответствующий пост. Но думаю уже завтра, после того как обновятся DNS-сервера, мой корабль, который я строил 3 года, скроется за горизонтом.
Хочется верить, что все мои письма в Яндекс, в Reg.Ru, обращения в МТС а также Полиция (сегодня не успел подать заявление, но завтра обязательно это сделаю), всё это даст результат.
Мы никогда не занимались политикой и не писали заказных материалов. Но такая участь постигла и наш сайт.
С надеждой на лучшее, совладелец сетевого издания «Банки Сегодня».
UPD 15-00.
Заполнив длинную анкету, уже восстановлен доступ к почте Яндекс. Составлено заявление в полицию. Отправил сканы в ТП Reg.Ru
UPD 17-00.
Случилось большое чудо! Reg.Ru вернул мои DNS (домен пока ещё не возвращён). И уже совсем скоро мои юзеры попадут на мой сайт. Видимо, мошенник рассчитывал на то, что пока будут идти разбирательства, мой домен склеится с его (тут светить его домен не буду, думаю вы сами можете легко его узнать). Он настроил 301-ый редирект со всех моих страниц — на страницы уже на его домене.
Наши настоящие DNS сменились приблизительно в 3 часа ночи сегодняшнего дня. И уже с 9 утра больше половины наших читателей стали редиректиться на домен мошенника. Динамика посещаемости:
Комментарии (473)
ovalenko
26.09.2019 00:12Было похожее с РегРу, в поддержке сказали, что не вернем домен, так как он перенесен. Пришлось уговаривать похитителя вернуть его.
dartraiden
26.09.2019 00:34+2Вот поэтому я не привязываю номер телефона к критичной почте, на которую многое завязано. Это ненадёжный резервный способ, которым может воспользоваться злоумышленник. По сути, ваш аккаунт при таком раскладе защищает лишь бдительность сотрудников сотового оператора — поведутся они на мошенника с липовой доверенностью и подвешенным языком или нет.
Передаю отдельный привет почтовому сервису mail.ru, сотрудники которого, если к ящику не привязан телефон (но привязан TOTP-аутентификатор), готовы отдать доступ любому, кто знает «пароль, использовавшийся при регистрации ящика».inkvizitor68sl
26.09.2019 01:06> почтовому сервису mail.ru
Весело. Их пароли в интернетах встречались, как раз тех времен, когда пароли были «использовавшиеся при регистрации».dartraiden
26.09.2019 15:53Ну вот я тоже офигел. У меня была ситуация:
— телефон не привязан
— привязана 2FA, я могу генерировать валидные коды
— я могу назвать содержимое своего майлрушного облака (потому что у меня эти файлы, лежат на десктопе)
— я могу назвать имена папок, которые созданы в почте (а там довольно специфичные имена)
Т.е., вроде бы, вполне нормальные такие доказательства, что я владелец аккаунта.
И в этой ситуации из-за моих частых входов через VPN из разных уголков мира мне заботливая система безопасности mail.ru сбрасывает пароль. И единственным вариантом (поскольку телефон для приёма SMS не привязан) было «вспомните пароль, с которым вы регистрировали почту».khim
26.09.2019 16:59Amazon тоже так любит делать. Но он умеет посылать одноразовый пароль на почту. А mail.ru так не умеет? Послать пароль на вторую, «запасную» почту?
ivan386
26.09.2019 01:09Мою почту сегодня тоже взломали. Вспомнив ответ на контрольный вопрос которого и я то не помню потому что вводил там набор цифр и букв как раз для того чтобы таким образом не взломали. Похоже это был массовый взлом.
Почту взломали с IP: 146.120.110.13
ivan386
26.09.2019 13:20+1yandexsupport что скажете? В один день двумя способами взломали.
И раскажите пожалуйста как действует кнопка "это не я" в логах действий на которой я азбуку морзе отбивал и не видел ответа как она должна повлиять на взломщика и вообще сработвла ли.
aim
26.09.2019 01:12Очень странно что reg.ru так быстро домен передал другому регистратору. Раньше требовался договор и письмо на бумаге… Я правда давно с ними не общался, последний раз лет 7 назад. Может и поменялись условия.
Barabas79
26.09.2019 01:54У автора домен не ru, для них работает простая передача домена без бумажных документов.
AbstractGaze
26.09.2019 08:33C ру у рег.ру тоже самое, месяц назад переносил на другой аккаунт (с физ на юр лицо). Все делается дистанциионно в течение полу часа. Перенос с рег.ру на бегет, заняло уже несколько дней.
Подделать в случае угона подпись на скане, думаю вообще не проблема в случае именно угона.
FDA
26.09.2019 10:04Как писал выше, недавно в ru-center переносил домен в зоне .cloud. Без письменного заявления это сделать невозможно. Зря рег.ру такие вольности позволяют.
rusbaron
26.09.2019 17:16Сейчас на сколько я знаю без номера телефона почту не зарегестрировать. Или это не равно привязке?
bodqhrohro
26.09.2019 19:56Смотря где. rambler.ru, cock.li, meta.ua — номер не требуют. Плюс ничто не мешает свой почтовый сервер поднять.
rusbaron
27.09.2019 09:54Свой, это если много времени свободного. Я где то пол года держал свой, но стабильность страдала.
sumanai
26.09.2019 21:58Зарегистрировать, но через несколько дней её блокируют «В связи с подозрением на взлом», даже если там был 40 значный надёжный пароль.
sumanai
26.09.2019 21:56если к ящику не привязан телефон (но привязан TOTP-аутентификатор),
Как это у вас получилось? Сейчас ни мейлру, ни яндекс не дают привязать OTP без привязки телефона.
id_potassium_chloride
26.09.2019 01:16-2Уже не первый раз замечаю, что при угоне номера телефона фигурирует один и тот же оператор связи — МТС. Это совпадение? Или это какое-то когнитивное искажение? В любом случае брать номер у этого оператора на всякий случай не буду
VIPDC
26.09.2019 04:42Зря обольщаетесь. Недавно закрывал номер в одной полосатой компании, так там в компьютере левые данные были вбиты совпадала только фамилия (видимо кто то поленился, а потом что попало вбил), так мальчик в салоне просто все исправил на мои и закрыл номер. Т.е. тупо совпала фио, он даже проверять не стал звонком на эту сим что она моя.
WhiteBlackGoose
26.09.2019 07:09Учитывая их (ребят из салонов связи) права и наивность, создается впечатление, что если я приду в салон связи в их фирменной юниформе и попрошу "перевыпустить, коллеги, карту для клиента", то они это сделают. Вспоминается история, как какую-то картину увели из Лувра прямо на глазах у всех посетителей.
wlr398
26.09.2019 08:18Тут скорее всего целенаправленная атака и может быть просто сговор. Даже если в салоне есть камера, на ней будет — пришёл абонент, показал паспорт, получил симку. Даже доверенности не надо. Паспорт — любой паспорт, чтобы было видно на видео, что продавец проверил паспорт. А то что человек совсем не тот, это уже второй вопрос.
Доказать причастность продавца практически невозможно. Ну даже если его уволят, то найти аналогичную работу не составит труда.tonad
26.09.2019 12:20+1Доказать причастность продавца практически невозможно.
Отсканированный паспорт?
Ну даже если его уволят
Это как минимум тянет на мошенничество. А может и посерьезнее можно найти статью, что-то там о сговоре группой лиц. Если уволят то не проблема, а если посадят, то уже не так все сладко.wlr398
26.09.2019 12:32+1Отсканированный паспорт?
А их кто-то сканирует в сотовых ларьках?
Сам менял симку не так давно, продавец просто посмотрел и отдал.
Тут же дал карточку. Всё заняло меньше минуты.
Это ж не банк.
Есть вообще точки продаж типа стойки в супермаркете. Там и камер нет, какой уж сканер.vedenin1980
26.09.2019 13:39+1Есть вообще точки продаж типа стойки в супермаркете. Там и камер нет, какой уж сканер.
Любой смартфон сейчас — уже сканер. Есть и специальные приложения для этого. Сделать фото паспорта и видео человека, кто его предьявлет специальным смартфоном со специальной программой — вопрос пары секунд. Зато подделать довольно сложно. А ведь можно еще и сравнить с фото с паспорта, сохраненным в базе, чтобы подельный паспорт с левой фоткой тоже не прокатывал.
А их кто-то сканирует в сотовых ларьках?
А это уже вопрос насколько поставленна безопасность в сотовой компании. По идее за такое должны сотовую компанию штрафовать или пользователи, потерявшие деньги, должны идти в суд/общество потребителей. После десятка судов — компания быстро изменит правила.wlr398
26.09.2019 16:03Лучше бы того фотографию сверяли. Разбрасываться сканами паспорта ещё и по ларькам как-то уже перебор. И так их сканируют все кому не лень.
Но фото откуда-то должно взяться. Много абонентов пользуются симками по 10 и больше лет. Тогда просто вопроса такого не стояло. Ручкой анкетку заполняли, и это в лучшем случае.khim
26.09.2019 17:03Ручкой анкетку заполняли, и это в лучшем случае.
У меня в первом паспорте (на который SIM'ка зарегистрирована изначально) буквенная серия. В результате заменить SIM'ку можно только лично посетив офис. Ибо все электронные системы тупо не принимают такую серию… а почему они не могут принять новый паспорт — науке неведомо. Я три раза просил переключить, три раза мне говорили «всё отлично, в следующий раз сработает»… и три раза нифига не срабатывало. Пока забил, так как конкретно сейчас от меня до ближайшего офиса МТС километров… много.
Anrikigai
26.09.2019 19:28Отсканированный паспорт?
Когда менял паспорт по возрасту, на цветном принтере распечатал, вырезал и вложил в корочки от паспорта.
Конечно, снимать большую сумму в банк я не ходил, но во всех остальных ситуациях открывали корочки, смотрели цветное изображение паспорта, сличали с моей физиономией и возвращали. Этого было вполне достаточно.
p-oleg
26.09.2019 09:16Мне как-то понадобилось сменить сим-карту в зеленой сотовой компании. В салоне вообще без вопросов выдали новую симку. Все, говорят, старая не работает. Ваш номер на новой. Ни паспорт, ничего не спросили… Мск.
wlr398
26.09.2019 09:42По-разному бывает. Мне было нужно поменять симкарту, которой пользовался 10 с лишним лет. Симкарту подарили в ларьке при покупке мобильника. Записана оказалась на какого-то случайного человека. Понадобилось поменять на микросим. Не получилось. Несколько раз, в разных ларьках, всегда требовали привести того, на кого записано с паспортом. Пришлось менять номер.
catharsis
26.09.2019 19:58Я когда-то долго искал правильный ответ на этот вопрос и никто не мог толком сказать куда идти.
Потом внезапно симка сдохла и я пошёл в зелёный офис в ближайшем ТЦ. У меня был оригинальный пин-конверт и не было оригинального пластикового холдера — без лишних вопросов поменяли данные в профиле.
Кажется в 2003 году эта регистрация была добровольная и рандомное имя в личном кабинете появилось уже значительно позже
balamutang
26.09.2019 10:35Меня вот в МТС завернули с заменой сим, симка на сестру оформлена с той же фамилией. Видимо еще какой человек за стойкой попадется зависит.
khim
26.09.2019 13:37+1Зависит, но очень быстро они научаются больше «в глазах» читать, чем в документах. Ибо таких SIM'ок (оформленных на сестру, брата, свата, бомжа или вообще на тупой рандом) — миллионы. И выбор: либо терять миллионы абонентов, либо, иногда — единицы… когда номер целенаправленно угонят.
Внимательно проверять документы тупо невыгодно.
Haoose
26.09.2019 23:25Менял симку МТС, т.к. для нового смартфона понадобился новый формат, а старая была только в большом форм-факторе. Так в их офисе кроме собственно номера даже паспорта не спросили. Удивился. Это так любой может прийти, назвать номер, фамилию владельца и получить симку. Мда…
asorkin
26.09.2019 11:15+1В Москве таким образом из Третьяковки один хрен родом из Крыма вынес в прошлом году картину Куинджи, тоже про Крым. Просто подошёл, снял и вынес. Чухнулись только через несколько часов.
Задержали, посадили, вроде на три года. Чувак сказал, что сделал это по приколу за хайп.
smilyfox
26.09.2019 12:41+1Как раз вчера похититель картины Куинджи из третьяковки уехал на три года. По результатам уволили недобдившую смотрительницу
d3emp
26.09.2019 13:08+1Просто так там симки никто не перевыпускает, но учитывая оклад в 20к и в основном негативно настроенный контингент посетителей, проверка документов проводится посредственно. Обычно смотрят на совпадение имени-фамилии и серию-номер паспорта, если сменили фамилию, то имени-отчества. Иногда проверяют ранее выданые паспорта. Проверку паспорта на подлинность выполняют лишь когда выдают кредиты. Т.е. при замене симки паспорт даже редко в руки берут. Вполне достаточно более-менее качественной подделки. С другой стороны операторы берут заявление на замену сим, и там должна стоять подпись клиента. Заявление сканится и отправляется на сервер. Т. е. если левая замена, то можно поднять документы-камеры и попробовать доказать, что замена была произведена другим человеком.
gecube
26.09.2019 15:19А толку? к тому моменту, когда будет доказано, что это были не Вы, все Ваши аккаунты будут перерегистрированы и все деньги будут уже уведены… А потом идти в полицию… Ну, мы же все знаем какая это волокита будет.
Vilgelm
26.09.2019 07:58Перевыпускают что угодно, можете убедиться на соответствующих форумах.
Правда для виртуальных операторов такие услуги встречаются реже и стоят дороже, так что если хотите снизить вероятность перевыпуска, то возьмите сим-карту какого-нибудь виртуального оператора без офисов.
irondsd
26.09.2019 13:51Если злоумышленники перевыпускают симку по поддельной доверенности, то не важно, какой оператор. Всё зависит исключительно от сотрудников офисов, а они не всегда бывают умны. Особенно в регионах.
А спецслужбы чудесно справятся с задачей даже без перевыпуска, они устанавливают переадресацию и получают нужные смс, и вы даже об этом не узнаете.
kir_rik
26.09.2019 16:39В мегафоне в августе перевыпустили симку без паспорта и предоставления старой симки.
Только ФИО + номер.
Но первые сутки смс не работает. И на том спасибо.atbuhw
26.09.2019 16:52Многие сервисы, к сожалению, предлагают опцию «sms не приходит, пусть позвонит робот», так что если звонки не заблокированы, то атакующий всё равно угонит аккаунт сразу.
linux_id
26.09.2019 01:29+2У Яндекса же есть приложение для двухфакторной авторизации. Даже если иметь доступ к телефону привязанному к аккаунту то восстановить доступ получиться только зная пин код задаваемый при включении двухфакторной авторизации или через техподдержку.
cleaner_it
26.09.2019 07:25Да, есть, как узнал — сразу сделал. Неудобство в полной зависимости от телефона, с другой стороны — уж лучше такая зависимость, чем пожертвовать безопасностью
FDA
26.09.2019 09:29+1Я лично использую Яндекс.Ключ для основного аккаунта в Яндекс.Коннект. Он очень важен, т.к. через настраивается вся почта организации. Но при этом каждый день в него не заходишь, поэтому лишняя морока с приложением на телефоне не страшна.
tmin10
26.09.2019 14:18+1И плюс одно приложение на телефоне персонально для Яндекса. Все TOTP коды (MS, Google) в одном приложеньке, а Яндекс — в своём...
linux_id
26.09.2019 17:49Достаточно установить только Яндекс.Ключ он TOTP для всех других сервисов поддерживает.
DistortNeo
26.09.2019 22:16+2Так в этом и смысл двухфакторности: человек должен пройти обе проверки.
А нынешняя ситуация — это, наоборот, полуфакторность: достаточно пройти любую из проверок, чтобы получить доступ.
Strate
26.09.2019 23:01Вы пробовали восстановить доступ когда забыли пин код? Я пробовал — восстанавливается через смску. Так что это не панацея.
eps
26.09.2019 01:30+12Если для доступа к ящику достаточно номера телефона, это не двухфакторная, а старая добрая однофакторная аутентификация, причём единственный фактор не под вашим контролем.
ОПа жалко, но пусть его пример напомнит ещё раз:
- Не используйте сервисы, работающие через номер телефона (привет, Телеграм, Ватсап)
- Не привязывайте номер телефона никуда, где он опционален
- Не верьте байкам про «повышение уровня безопасности» при привязке номера. Вам обычно предлагают заменить фактор «знаю пароль» на фактор «могу получить SMS на общеизвестный номер»
codecity
26.09.2019 02:18Не используйте сервисы, работающие через номер телефона (привет, Телеграм, Ватсап)
Просто изначально это сервисы не для бизнеса. Для обычного пользователя это ОК, т.к. геммора с забытыми паролями/контрольными вопросами больше нет. Почему бизнес подумал, что они им подходят — абсолютно не понятно.eps
26.09.2019 02:31Почему бизнес подумал, что они им подходят — абсолютно не понятно.
Потому что бизнес хочет быть там же, где обычные люди, и говорить с ними на их языке.
Кто-то предоставляет специальные учётки для бизнеса (Facebook Messenger, iMessage), но, обычно, приходится регистрировать учётку на обычный телефон и всем его рекламировать
Fuzzyjammer
26.09.2019 15:16Для обычного пользователя это тоже не ОК, обычному пользователю не нравится, когда его держат за маразматика, который не в состоянии запомнить десяток символов пароля, обычному пользователю не нравится, когда он не может спокойно залогиниться с произвольного устройства и связаться с контактами, когда телефон не доступен (сел/утерян/роуминг не работает). Но почему-то такая схема вытеснила привычный логин по имени и паролю, даже телеграм, который рекламировался как «нормальный мессенджер, не чета вацапу и вайберу», последовал этому паттерну.
andreymal
26.09.2019 02:18привет, Телеграм
Ну справедливости ради в нём всё-таки сделали второй фактор в виде старого доброго пароля (что, впрочем, факта привязки номера телефона не отменяет)
eps
26.09.2019 02:24Этот пароль не сильно помогает — его можно сбросить по номеру телефона, с частичной потерей данных
andreymal
26.09.2019 02:26Ну не знаю, ткнул что забыл пароль — отправили код на почту.
Правда, почта на mail.ru с привязанным номером телефона :D
gecube
26.09.2019 09:38Помогает. В том и дело, что Вы должны решить — либо данные настолько ценны, что Вы готовы их потерять в случае утери ключей доступа, либо наоборот.
Меня лично кейс телеграма устраивает, т.к. я понимаю, что я могу купив новую симку получить ЧЕЙ-ТО номер и кто-то может получить один из моих бывших номеров. И я бы не хотел ни получать доступ к своей переписке, ни видеть чужую. Другой вопрос, что, да, люди, с которыми я контактировал могут удивиться, что под той же телеграм-учеткой другой человек, но это уже решаемый вопрос и в интернете никогда наверняка не знаешь, кто на другом конце.webkumo
26.09.2019 15:01Вот за этот идиотизм я и крайне нелюблю эти модные чатилки. Не, ну реально, понадобилось мне по какой-то причине (переехал в другой город/страну/планету, просто решил сменить оператора… раньше-то перенести было нельзя) сменить номер… И что? Где мой аккаунт?! Почему мне надо специально нотифицировать свои контакты о смене аккаунта?!
gecube
26.09.2019 15:20Телеграм позволяет привязаться к юзернейму, а потом можете номер менять. Это сложно? Нет. Требует доп. действий? Да. Но так же и с любым сервисом, который требует привзяки к номеру — не пользуетесь номером уже — возьмите и поменяйте.
Ashkelonium
26.09.2019 22:20Причем там действий на 5 минут, я когда сдал рабочую симку уезжая из России перепривязал номер к новой личной (рабочий номер не захотел сохранять)
webkumo
26.09.2019 23:31+1А вы представляете, skype, icq и многие другие позволяли создать акк и везде им логиниться. И не надо ничего переносить. И на одном устройстве — хоть 10 аккаунтов имей (некоторые даже в один и тот же момент позволяли логиниться в несколько акков).
Frankenstine представим на секундочку — потеряли телефон будучи в дргой стране, выхода нет, взяли новый телефон с временной местной симкой — в свой акк вы не войдёте в вайбере никак. В аське/скайпе — легко.
gecube
27.09.2019 00:30Это такой троллинг или я чего-то не понял? :-)
И, да, кстати, мелкософт легко может заблочить доступ, если решит, что Вы выходите с подозрительного места. Благо по почте можно подтвердить личность… Но почта тоже привязана к телефону
Замкнутый круг
А ещё — тот же телеграм научился с какого-то момента в мультиаккаунт ( в оф. клиенте можно синхронно несколько учёток использовать, а раньше решалось установкой нескольких клиент — например, телеграм + телеграм икс).
webkumo
27.09.2019 02:41+1И, да, кстати, мелкософт легко может заблочить доступ, если решит, что Вы выходите с подозрительного места. Благо по почте можно подтвердить личность… Но почта тоже привязана к телефону
Замкнутый кругК счастью, я был активным пользователем скайпа до того, как он поднял 4хцветный флаг. Собственно на текущий момент ни одной адекватной замены тому явлению, которое собой являли аська и скайп 2005го года я не вижу. Ибо, собственно, аська и скайп тоже стали вровень по уровню неудобства с хипстотскими неудобными мессенджерами, насильно привязывающимися к номеру телефона.
Да, кстати, в те же времена можно было завести мессенджер вообще не имея телефона!
atbuhw
27.09.2019 15:28+1Собственно на текущий момент ни одной адекватной замены тому явлению, которое собой являли аська и скайп 2005го года я не вижу
jabber?webkumo
27.09.2019 18:42К сожалению все попытки перейти на него ещё до 10го года провалились. Снова пытаться желания не возникает.
ivan386 наверное стоит посмотреть… проблема в том, что аська и скайп — это реально "явления" — массовые, удобные. А кто токсом пользуется?
atbuhw
27.09.2019 18:46До 10 года многие сидели на винде, открытость исходников и вопросы информационной безопасности были не так популярны. На мой взгляд, сейчас уж точно более хорошее время для повторения попытки, чем до 10 года.
webkumo
28.09.2019 02:19Ну был у меня в параллель поставлен линукс. Но низкая популярность и глюки ломали возможность нормально им пользоваться… лучший опыт с протоколом был на каком-то ру-почтовом домене, до того как они перекрыли общение с другими серверами. В общем с моей стороны для новых проб по-сути ничего не поменялось, а надежды на протокол и клиенты маловато...
ivan386
27.09.2019 19:39Те кому не нужна привязка к почте или телефону. Ну и отсутствие центральной точки отказа.
khim
27.09.2019 20:29В одну и ту же реку нельзя войти дважды…
Да, кстати, в те же времена можно было завести мессенджер вообще не имея телефона!
Тогда и в интеренет ходили не с мобильника (как сегодня в основном происходит) и людей, у которых был PC, но не было смартфона было достаточно.
Мир был другим — и мессенджеры были другими. Сегодня процент людей, имеющих PC, но не имеющих смартфона столь мал, что им можно пренебречь — отсюда и всё остальное…
А сегодня — мир поменялся. Разумеется вы не сможете найти замену явлению… потому что её и нет.atbuhw
27.09.2019 21:06Сегодня процент людей, имеющих PC, но не имеющих смартфона столь мал
Думаю, вы ошибаетесь. Среди сторонников СПО многие используют только телефоны типа «звонилка».khim
27.09.2019 23:55Среди сторонников СПО многие используют только телефоны типа «звонилка».
Вы имеете в виду Столлмана? Вы абсолютно правы, среди фанатов free software таких действительно много.
В каком месте? Все вместе взятые сторонники free software — это столь ничтожный процент населения, что он неспособен ощутимо подвинуть статистику ни в какую сторону.Сегодня процент людей, имеющих PC, но не имеющих смартфона столь мал
Думаю, вы ошибаетесь
Вот сторонники OSS (Open Source Software), которые разрабатывают GCC, GLibc и кучу других проектов… дело другое — их много и их интересы учитывают. Но они пользуются смартфонами и Макбуками,
а не ноутами на открытом MIPSе.
Если бы было иначе, то вещи типа Librem 5 продавались бы сколько-нибудь осмысленными тиражами. А на деле — даже поделки от Yandex'а продаются бо?льшими тиражами. Притом, что они могут в принципе кому-то интересны только на территории России, а подобные недотелефоны — вроде как должны распространяться по всему миру.
Только не нужны они никому. Ну, в сколько-нибудь ощутимых объёмах. Время «фанатов СПО», увы, прошло. Как ни прискорбно это сознавать.
Arris
27.09.2019 00:53Не подскажете алгоритм действий?
А то может я чего-то не понимаю в этом телеграме…
Frankenstine
26.09.2019 20:15+1Viber так же при смене симки говорит об обнаружении нового номера и предлагает прозрачно на него «съехать». Ваши контакты получат уведомление, что у вас сменился номер. Вам даже не нужно будет им звонить и объясняться или рассылать массово СМС «привет, это мой новый номер, запиши типа».
darthslider
26.09.2019 21:53В контексте разделения работа/личное меня очень парит, что в телеге нельзя просто(!!) создать второй аккаунт. Это прям пляски с бубном.
mkll
26.09.2019 20:45+1Если смена номера плановая, а не «аварийная», то любой из современных мессенджеров позволяет указать новый номер и выполнить миграцию на него.
При этом как минимум тележка и вайбер еще и пропишут этот новый номер у всех ваших собеседников в этом мессенджере в контакты уже в самом телефоне (в телефонной книжке контактов т.е.).
В некоторых случаях это, кстати, может быть минусом.
ViTTyler
26.09.2019 22:20А зачем сейчас покупать новый номер для личных нужд? Переход к другому оператору с сохранением номера работает вполне себе ок.
gecube
27.09.2019 00:31Есть нюансы. Начиная от того, что просто так переехать с номером из одного региона е оператору в другом регионе может не получиться (коллеги напоролись на это). Ну, и вообще смена номера стремная вещь, на самом деле.
0lom5zhdovdv
26.09.2019 02:25Потому номер от критической почты должен быть неизвестным. В идеале контрактным :)
eps
26.09.2019 02:28+1Поэтому у критической почты не должно быть номера
Fixed.
Если серьёзно — Google, Yandex, и, конечно, провайдеры посерьёзнее вроде Protonmail разрешают не иметь телефона у почтового ящика. Yandex вам не даст настроить 2fa без этого (иронично), у остальных, кого я знаю, всё хорошо
Eldhenn
26.09.2019 02:58+1Яндекс?! Попробуйте завести почту на яндексе без телефона. Подождите недельку, и попробуйте зайти в неё ещё раз.
edogs
26.09.2019 04:24Видимо индивидуально. Яндекс завели без проблем без телефона и все работает. А вот гугл без телефона завести не удалось, пришлось вбивать, правда потом удалось отвязать.
ValdikSS
26.09.2019 05:48Скоро перестанет работать. При попытке входа пришлют сообщение, что вас пытаются взломать, поэтому, чтобы защитить ваш аккаунт, привяжите-ка ваш телефон.
AlxDr
26.09.2019 16:12+1У меня несколько таких есть и пока всё нормально. Видимо, выборочно проверяют или по мере активации каких-то сервисов.
В формате «завёл почту, один раз на неё что-то активировал, записал пароль и закрыл» ящики держатся последние вот уж год как.
DrEds
26.09.2019 22:20Вот не факт. У меня есть куча старых аккаунтов, на которые я захожу раз в полгода и номера не требует.
Проблемы возникают, если ты заходишь из другого места, либо аккаунт делал что-то подозрительное.
Noiwex
27.09.2019 20:10Да, причём даже если заходишь с того же айпишника — не признают. Выполняют план ФСБ?
razielvamp
26.09.2019 07:21На яндекс без проблем учетки без телефона заводил.
А вот с гуглом, да, жопа. Блокируют учетку через пару дней без телефона. Если указать номер, а потом отвязать, то также блокируют учетку пока новый не введешь.
Микрософт тоже учетку блокировали без номера. Но после двух недельных ругательств со службой поддержки, таки смог воссьановить учетку без номера.
А что касается гугла, то есть небольшой лайфхак, если создать и использовать аккаунт на андроидфоне как основной, то его не блокируют.
Через некоторое время использования, наверное, можно от девайса отвязать.eps
26.09.2019 08:17В своё время имел привязанные к Гуглу, Яндексу и Фейсбуку мобильные номера. Давно отвязал их все и всё работает.
Они знают, что у меня был телефон (и я не бот), но не используют их для аутентификации или восстановления пароля
Frankenstine
26.09.2019 20:20С другой стороны, если ваш акк как-то взломают, у вас не будет даже возможности попытаться вернуть контроль (конечно, если «всё серьёзно», вам и номер ваш отвяжут быстренько).
atbuhw
26.09.2019 20:59если ваш акк как-то взломают
При условии надёжного пароля (уж для гугла можно непоскупиться и сгенерить и выучить уникальный и надёжный) и если гугл действительно вообще ни при каких обстоятельствах не пускает никак, кроме как по паролю, поверхность атаки значительно снижается по сравнению с sms, примерно так же, как с шифрованием диска по паролю. Если уж пароль выведали, то даже физический телефон украсть по сравнению с этим — не проблема.
mkll
26.09.2019 20:54У гугла важно наличие на аккаунтах TOTP 2FA. Если есть — учетки без телефонов живут спокойно и счастливо (тьфу-тьфу-тьфу).
atbuhw
26.09.2019 21:06-1Я правильно понимаю, что этот метод требует исполнения кучи закрытого гугловского и андроидовского кода при каждом входе?
mkll
26.09.2019 21:59Это TOTP. Его спеки открыты, реализации доступны в исходниках.
atbuhw
26.09.2019 22:07А как его использовать при входе в гугл? Я не нашёл, как это сделать в веб-версии гугла (может плохо искал, тогда прошу прощения) и как это сделать в thunderbird, поэтому мне показалось, что для этого нужно запускать приложение от гугла на андроидовском телефоне.
mkll
26.09.2019 22:36Заходите в Google Account, потом слева выбираете Security, будет примерно так, как на скриншоте по ссылке:
https://drive.google.com/open?id=1UVsWfNV3mlOt68zdZy6lnZ1OELwKc02K
А дальше уже выбираете конкретный способ 2FA.
Возможно, среди предложенных вариантов не будет нужного, а только через телефон и USB-key — тогда, говорят, помогает привязать телефон, снова попробовать включить 2FA, уже через TOTP, а телефон можно отвязать.
В Thunderbird это зависит от того, как вы настраивали аккаунт — выбрали Google Mail из предложенных или вручную как сторонний сервис. Если первое, то там, по-идее, должен быть 2FA, но я не уверен, потому что не пробовал, а не пробовал, потому что мне не нравится отдавать на сторону полный доступ к аккаунту.
Правильней будет
а) Сгенерировать app password в аккаунте гугла.
б) Настроить Thunderbird на использование стороннего почтового сервиса, указав вручную хосты IMAP и SMTP, порты и т.д.
в) При этом в качестве пароля к аккаунту указать app password из п. а).
App Password не дает полного доступа к аккаунту, не действует в веб-версии, это только доступ к почте через POP3/IMAP/SMTP, а для почтовой программы больше ничего и не нужно.atbuhw
26.09.2019 23:03Ясно, спасибо:
говорят, помогает привязать телефон
а телефон можно отвязать
Это я точно добровольно делать не буду и никому не советую, потому что не могу быть уверен, что при каких-то якобы «чрезвычайных» обстоятельствах гугл не примет sms-код с этого номера в качестве пароля. Здесь в коментах уже писали, что иногда гугл присылает sms на якобы «отвязанный» номер:
habr.com/ru/post/468909/#comment_20673717
Хотя в том случае автор и не написал, что sms на этот номер достаточно для входа, но с учётом того, что он пишет, такой вход кажется куда более вероятным, чем ситуация, когда гугл не знает вообще никакого номера, атакующий не знает пароля, но гугл его пустит по коду из sms на произвольный телефонный номер.
как вы настраивали аккаунт
Лично я выбрал из предложенных, но это было очень давно, может быть TOTP ещё вообще не было, и кажется, Thunderbird тогда никакой 2FA не предлагал.
отдавать на сторону полный доступ к аккаунту
Вы имеете в виду «на сторону» — это «сообщить приложению thunderbird»?
Сгенерировать app password в аккаунте гугла
Для этого, я так понимаю, нужно сделать 2FA, а для этого всё равно «временно» сказать гуглу свой телефон.mkll
26.09.2019 23:08Попробуйте, может быть, можно добиться желаемого без указания телефона. У меня лет 10 были указаны телефоны в аккаунтах, лет 7 настроена 2FA, года 2 назад я убрал все телефоны, 2FA/TOTP осталось. Т.е. я уже банально не помню всех подробностей и последовательностей действий, но текущее состояние таково, что 2FA/TOTP есть, телефонов нет, и гугл не возмущается по этому поводу, хотя периодически и напоминает при входе, что, мол, телефона нет, чувак, ты уверен, что так и надо? Я отвечаю уверен и он какое-то время не беспокоит. Но я и веб-интерфейсом редко пользуюсь.
sumanai
26.09.2019 22:07но не используют их для аутентификации или восстановления пароля
Уверены?eps
27.09.2019 09:31Да, легко проверить:
Откройте страницу входа в приватном окне браузера, напишите свой email и ткните «забыл пароль». Посмотрите, какую информацию будут спрашивать. Отвечайте на всё «я не знаю», чтобы вам продолжали предлагать варианты.
atbuhw
27.09.2019 15:30Это гарантирует безопасность, только если ответы на эти вопросы имеют такую же энтропию и секретность, как пароль. Иначе может оказаться, что при ответах на все вопросы «не знаю» вас пошлют, а если правильно ввести, скажем, настоящий год рождения, то попросят код из sms на «отвязанный» номер, а потом пустят.
Ackbar
26.09.2019 22:20А что если по imap попробовать получать почту без телефона, даст ли?
atbuhw
26.09.2019 22:47По imap гугл пускает ещё хуже, чем через веб-интерфейс. У меня бывали ситуации, когда в веб-интерфейс пускали без телефона (это до сих пор так, к счастью), а в imap нет, говорили «войдите через браузер».
razielvamp
27.09.2019 07:31У меня не было случаев когда на телефоне учетка использовалась, а через imap была заблокированна.
Кстати, у гугла по умолчанию в настройках конфиденциальности вход по smtp, pop3 (и, может быть, imap, точно не помню) отключен.
astraleuro
26.09.2019 07:31+1C google'ом есть лайфхак:
Берете сброшенный на дефолт android-смвртфон (скорее всего проканает и с эмулятором) и при запросе google-аккаунта выбираете «создать новый», придумываете пароль и радуетесь гугл-почте без номера телефона.
А из веб-версии да, обязыввает ввести номер телефонаVilgelm
26.09.2019 08:20Можно и из веб версии, но нужен резидентский айпи с которого до этого не регали аккаунты. Тогда он не будет спрашивать номер.
А вот «отвязка» на самом деле ничего не дает, даже если потом другой номер привязать, то при срабатывании антифрода потребует смску на номер который был указан при реге. Так легко аккаунт потерять.
upviqq
26.09.2019 08:24Это как повезёт, не универсальный вариант. Если с одного ip много регистраций, то и на смартфоне спрашивает телефон. Я так знакомым иногда смартфоны сбрасывал или настраивал новые и теперь с моего домашнего статичного ip без телефона не зарегистрируешься в гугле. Даже с тора иногда прокатывает, а я теперь в чёрном списке.
gecube
26.09.2019 09:39Учитывая, что у Вас провайдерский адрес, а не Вы сами себе купили IP-адрес, то ничего не меняется — какой-то клиент до Вас мог этот адрес заблочить (еще до того, как Вы получили статик)…
Ну, и давайте будем честными — статик — это означает, что у Вас адрес всегда при выходе в интернет один и тот же (против динамически изменяемого). Совершенно необязательно, что он не делится с кем-то еще (конечно, если в договоре с провайдером не указано иное)upviqq
26.09.2019 09:55Нет, у меня выделенный личный адрес и до того, как я стал часто регистрировать аккаунты, телефон не спрашивали.
goldrobot
26.09.2019 14:21Пытался зарегистрировать брату планшетик свежо купленный, с дуру вбил его реальный возраст, из-за которого гуголь решил создать обрубочный аккаунт (детский) с просьбой ввести почту мамы-папы. Откат и изменение возраста и прочее такое не помогало, ну никак, гугл писал «введите реальный возраст», или что-то около того.
Интернет был через вайфай, с белым ИПом. В итоге я даже через ПК несмог зарегистрировать, пока через впнку не попробовал.
Чего они этим добиваются?khim
26.09.2019 15:16Чего они этим добиваются?
Возможности не смотреть на небо в клеточку? За нарушения COPPA можно получить весьма немало.
Причём сам закон диктует вот это вот всё: он требует «защиты детей» — но при этом такой, чтобы ребёнок не смог догадаться, что его «защищают» и обойти её, просто обманув и сказав, что ему 90 лет.
Учитывая что вам эту защиту потребовалось обходить аж с помощью VPN (будем считать, что ребёнок, умеющий в VPN уже достаточно взрослый, чтобы порно смотреть)… цель вроде достигнута…
atbuhw
26.09.2019 21:07Не понял? То есть если с ip заергистрировался ребенок, то взрослый себе другой аккаунт завести уже не сможет?
khim
26.09.2019 21:25С того же устройства — нет. Хотя, может, если вайпнуть…
atbuhw
26.09.2019 21:28Вот мне тоже кажется, что если устройство свежекупленное и при первоначальной настройке что-то пошло не так, то возврат к заводским установкам — первая очевидная мысль. Особенно если (я правильно понимаю, что это так?) в гугле в итоге не «детский» аккаунт проапгрейдили, а завели абсолютно новый. То есть вы не пробовали вайпать?
A114n
26.09.2019 11:08Я не понял, к чему относилась ирония, ко всему предложению?
Ни гугл ни яндекс не разрешают завести почту без номера телефона. Может быть это можно обойти какими-то хитростями, но как обычный пользователь я просто вижу перед собой окошко с требованием ввода номера телефона и не могу с ним ничего сделать — ни закрыть, ни отложить на бесконечность.simpleadmin
26.09.2019 11:12Регулярно использую яндекс для одноразовых ящиков —
s.nord.by/s/m/2019-09-26_11-10-30_98ae3510-f4c9-4dec-a674-1a2085de2d081622.pngA114n
26.09.2019 11:18А вы всегда с одного и того же IP заходите?
simpleadmin
26.09.2019 11:22И так и так. Когда надо было 50 учёток в один день делал их через прокси.
Когда нужна одна делаю со своего статического. В среднем раз в месяц завожу новую со своего ip.A114n
26.09.2019 11:35Я помню я попытался удалить телефон с номера, и всё сработало, но когда я зашёл через VPN мне просто не дали зайти пока я опять не ввёл номер телефона и смс, тупо не мог открыть почту и всё.
Может быть что-то изменилось? Попробую при случае.
OrangeCrusty
26.09.2019 15:47используйте 10minutemail, это проще
simpleadmin
26.09.2019 15:53Отнюдь.
10minutemail, cock.li и т.д. не принимают многие сервисы, например github.
Плюс одна регистрация в yandex даёт сразу 6 алисов — ru|ua|by|kz|uz|com (возможно ещё narod.ru), которые воспринимаются сторонними сервисами как отдельные e-mail.klirichek
27.09.2019 05:26гугловый email тоже можно произвольно разбавить точками до собачки. Получается не один, а целое "облако" адресов, все сводятся к адресу без точек.
simpleadmin
27.09.2019 07:40Такое github принимает, но банит в течении первых 5000 запросов.
Как и варианты с "+".
eps
26.09.2019 11:16Всё серьёзно, только Яндекс требует ослабить защиту вместо усиления с TOTP.
У меня 3 яндекс-учётки и 1 google, телефон не доступен как способ восстановления ни в одной из них.
- К Google был привязан номер телефона (потому что Андроид). Успешно отвязался. 2FA через TOTP или резервные пароли, для восстановления номер телефона не предлагают
- Яндексовые, вероятно, тоже с номерами были. К одной привязан прямо сейчас (потому что Яндекс-такси), но для восстановления недоступен — доступен только резервный email или «заполните анкету с персональными данными и мы поговорим». 2FA через TOTP не дают включить, требуют разрешить аутентификацию по номеру телефона
khim
26.09.2019 13:47+1Если данные действительно серьёзные надёжнее озаботится и купить ключик.
Поскольку он, в отличие от телефона, клонируется пользователем, а не ОпСоСом, то шансы на то, что его «угонят» крайне малы.
P.S. Строго говоря U2F в принципе не клонируется, но имея один — можно привязать и другой к тому же аккаунту, достаточно дома (ну или в другом «надёжном месте») заныкать бумажку с кодами.
sumanai
27.09.2019 18:19Всё серьёзно, только Яндекс требует ослабить защиту вместо усиления с TOTP.
Не только, ещё mailru.
LAutour
26.09.2019 09:51+1Не используйте сервисы, работающие через номер телефона (привет, Телеграм, Ватсап)
Благодаря нашим «законотворцам» это все сложнее делать.
Archon
26.09.2019 10:08Не верьте байкам про «повышение уровня безопасности» при привязке номера. Вам обычно предлагают заменить фактор «знаю пароль» на фактор «могу получить SMS на общеизвестный номер»
Проблема начнётся тогда, когда сервис сойдёт с ума и решит, что ваш фактор «знаю пароль» недостаточен, чтобы войти.
Например, яндекс однажды просто взял и заблочил мою учётку за «подозрительную активность». Ничего, кроме пароля, там не стояло. Потребовался не один месяц, чтобы доказать, что я не верблюд, и восстановить аккаунт.
А эпл недавно молча включил обязательную проверку второго фактора при входе в некоторые их сервисы. Если же второго фактора нет, то попросят ответы на два контрольных вопроса, которые вы задавали лет так 10 назад. Ошиблись несколько раз подряд (хотя бы на один из двух) — добро пожаловать в блокировку. Восстановить контрольные вопросы, не имея привязанного второго фактора, нельзя, можно только выкинуть аккаунт и завести новый.
Поэтому лично я считаю, что номер по возможности должен быть привязан, но он не должен совпадать с общеизвестным вашим номером.Barbaresk
26.09.2019 16:22Тут возникает другая проблема. Если номером не пользуются, то он очень быстро протухает и уходит от вас. А если им пользются для личных разговоров, то все равно узнают при целевой атаке.
vikarti
26.09.2019 17:41Если вы за этот номер готовы платить и в принципе не против показать свои документы — не обязательно.
Пример — берем Zadarma.ru и регистрируем и себе номера. Сотовые — обычно 120 рублей в месяц, за номер (если России/США),. И хоть обпринимайтесь SMS (будут валится в их приложение/на почту/FB Messenger/Telegram).
Из недостатков:
— скан паспорта и остальное — придется им загрузить (вообще это сервис IP-телефонии а не).
— с Российских номеров отправлять (если оно вам надо) СМС — нельзя вообще в принципе.
— с MNP насколько я понимаю — оно не совместимо никак.atbuhw
26.09.2019 17:53Это очень дорого по сравнению с отправкой одной sms-ки себе раз в месяц с обычного номера, тогда не протухнет.
Другой вопрос в том, насколько это безопасно, как в случае zadarma, так и в случае обычных операторов (насколько сложно узнать такой номер, особенно если он используется при регистрации во многих местах, и потом провести стандартную атаку), и можно ли найти сервисы, НЕ ставящие клиентов перед выбором «или создавай уязвимость (говори телефон) или ожидай рандомного отказа в обслуживании и потери данных».wlr398
26.09.2019 18:59отправкой одной sms-ки себе раз в месяц
Раз в 3 месяца достаточно. В большинстве случаев номер не отберут гораздо дольше. У меня чёрный оператор забрал специально оставленный протухать номер только спустя полтора года. Даже оставленные копейки начали списывать гораздо позже 3 месяцев. Где-то через полгода, если правильно помню.
Archon
27.09.2019 13:20Это очень дорого по сравнению с отправкой одной sms-ки себе раз в месяц с обычного номера, тогда не протухнет.
Отправка периодической смски — это дёшево, но очень неудобно и сравнительно опасно. На каждую такую симку надо иметь отдельную звонилку, периодически вывозить звонилку «проветриться» (и отправить СМС) в место скопления людей, и т. д.
Почти у каждого оператора можно подключить какую-нибудь дешёвую ежемесячную услугу/абонплату, которая засчитается за активность номера. Цена вопроса обычно в районе 20 рублей в месяц. После этого симку можно положить в ящик и не беспокоиться вообще ни о чём.
Тут скорее вопрос в том, кому и как сильно надо взломать именно вас. Если речь об обычных жуликах с липовыми доверенностями, то достаточно просто нигде не палить номер и регистрировать его не на себя. Даже простым перемешиванием номеров в пределах одной семьи уже можно отсечь массу горе-злоумышленников.atbuhw
27.09.2019 15:20периодически вывозить звонилку «проветриться» (и отправить СМС) в место скопления людей
Это нужно, только если стоит задача обеспечения полной анонимности. Но тогда zadarma, где требуется скан паспорта (да и платить потом, вероятно, не биткойнами, и не через терминалы оплаты сотовой связи, а даже если и через терминалы — это такое же неудобство, как проветривание симки) — явно бесполезная опция.
Я скорее комментировал предыдущие комментарии в этой ветке, где полная анонимность вроде не предполагалась, а фактически предлагалось использовать номер телефона как пароль (ещё один или единственный, в зависимости от сервиса), со всеми недостатками такого «пароля».Archon
27.09.2019 15:24Будем отталкиваться от того, что всё, что знает ваш сотовый оператор о вас, посмотрит любая Маринка в любом салоне связи под Новокузнецком. Максимум, что этой Маринке в итоге светит за массовый перевыпуск карт — увольнение с офигенской зарплаты в 7 тысяч рублей.
Т.е. чтобы хоть как-то усложнить Маринке жизнь, сим-карта для восстановления пароля должна быть по самому минимуму оформлена не на вас, и никогда не светиться с вашего IMEI. Остальное опционально и зависит от уровня параноидальности, да.atbuhw
27.09.2019 15:32Казалось бы, если Маринка работает в компании zadarma, она может сделать то же самое.
Archon
27.09.2019 15:42Конечно. Я и не призываю ей пользоваться, даже наоборот, обеими руками за левые симки с подключением какой-нибудь дешёвой опции, делающей их несгораемыми.
atbuhw
27.09.2019 15:48С этим согласен. Хотя на мой взгляд, лучше искать и использовать безтелефонные сервисы, их пока ещё можно найти.
А ещё вместо опции есть вариант мегафон-мльтифона, с которого можно звонить через voip каждый месяц (и пропускать эти звонки через vpn, tor и всё, что пожелает фантазия). Примерно тот же уровень безопасности.
vikarti
28.09.2019 06:52«Стандартную атаку» = «прийти в центр обслуживания и мальчика который работает за 20 тысяч в месяц попросить перевыпустить карту»? С Zadarma и аналогами — не пройдет фокус.
Если речь про дыру с «роумингом» в SS7 — тут все же немного повыше уровень атаки.
Если про дыру что товарищи в штатском вежливо попросят копию СМС… отправка СМС на e-mail у Zadarma — штатный функционал вообще то и документы они — просят. От такой атаки — не защитят. И да, оплаты биткоинами нету.
Если же товарищи в штатском — угроза и выбран вариант использовать дешевую левую симку тогда надо эту симку не ставить в телефоны где была «родная» и не включать этот телефон вне мест скопления людей (куда идти с выключенным/в авиарежиме своим телефоном) — соответствие данных симки и IMEI спалите.
Вопрос именно в том, от кого именно мы защищаемся? И сколько готовы потратить.
claygod
26.09.2019 16:30Если вторая симка от оператора другой страны, возможно это будет полезно.
atbuhw
26.09.2019 16:40Не очень, поскольку есть уязвимость SS7. Коротко: российский оператор может сказать оператору, выпустившему симку «симка роумится у меня» (уязвимость в том, что оператор, выпустивший симку, не может это проверить), а потом за взятку или по приказу компетентных органов форвардить все sms атакующему.
Вообще говоря, это может сделать любой оператор, но тому, у которого реально роумится ваша симка, даже врать не надо, говоря «симка роумится у меня».claygod
26.09.2019 16:55Интересно. Но как я понимаю, это технически посложнее и требует большей подкованности в вопросе, чем та, что профигурировала в истории автора.
atbuhw
26.09.2019 17:04Технически, если симка реально роумится, не знаю. Вопрос в том, насколько «близко» у операторов лежат таблицы «sms отправленные на данный роуминговый номер» (для чтения) и «физические sim-карты, соответствующие собственным номерам» (для записи). Но это правда, что легитимный перевыпуск сим-карт происходит постоянно, а ситуацию «настоящий абонент просит у роумингового (!) оператора копию полученных sms» представить себе сложнее.
xenolog
27.09.2019 18:30ОПа жалко, но пусть его пример напомнит ещё раз:
Не используйте сервисы, работающие через номер телефона (привет, Телеграм, Ватсап)
В Телеграме, кажется, чутка хитрее.
Если есть активные сессии, то придет не CMCка, а уведомление в телеграм от сервисного аккаунта.
Berks
26.09.2019 03:34Мэйлру буквально на днях обновил интерфейс почты. Теперь на входе предлагает ввести пароль или войти по смс. И это действительно нифига не двухфакторная.
prizzrak
26.09.2019 10:56Ахах. Это еще что. Вот у кого «двухфакторная авторизация», так это у letyshops.
Был зареган аккаунт, привязан телефонный номер для подтверждения вывода средств. Прошлым летом летели с женой на самолете и, на пересадке в аэропорту, на почту свалилось письмо, что оформлена заявка на вывод средств на яндекс-кошелек. Я, будучи вполне уверенным, что находясь даже без доступа к СМС (роуминг не подключал) никаких заявок не подавал — сразу написал письмо в ТП, что происходит грабеж среди бела дня и успокоился. Когда в следующий раз добрался до интернета опять — деньги были уже выведены и ТП написала, что все порядке и ничем помочь не могут. В процессе общения с оной выяснилось, что их «двухфакторная авторизация» заключалась в том, что для подтверждения вывода средств нужно было просто ввести ПОЛНЫЙ привязанный номер в строку подтверждения и ВСЁ! Даже никаких кодов через СМС они не посылали.
Денег так и не вернули (было больше ста баксов кэшбэка) и это была последняя моя встреча с letyshops.vladkorotnev
27.09.2019 08:30+1Ну так, если всем по правде по сто баксов раздавать, то и правда разориться можно, а так в базе пометил выданными и готово :-)
hssergey
26.09.2019 04:11А у опсосов было же, что при замене симкарты СМС блокируются на сутки. Как раз для избежания таких ситуаций. Или там двухфакторная аутентификация по звонку?
romicohen
26.09.2019 04:43Заявления в полицию, в ФСБ (отдел «К»), в Роскомнадзор (дада, пусть хоть раз что-то полезное сделают).
Настаивать на том что дело срочное.
Копии заявлений следует прикрепить к письмам в МТС, Рег.ру и исходному регистратору домена. Пусть блокируют возможность изменения записей в dns до решения суда.
Думаю всё решаемо. Главное действовать быстро.
Удачи!lamer84
26.09.2019 11:24Хаха. Знаете, что Роскомнадзор сделает? Направит через месяц запрос в МТС. Отгадайте, что на этот запрос ответит МТС? Подсказка: они себе не враги.
msatersam11
26.09.2019 15:20Периодически что-то подобное с народом происходит…
Периодически мошенников за ж.пу таки ловят.
Вообще, всегда забавляла такая позиция: «все плохо, а потому, жаловаться никуда и что-либо делать я, разумеется, не буду — только поною и пообвиняю всех вокруг… даже тех, кто не при делах»lamer84
26.09.2019 18:30Вообще, всегда забавляла такая позиция: «все плохо, а потому, жаловаться никуда и что-либо делать я, разумеется, не буду — только поною и пообвиняю всех вокруг… даже тех, кто не при делах»
Не, я не говорю, что жаловаться не надо. Я описал конкретную реакцию РКН на действия с паспортными данными (по идее же перевыпуск сим-карты должен по паспорту производиться) из личного опыта. Собственно, просто пришлась к слову.
MikhailZakharov
26.09.2019 15:42Как сказать. Я когда возвращал деньги за подключенные платные услуги, то воспользовался Роскомнадзором как рычагом. С МТС звонили и просили отозвать обращение. Так что в моем случае это работало.
lamer84
26.09.2019 18:31С возвратом денег, видимо, прокатывает, я слышал не одну историю про то, как просят забрать обращение. И это хорошо, хоть как-то работает.
and7ey
27.09.2019 20:16Уже не работает. Роскомнадзор теперь отвечает, что мы тут не причём — идите в суд.
cri0gen
26.09.2019 22:21+1Отдел К к ФСБ не имеет никакого отношения и заявления напрямую не принимает. В отдел К запрос может послать следователь полиции (если у него будет желание и настроение) и только после этого они будут что-то делать. Ну а Роскомнадзор тут совсем не при чем.
ivlis
26.09.2019 05:30Автора очень жаль, но это всем напоминание что смс не является надежным каналом для второго фактора. Только приложение типа Google Authenticator, USB ключ или смарткарта. Это все стоит очень дёшево и позволить себе может даже простой человек, не то что бизнес.
https://techbeacon.com/security/state-two-factor-authentication-text-what-security-pros-need-know
Vilgelm
26.09.2019 08:25А вы не знаете случайно как теперь включить двухфакторную по OTP в Gmail, если она не была включена до этого? Недавно попробовал для нового аккаунта, а там просто нет такой опции, вообще. Есть смс и «разрешать вход на телефоне».
bacminuscab
26.09.2019 09:15OTP в Gmail как отдельный способ защиты теперь недоступен (если ранее не был включен). Где-то год уже как.
Кто-то пишет, что OTP как опция появляется при привязке телефонного номера, — для возможности восстановления OTP, но это совсем не тот уровень защиты по OTP, что был у Google раньше.Vilgelm
26.09.2019 09:17Интересно можно ли привязать номер, включить OTP и потом отвязать его?
И нафига они вообще так сделали?bacminuscab
26.09.2019 09:54Видимо, далеко не все заботятся о сохранении OTP где-то еще помимо основного устройства, тогда при пропаже основного телефона доступ к аккаунту потерян.
Сейчас попробовал, вполне рабочий вариант — выбор для второго фактора уведомления на устройстве (он идет в комплекте с 10 резервными кодами), после этого становится доступно добавление OTP.
DaemonGloom
26.09.2019 09:19support.google.com/accounts/answer/185839?co=GENIE.Platform%3DAndroid&hl=ru
Пройти по всем шагам из инструкции — самое простое. Где-то месяца два назад делал — всё успешно было. Правда у меня номер привязан.
NetBUG
26.09.2019 09:18SMS вообще не является безопасным каналом связи.
Можно только догадываться, почему каждая собака норовит его спросить при регистрации.eps
26.09.2019 10:14Им удобно, что к каждому пользователю привязан номер паспорта и все проверки клиента уже провели спец. организации.
Попробуйте зарегистрировать что-нибудь на международный номер телефона, вроде iNum. Вам не дадут; у сервисов есть ограниченный список стран, номера которых принимаются.
NetBUG
26.09.2019 10:34Собственно, я такими сервисами и не пользуюсь в итоге.
У меня есть два отличных номера, которые я иногда использую для регистрации, один эстонский, второй гонконгский; если сервис почему-то не готов их принять — вероятно, он не нужен.
atbuhw
26.09.2019 16:19Можно только догадываться, почему каждая собака норовит его спросить при регистрации.
Полагаю, что чтобы затруднить доступ анонимным оппозиционерам. А на безопасность пользователей им иногда более-менее плевать (тогда они разрешают сброс пароля через sms), а иногда всё же нет (и тогда они всё же требуют обычный пароль).
BackDoorMan
26.09.2019 10:34+3Тут есть ещё момент, что при внезапном окирпичивании телефона про доступы привязанные к G.Authenticator можно забыть.
Prototik
26.09.2019 11:06OTP секреты можно бекапить. Лично мои лежат зашифрованные gpg в git репе (-ах).
Mogwaika
26.09.2019 11:08А как его вообще переносить на другую мобилку?
ovalenko
26.09.2019 19:20Использовать менеджер паролей, они уже многие генерируют OTP.
Бесплатный офлайн менеджер Enpass, базу между устройствами синхронизируете через любое облако Google Drive, Dropbox и др.
Папку синхронизации делаете с офлайн доступом.
Таким образом актуальная зашифрованная база паролей с кодами будет всегда на
- Облаке (онлайн)
- Компьютере (офлайн)
- Телефоне (офлайн)
- В корзине облака (если удалится)
sumanai
26.09.2019 22:15+1Бесплатный офлайн менеджер Enpass
В первый раз слышу. И я не вижу ссылки на исходные коды.
Использую KeePass с плагином KeeOTP и бед не знаю.linux_id
26.09.2019 22:52Держать пароли и плагин для генерации одноразовых кодов на одном устройстве и к тому же в одной программе — глупее не придумаешь.
atbuhw
26.09.2019 23:06Это уж точно не менее надёжно, чем использовать только пароль. А иногда и более — больше шансов, что борцы с анонимностью в гугле или в других сервисах не будут уж слишком борзеть и требовать «повышения безопасности», когда авторизация и так двухфакторная с их точки зрения.
sumanai
27.09.2019 18:26Согласен, это не двухфакторная авторизация, просто дополнительная защита от перехвата пароля.
Volodar
26.09.2019 11:22При включении Google Authenticator выдается набор разовых кодов, как раз на подобный случай. Хранить их в отдельном от телефона месте и при потери телефона возможно будет войти в аккаунт.
Eugney
26.09.2019 12:51+1Храните токены в хранилке паролей, в случае необходимости есть, например, WinAuth.
AlxDr
26.09.2019 16:27Насколько я понял из текста, второго фактора в данном случае не было в принципе.
Двухфакторная аутентификация предполагает использование двух независимых друг от друга факторов. Если один можно восстановить через другой (пароль через смс, например), то 2FA в данном случае фактически отсутствует.
Vilaine
26.09.2019 07:27+2Государство уже чуть ли не сажает за нарушения работы с персональными данными, а тут номер увели, альфа и омега современной жизни. Не мог бы мобильный оператор понести крупную материальную ответственность за свою ошибку? Это было бы весьма выгодно всем гражданам.
polar11beer
26.09.2019 10:20На деле, эти данные регулярно утекают и гуляют в свободном доступе.
Praksitel
26.09.2019 14:04+1У меня недавно в ватсапе была переписка с неизвестным номером, следующего содержания (по памяти, Я и НеизвестныйНомер):
(НН) — Привет! Можешь помочь с телефоном?
(Я) — Привет! Как?
(НН) — У меня не получается зарегистрироваться, поможешь?
(Я) — Как?
(НН) — Ну тебе сейчас придёт пин-код, а ты мне его скажи.
Возможно, даже такое прокатывает.mkll
26.09.2019 21:27+1Моей маме недавно пришло письмо от Apple, в котором было написано примерно следующее:
«Дорогая Анна, вы зарегистрировали новую учетную запись Apple на ваш email <такой-то>, для подтверждения нажмите на ссылку внизу».
Мою маму зовут иначе и она ничего не регистрировала, просто кто-то ошибся email'ом.
Так вот — было очень трудно объяснить ей, что вообще происходит, что письмо не ей, и что нажимать на ссылку не надо. Если бы меня не было в зоне досягаемости, она бы нажала на ссылку, как пить дать.
А еще я сталкивался с тем, что при регистрации на каком-нибудь сервисе через email/пароль люди не понимают сути происходящего. Вводят не только email, но и пароль от своего почтового ящика (!). Потому что думают, что эти реквизиты нужны сервису, чтобы иметь доступ к почте. Зачем — сказать не могут, потому что не понимают в «этих ваших интернетах» почти что ничего.
Так что с такой интернет-грамотностью прокатить может вообще всё что угодно. В каком-то смысле это другая планета совсем. :)khim
26.09.2019 21:59Вводят не только email, но и пароль от своего почтового ящика (!). Потому что думают, что эти реквизиты нужны сервису, чтобы иметь доступ к почте.
Когда этого не понимает ваша мама — это ещё ладно. Но когда этого не понимают создатели Web-сайтов… то возникает ощущение, что это мы все тут на другой планете.
Несколько лет назад я наблюдал как какой-то немец при мне покупал что-то. Так ему сторонний сайт попросил ввести имя и пароль от его аккаунта в Дойч-Банке! Которые тот, не моргнув глазом, ввёл! Ему пришла SMS'ка, он подтведил заказ, через пару дней товар пришёл…
То есть Web-сайт просто заходил под его именем и паролем в банк и, как бы, нажимал там кнопки, чтобы отправить деньги. Причём это был не развод, а как, я понял — тогда считалось, что, типа, так и надо… Не знаю — сейчас у них это всё так же роботает или уже прикрыли лавочку…
Сказать, что я ох#%$ел — значит ничего не сказать…
А вы говорите — мама, которая ничего не смыслит в интернетах…mkll
26.09.2019 22:21Друзья, живущие в Штатах, сообщают, что отправить скан кредитки факсом или продиктовать продавцу по телефону все реквизиты карты — обычная практика.
Это обусловлено тем, что, во-первых, в целом обмана и кидалова гораздо меньше в обществе, а во-вторых, процедуры отзыва платежа или расследования мошенничества отлажены и работают без лишних телодвижений, поэтому люди знают, что они не потеряют свои деньги таким способом. Насколько мне известно, скажем, при card payment refund банк сначала отменяет платеж, возвращая деньги клиенту, а уже только потом начинает разбираться в обстоятельствах инцидента. Т.е. клиент крайним не бывает никогда или очень редко. У нас же клиент крайний всегда.
Ну и само понятие «мошенничества» тоже иногда прям радует. Не слышали про некую австралийскую фирму, которая работала на рынке интим-товаров под неким брендом, в то же время название юрлица было крайне неприличным? Схема была следующей: у них покупали товар, оплачивали онлайн, они товар под какими-либо предлогами не отгружали, а предлагали вернуть деньги путем отсылки чека по почте. И реально присылали чеки на полную сумму, всё без обмана. Но на чеке было крупно написано стыдное и неприличное название фирмы-чекодателя. Расчет был на то, что люди постесняются нести этот чек в банк для обналичивания. Какая невинная шалость, но деятельность фирмы признали мошеннической — далее суд, Сибирь (вернее, Аутбэк).
Когда этого не понимает ваша мама — это ещё ладно
Да, но таких «мам» — половина Рунета, извините.khim
26.09.2019 22:28Это обусловлено тем, что, во-первых, в целом обмана и кидалова гораздо меньше в обществе, а во-вторых, процедуры отзыва платежа или расследования мошенничества отлажены и работают без лишних телодвижений, поэтому люди знают, что они не потеряют свои деньги таким способом.
Нет, не надо так глубоко копать, это вообще всё совсем не о том. Просто в США был один этап, который Россия пропустила напрочь (как пропустила и чеки, о которых вы пишите чуть ниже): заказ товаров по каталогу. Когда фирмы выпускали (обычно ежемесячно, иногда чаще, иногда реже) каталог всех товаров и рассылали его по почте (обычной, не электронной), а товары потом заказывались по телефону. Это ещё в 70-80е было.
Ну и как вы в подобной системе обойдётесь без того, чтобы продиктовать реквизиты карты по телефону? Или, позже, без скана кредитки, отосланного факсом?
А вот дать пароль от банка, чтобы от вашего лица в банк позвонили и что-то сделали… я не думаю что такое когда-либо было. Даже в Германии.
Да, но таких «мам» — половина Рунета, извините.
Это понятно, моё замечание было о другом: если даже вебмастера не понимают, что так делать не надо — то чего вы хотите от условных «мам»?mkll
26.09.2019 22:49Нет, не надо так глубоко копать, это вообще всё совсем не о том. [...] Ну и как вы в подобной системе обойдётесь без того, чтобы продиктовать реквизиты карты по телефону?
Никак. Но если бы был большой процент кидалова, то эта тема вообще бы не взлетела. Или даже не началась бы, потому что люди думали бы «как? продиктовать реквизиты карты продавцу? он же украдет все мои деньги!»
Так что это именно о том. Именно на этой основе подобная схема могла появиться и появилась.khim
26.09.2019 23:06Или даже не началась бы, потому что люди думали бы «как? продиктовать реквизиты карты продавцу? он же украдет все мои деньги!»
Ну так началась она ещё раньше — в 30е, до войны. Тогда их выпускали продавцы и вопроса «а что он будет делать с моими данными» не возникало в приниципе: все эти данные у него и так были! Ну и дальше, потихоньку, когда эта система расширялась… банки же не подписывали договора с мелкими, никому не известными, компаниями… какой смысл компании стоимостью в несколько миллиардов воровать у вас тысячу долларов? Смешно.
В России этот этам тоже был пропущен, так что оношение к кредиткам и их номерам с самого начала было совсем другое…mkll
26.09.2019 23:16Да, отличий и факторов так много, что выделять в качестве главной причины что-то одно не имеет смысла.
juray
26.09.2019 23:51+1Да ладно телефон, изначально процедура оплаты картой в обычных торговых точках представляло собой снятие копии — оттиска (слипа). Собственно, именно для этого надписи на картах рельефные. Считывание магнитной полосы внедрилось сильно позже, в 70-х — а эмбоссированные карты появились аж почти в начале века.
TheGodfather
27.09.2019 19:32А вот дать пароль от банка, чтобы от вашего лица в банк позвонили и что-то сделали… я не думаю что такое когда-либо было. Даже в Германии.
Было и есть, в 2019 году и именно в Германии зачастую при заказе в интернет-магазинах просят ввести банк и логин\пароль от *вашего интернет-банка*. И ничего, люди вводят.khim
27.09.2019 20:32Было и есть, в 2019 году и именно в Германии зачастую при заказе в интернет-магазинах просят ввести банк и логин\пароль от *вашего интернет-банка*. И ничего, люди вводят.
Да, но как до этого дошли? Диктовать номер кредитки — это понятно, американцы так делали задолго до появления интернета.
Но ведь в офлайновом мире логин/пароль никто не спрашивал и от вашего имени в банк не звонил… так почему этот подход прижился???
RaFaeL-NN
26.09.2019 23:07Ну и само понятие «мошенничества» тоже иногда прям радует. Не слышали про некую австралийскую фирму, которая работала на рынке интим-товаров под неким брендом, в то же время название юрлица было крайне неприличным? Схема была следующей: у них покупали товар, оплачивали онлайн, они товар под какими-либо предлогами не отгружали, а предлагали вернуть деньги путем отсылки чека по почте. И реально присылали чеки на полную сумму, всё без обмана. Но на чеке было крупно написано стыдное и неприличное название фирмы-чекодателя. Расчет был на то, что люди постесняются нести этот чек в банк для обналичивания.
Так это ж из фильма «Карты, деньги, два ствола»
www.youtube.com/watch?v=KIRGFBBpNNQmkll
26.09.2019 23:22Ха-ха, я не видел многих из известных фильмов, не знал. :)
А вот интересно, была ли вообще эта австралийская история в реальности? Я читал про нее давно, но уж точно не 20 лет назад (фильм вышел в 1998-м), так что автор мог и присочинить. С другой стороны, она могла послужить реальным прообразом для этого эпизода в фильме.
begin_end
28.09.2019 03:10Но на чеке было крупно написано стыдное и неприличное название фирмы-чекодателя.
Неужто кто-то в реале все-таки реализовал эту идею из фильма? Если найдутся ссылки на новость, было бы интересно почитать подробности.
fin_all
26.09.2019 22:22Звонили мне два дня подряд — в понедельник и вторник с одного и того же номера. Знали И.О.
rdc
27.09.2019 15:18Мобильный оператор не занимается обеспечением безопасного доступа к учёткам в интернете. Он не брал на себя такую ответственность и не расписывался под ней в договоре. Ошибка совершена не им, а тем, кто придумал использовать SMS для этих целей.
atbuhw
27.09.2019 15:24На 100% не поручусь, но оператор скорее всего по закону обязан обеспечивать тайну связи. Так что им тоже совершена ошибка, если по закону. Другое дело, что понятно, что все они, и операторы, и яндекс, руководствуются не законами, а в первую очередь борьбой с анонимами, а во вторую очередь руководствуются взятками.
user004
26.09.2019 07:48Если симка выпускается по доверенности, то операторам следует сделать запрет на получение всех смс и звонков в течение часа, например. (Что может создать другие проблемы)
Изменение этой настройки должно быть с большой задержкой и так же уведомлением.
У некоторых операторов можно запретить действия (перевыпуск) по доверенности.
По-хорошему оператор должен впаривать это так же, как и платные услуги.
Есть еще варианты перевыпуска симки?
bacminuscab
26.09.2019 10:27Уже обсуждались похожие темы, — запрет на час (и несколько часов) не особо поможет, если замена сим проводится утром на Дальнем Востоке, к примеру, а вы — к западу от Урала.
Запрет замены по доверенности (если он действительно программно ограничивает замену сим в офисах, а не просто сохраняет это как галочку в системе) никак не защищает от недобросовестного сотрудника точки продаж, который скажет, что ему показали паспорт, — ответственности у оператора за такого сотрудника нет.
Matsun Автор
26.09.2019 07:55+2Спасибо за советы!
Тем временем уже произошла смена DNS на нового владельца
Name Server alan.ns.cloudflare.com
Name Server sofia.ns.cloudflare.com
Сегодня предстоит много работы, посмотрим что выйдет…scarab
26.09.2019 15:17Повод написать ещё в поддержку CloudFlare о том, что с данным доменом производились мошеннические операции. С некоторой долей вероятности притормозит процессы и усложнит мошенникам жизнь.
Desavian
26.09.2019 07:58Хм, после перевыпуска сдохшей симки у мегафона целый день не приходили вообще никакие смски, даже отправленные с самого же телефона на него… в обратную сторону все работало и смски с этой симки посылались… имхо вполне достаточно для того, чтобы разобраться в ситуации и все вернуть как было… почему у МТС до сих пор не так — сложно сказать.
з.ы. уточнял в отделении мегафона когда симку менял — включить смски раньше этого периода они из офиса никак не могут, ни за деньги ни при предъявлении любых документов (у меня и паспорт и договор, все было на руках)
SlavniyTeo
26.09.2019 08:18На тему долгого пути до службы поддержки оператора мобильной связи.
Имеет смысл не звонить со своего телефона к оператору, а пойти на его сайт и написать ему в чатике. По моему опыту опечаток при пополнении счета, отвечают быстро и проблемы решают.
Последний раз в чатике писал Мегафону, собеседник тест Тьюринга прошел успешно. Может быть, благодаря тому что проблема была очень типовая (пополнение счета на неверный номер).
Лучший вариант: одновременно и звонить, и писать (если ПК под рукой).
Vilgelm
26.09.2019 08:29Надо давно уже запомнить, что СМС ненадежны, привязка номера скорее снижает защиту, чем ее повышает, особенно если это российские номера. Если есть выбор между OTP и SMS следует выбирать OTP. Если приходится пользоваться именно СМС, то найдите где-нибудь сим карту AT&T, купите на ebay портативную AT&T соту, подключите ее дома и регайте все на этот номер, так хотя бы намного меньше шансов что симкарту перевыпустят или смс перехватят.
screwer
26.09.2019 10:17Чтобы когда сим карта сдохнет/потеряется/залочится лишиться сразу всего. Зато другим не досталось.
Vilgelm
26.09.2019 10:44Из двух зол выбирают меньшее, это явно меньшее зло.
vladkorotnev
27.09.2019 08:40Но если речь про AT&T Microcell — увы, их больше не выпускают. А получится ли привязать существующую для работы из России, так-то, интересный вопрос.
Vilgelm
27.09.2019 08:58Из России они напрямую не работали, но если на роутере поднять впн до США, то вполне работали. По крайней мере насколько я об этом слышал.
aborouhin
26.09.2019 15:02Вот недавно сам озадачился подобным вопросом — найти более надёжную (читай — не российскую) SIMку для 2FA.
Пока основной вариант, который рассматриваю, — купить финскую симку Elisa (Saunalahti). Регистрируется на себя, можно через личный кабинет заказать перевыпуск с выдачей в салоне в Финляндии (а смотаться до туда из Мск в крайнем случае быстро и недорого), работает в РФ, есть тариф без абонплаты. Заодно как тревел-СИМку для инета в Европе можно использовать.catharsis
26.09.2019 20:04она не требеут каждые три месяца что-нибудь делать, чтобы оставаться в живых?
aborouhin
26.09.2019 20:06Пишут, что минимум раз в год пополнять баланс надо только. Если её в путешествиях использовать — то так или иначе придётся. А если не использовать — ну, значит, минимальную сумму пополнения считаем годовой абоненткой за это счастье.
NIKOSV
26.09.2019 08:34Это не двухфакторная аутентификация, а СМС аутентификация.
Правильная мультифакторная аутентификация включает в себя три вещи:
1. То, что ты знаешь (пароль)
2. То, чем ты физически владеешь (физический ключ, телефон)
3. Твоя биометрика (опечаток пальца, сетчатка)
Как это выглядит с помощью того же гугл аутентификатора или lastpass аутентификатора?
1. Вводишь пароль
2. На телефон приходит уведомление что пытаются залогиниться туда-то, разрешить?
3. Разрешаешь и сканируешь свой палец
Жаль что далеко не все сервисы и приложения поддерживают это. Я бы сказал единицы кто поддерживает.MikhailZakharov
26.09.2019 15:48У lastpass есть возможность получить СМС, даже если подключен аутентификар. Там под полем ввода кода есть ссылка типа «у меня нет приложения сейчас, отправьте СМС». Я им фича реквест создавал, с просьбой дать возможность отключать СМС при 2FA с помощью других устройств. За 2 года ничего не сделали, пришлось уйти с них. Может быть, конечно, сейчас уже реализовали.
Dioxin
26.09.2019 08:362FA стало совсем мало.
Больше FA, хороших и разных.
И почту для бизнеса может лучше свою замутить? С опричниками и палачами.
Sserge
26.09.2019 08:36Я попросил свою знакомую перевыпустить мне сим-карту, сам был не в РФ а симку СВОЮ потерял. Мегафон.
Послал копию паспорта и отдельно свою подпись, плюс форма с их сайта, она в фотошопе наложила, распечатала и сделала копию.
Я ни помнил ни номер договора ни кодовое слово но в офисе все сделали. Хотя сначала не хотели но моя знакомая немного надавила на них.
Это к тому что процесс реально не сложный если есть копия вашего паспорта или паспортные данные + фото.
А на этой симке был доступ к банкам и в случае злого умысла, деньги бы увели…
ajratr
26.09.2019 08:36Такое ощущение что за вами охотились и вели подготовку для выполнения всех тех действий что вы написали.
Перевыпустили симку. Тут же полезли в ящик почтовый. Что бы туда попасть надо знать адрес электронной почты и знать что этот номер привязан именно к этому адресу, либо вы включили номер телефона как логин. По умолчанию номер телефона как логин для доступа в почту не используется.
Начали переносить домен.
Слишком уж быстро события разворачиваются.
Или я не прав и по номеру телефона в течении нескольких минут можно пробить всю информацию о человеке, владельцем каких доменов он является, к каким почтовым адресам и аккаунтам в соцсетях привязан номер и т.д.?Vilgelm
26.09.2019 09:03по номеру телефона в течении нескольких минут можно пробить всю информацию о человеке
Можно, но не за несколько минут. Если кто-то присмотрел именно этот домен, то дальше дело техники.
Wertugo
26.09.2019 08:45Очень интересный пиар ход через IT Ресурсы. Неплохо.
DDoSInsurance
26.09.2019 09:20-1Статья habr.com/ru/post/465355 заложила новый жанр журналистики на хабре — пиар сайтов через истории о взломах.
bodqhrohro
26.09.2019 20:24Да и раньше такое было. Контора, кстати, пару лет назад таки внезапно сдохла — карма? (та, что индуистская, а не хабровская :))
DarkWolf13
26.09.2019 09:18телефон для сервисов и прочих аутотенфикаций лучше держать совсем отдельный чуть ли не в сейфе. а то простой телефон могут и на улице на добровольнопринудительной основе оформить без акта безвозмездной передачи третьи лицам если задача будет стоять очень серьезная…
solver
26.09.2019 10:50+1Лол. Вы статью вообще не читали?
Ну будет лежать у вас, в сейфе, телефон с неработающей, давно перевыпущенной симкой… чем это вам поможет?wlr398
26.09.2019 10:57Формально — неизвестный злоумышленникам номер. В отличии от всем известного основного.
Но не гарантия абсолютно. Даже сотрудник колцентра, скорее всего, сможет сделать поиск по фамилии и найти все номера.nevzorofff
26.09.2019 13:20+1Номер можно хранить оформленным на юр. лицо., там и симку перевыпустить чуть сложнее — с юр. лицами работают менее половины офисов, и доверенность нужна с печатью, и знать надо юрлицо на которое привязан номер, а там может оказаться этих номеров с десяток.
Для себя уже думаю оформить отдельную симку, вставить в роутер модем с ней и отправлять на свой телефон все СМС через какой-нибудь телеграмм, pushbullet итп.
solver
26.09.2019 18:37Да не нужен никакой сотрудник кол цента.
Как вы думаете работает схема? Кто-то увидел в интеренете человека и под него ищет данные?
Нет.
Мошенники покупают у сотрудников банков информацию о счетах с остатками. В этой инфе есть и прявязанные номера. И не только.
Погуглите немного. И на хабре уже были статьи с такой инфой и в других источниках.
Когда мошенник берется за раскрутку человека, у него есть вообще вся инфа него, вполоть до имеющейся недвижимости и транспортных средств.
Имея такую полную информацию намного легче выполнять свои черные дела.
Так что пока на фундаментальном уровне ничего не изменят, такие схемы будут работать…wlr398
26.09.2019 19:06Мошенники покупают у сотрудников банков информацию о счетах с остатками.
Такая схема скорее актуальна для наркодилеров.
В данном случае, думаю, именно имелась атака на владельца популярного интернет ресурса.
На запасном номере для смс банков какие могут быть остатки?
DarkWolf13
26.09.2019 20:08телефон с перевыпущенной симкой не лежит, потому что я слежу за тем что бы телефон считался условно используемым, но не светить его номер в социальных контактах… исключительно для авторизаций сервисов.
atbuhw
26.09.2019 20:50Фактически, при условии корумпированности сотрудников салонов (которую мы здесь наблюдаем), это превращает номер телефона в пароль (в лучшем случае, но явно не в случае яндекса — в ещё один пароль). Этот новый пароль может быть и не известен вашим знакомым, но (1) по определению хранится в открытом виде на серверах, (2) вероятно, используется в нескольких местах, и (3) кому-то кроме вас и серверов точно известен (тому же сотовому оператору, например).
Tarakanator
26.09.2019 09:18+1Не понял. А где 2-х факторная аутентификация?
в заголовке угнан благодаря 2-х факторной аутентификации.
В тексте благодаря угону телефона.
Где сработала 2-х факторная аутентификация после угона я так и не понял.HelpOP
26.09.2019 09:26+2Яндекс позиционирует привязку телефона как 2-х факторную аутентификация, а автор даёт пищу для размышления что фактически она однофакторная.
Tarakanator
26.09.2019 09:30Спасибо, теперь понял. Кстати в почте россии так-же.
Заявление на упрошённое получение почты через 2-х факторную аутентификацию написал, а по факту выдают только по коду из СМС.
Мне даже интересно стало, если посылка уйдёт налево, смогу я доказать что не получал, используя 2-х факторную аутентификацию, т.к. 2-го фактора в природе нет.HunterXXI
26.09.2019 10:32-1смс блокируются на сутки после перевыпуска симки. автор не договаривает чего то.
be1ay
26.09.2019 11:38Ага, причем каждый раз спрашивают телефон и ты диктуешь, а вся очередь слушает. Это вообще жесть. Я спросил у вас же должен быть мой номер просто отправьте смс, нет диктуйте )
pewpew
26.09.2019 11:41Можно на бумажке написать. Я обычно так делаю — заранее распечатываю все данные.
Greenoctopus
26.09.2019 13:06+1У меня ни разу номер не спрашивали, говорил номер трека, они его вбивали и приходила смс. Может от отделения зависит?
General_Failure
26.09.2019 13:27+1По моим наблюдениям, зависит от наличия номера телефона на посылке и внимательности, настроение и может чего-то ещё у оператора.
Одна и та же операторша, выдывая посылки, и сразу забивала номер с пакета, и просила чтоб я продиктовал, и спрашивала, мой ли номер на пакете :)
General_Failure
26.09.2019 12:29+1Последний раз ходил получать посылку — код пришёл пушом в приложение.
Tarakanator
26.09.2019 13:15+1если приложение работает, то пушом, если нет-СМСкой. Принципиальной разницы нет. Всё равно 2-х факторной аутентификации нет.
zxosa
26.09.2019 11:34только сегодня сделал двуфакторную у яндекса, для этого скачивается приложение я.ключ, а в статье просто привязка к телефону.
catharsis
26.09.2019 20:09Четыре года назад поддержка Яндекса объясняла мне что это не баг, это фича
habr.com/ru/post/297208/#comment_9579472
serf
26.09.2019 09:32Двухфакторная аутентификация это «пароль + еще что-то», то есть нужно знать и пароль и иметь доступ ко фторому фактору (через И, не ИЛИ). Если в вашем случае можно сбросить пароль просто имея доступ к телефонному номеру, то это мягко сказать гупость системы который в пользуетесь, а не двухфакторная аутентификация.
PS К тому же использовать номер телефона как второй фактор не дальновидно, лучше уже TOTP токены или хардварные ключи.
yamilov
26.09.2019 09:39-1В очередной раз убеждаюсь и повторяю, Яндекс — уже не торт.
В любом случае, искренне сочувствую Вам о произошедшем. Уверен, домен вы вернёте, вопрос во времени и потраченных нервах. Держите в курсе, пожалуйста (через updates к статье).
Ну и в очередной раз, произошедшее показывает, что в России ничего нельзя регистрировать — не надёжно.Doctor5772
27.09.2019 13:59в России ничего нельзя регистрировать — не надёжно.
А по сему поводу неплохо напомнить про 9,5 правил ведения бизнеса в России тем, кто ещё не знает
13werwolf13
26.09.2019 09:44+2Мой уровень юридической грамотности практически на нуле, но я уверен что можно подать в суд на яйца и яшу. На первых за то что позволили угнать симку, а на вторых за то что позволили узнать какую именно симку надо угонять. Пусть оплатят три года работы, стоимость нового домена и стоимость старого домена за три года, моральный ущерб и прочее.
Alessandra
26.09.2019 09:48+8Здравствуйте, Артём!
Мы уже заблокировали домен для переноса. Насколько видим, в тикете вложены документ о регистрации СМИ и сертификат на владение доменом. Копии заявления и паспорта не приложены, а они понадобятся для дальнейшего расследования.
Настоятельно рекомендуем как можно быстрее обратиться в правоохранительные органы, чтобы мы смогли помочь вам вернуть домен.
Как только копия заявления будет у вас на руках, пожалуйста, отправьте необходимые документы в рамках созданного ранее тикета.blind_oracle
26.09.2019 10:11Вот что Хабр животворящий делает! (с)
Sanctuary_s
26.09.2019 13:32+1Рад, что принимаются меры, но, к сожалению, если бы не Хабр, то ничего не было. И так всегда. Без придания гласности такие гадости не будут решать в спешке.
MaximChistov
26.09.2019 14:55ну вообще-то он в кучу сми написал. так что не факт, что именно на хабре они это в первую очередь увидели
khim
26.09.2019 15:21Ну и правильно сделал, мне кажется. Да, было бы шоколадно, если бы такие вещи не требовали поднимать бучу в СМИ и всё разруливалось бы теми, кому положено это делать «в рабочем порядке»… но мы живём в неидеальном мире, так что если удастся вернуть домен хотя бы так — уже неплохо будет. Лучше перебдеть, чем недобдеть.
Andrey_Rogovsky
26.09.2019 10:06Привет, Артем!
Надеюсь, ты не оставишь действияотсосаопсоса безнаказанными?
У тебя доход с сайта официальный?
Тогда составь досудебную претензию на покрытие упущенной прибыли и отправь ее им, лучше открытым письмом. Можно хабрапостом.
Я давно не плюсую посты но вот для твоего бы сделал исключение.
Нельзя спускать с рук такие дела.PurpleTentacle
26.09.2019 10:47Есть мнение, что только угроза потери больших денег по суду может сподвигнуть опсосов ужесточить правила проверки в салонах. Это в их руках, они могут это поменять, если будет решение руководства. А сейчас их всё устраивает.
trueMoRoZ
26.09.2019 11:00а вот недавно нам законодатели вроде как коллективные иски подвезли. вот такую пирушку опрокинутых устроить бы. тогда любых сволочей построить можно.
kryvichh
26.09.2019 10:08Надеюсь, эта история будет доведена до финала. И я не имею ввиду возврат номера телефона и домена, а посадку преступника. Пусть хоть раз СОРМ и проч. многомиллилардные системы послужат во благо простого человека.
nikweter
26.09.2019 10:27Да что Яндекс! В одном хорошо известном зеленом банке таким образом 8 млн. руб. со счета увели. Точно также перевыпустили симку МТС, пришли в отделение с фальшивым заявлением по передаче аккаунта на другой токен, и через часа обнулили расчетный счет.
Удивляет оперативность — когда сам что-то просишь сделать, то может неделя пройти. А тут за 4 часа все сделали.
Два года прошло, полиция ничем помочь не смогла.bacminuscab
26.09.2019 15:56+1Попробуйте с вашим юристом разобрать такое решение Верховного суда.
Если вкратце — в этом деле удалось признать действия мошенников как не прекращающие обязательства банка перед клиентом, т.е. средства должны вернуться банком клиенту в полном объеме.khim
26.09.2019 17:15Отличное решение, кстати. Тот факт, что
Когда сам что-то просишь сделать, то может неделя пройти. А тут за 4 часа все сделали.
обозначает, что либо служба безопасности работает отвратительно, либо там вообще были «свои люди» в банке. Деньги должны вернутся — а там, дальше, пусть банк что хочет, то и делает.
В конце-концов вы деньги в банке держите ровно для того, чтобы не хранить пачки денег в сейфе и не содержать охрану, которая за этим сейфом будет присматривать…Barbaresk
26.09.2019 19:17Есть подозрение, что там не просто «свои люди в банке», а сам банк таким иногда занимается. Как отдельная статья дохода. Просто есть еще куча историй с пропажи вещей из банковских ячеек и еще много чего.
catharsis
26.09.2019 20:13В отделение можно и с фальшивым паспортом прийти.
Что такое передача аккаунта на другой токен?
У вас есть хардварные ключи, и все равно зачем-то используются смс?nikweter
27.09.2019 04:05Хардварные ключи используются для работе в интернет банке. По смс приходят уведомления об операциях. Вероятно, смс коды также приходят для подверждения каких-то действий, вроде смены токена.
atbuhw
27.09.2019 15:25А как этого защищает от хакера с полностью левым хардварным ключом, который перевыпустил симку на имя жертвы?
HunterXXI
26.09.2019 10:30-5Автор чего то не договаривает… В статье не слова о том как была организована двухфакторная аутентификация в его случае и как предположительно её обошли.
Личные предположения автора выдаются за факт, а тем не менее не понятно как был взломан аккаунт на Яндексе.
В статье кстати ни слова про СМС. СМС, если что, блокируются оператором на сутки после перевыпуска симки. Кто делал — знает. Как раз для того что бы не было махинаций по банковским кодам.
Кто-то что-то не договаривает. Тёмная история.Whuthering
26.09.2019 12:00В статье кстати ни слова про СМС. СМС, если что, блокируются оператором на сутки после перевыпуска симки. Кто делал — знает. Как раз для того что бы не было махинаций по банковским кодам.
Некоторые опсосы блокируют только смс об банков, от остальных отправителей сообщения же принимаются без проблем.HunterXXI
26.09.2019 12:49-2кто конкретно? оператора «некоторые опсосы» нет на территории РФ
Whuthering
26.09.2019 14:11Эм… У вас с русским языком все в порядке? Логично, что под понятие "некоторые опсосы" как раз попадают некоторые операторы из тех, что есть на территории РФ.
Например, Мегафон (поволжский филиал). Симку менял в мае. На словах сказали «в течении суток смс приходить не будут», по факту же банковские действительно не приходили (и бонусом Сбер заблокировал онлайн-банк по этому номеру вообще), а с остальных номеров (в том числе сервисных) нормально приходили уже через час (возможно и раньше, я специально не тестировал).
Выше в комментах аналогичный пример про МТС привели.HunterXXI
26.09.2019 15:18-2Логично, что
Для меня не логично. Вопрос — как жить дальше будем? отправим меня в концлагерь?
ua30
26.09.2019 10:50Украли рабочий МТС (на Украине это сейчас Водафон). Восстановить номер нереально. Требуют «любимые номера» (на которые часто звонил). Какие могут быть любимые номера у рабочего телефона? Там каждый день десятки новых.
Еще вроде вышли на вариант с IMEI. Но там древний телефон, который покупали лет 10 назад. Коробку давно выбросили.
Готовы предоставить распечатки с номерами и датами хоть за последние несколько лет — никого это не интересует.
Автору удачного разрешения ситуации.firegurafiku
26.09.2019 11:46Еще вроде вышли на вариант с IMEI. Но там древний телефон, который покупали лет 10 назад. Коробку давно выбросили.
А сам телефон не выбросили? Команда
*#06#
покажет IMEI.ua30
26.09.2019 11:50IMEI, как правило, можно найти внутри на наклейке. Но увели не номер, а телефон с SIM картой. Это я к тому, что в МТС нереально решить что-то, где требуется персонализированный подход. Им нужны или 10 номеров или IMEI. То, что ты можешь предоставить на порядок больше, но другой информации, подтверждающей права на номер — их не волнует. Или так как сказали, или никак.
Впрочем, справедливости ради, это не только в МТС. Так во всех крупных компаниях.Frankenstine
27.09.2019 09:59Хрень собачья. В случае утери телефона с симками, номер восстанавливается в течении часа — примерно столько времени нужно чтобы заехать домой, взять пластиковую карту, из которой выламывали симку (и на которой выбиты пины, пуки и всё такое), и заехать с ней в отделение. Я сам так восстанавливал свой номер, когда посеял телефон (а нашедший тихо прикарманил) в 2014 году.
ua30
27.09.2019 10:20«Хрень собачья»?..
заехать домой, взять пластиковую карту, из которой выламывали симку (и на которой выбиты пины, пуки и всё такое)
Ну да. Или как писалось выше — IMEI с коробки тоже здорово может помочь. Вот только кто же все это хранит столько времени (телефону и карточке шел 9 или 10 год)?
Tarakanator
26.09.2019 12:14+1Ну так сделайте выборку по распечаткам, на какие телефоны больше звонили.
Если максимум 5 раз на один номер, значит номера на которые 5 раз звонили-любимые.ua30
26.09.2019 13:42+1Мы называли такие номера. Не приняли.
Загвоздка в том, что на том конце сидят типичные операторы, которые вообще не заинтересованы брать на себя ответственность и отходить хоть на шаг от руководства или чего там. В принципе, они и не должны. На это есть руководство. Но то ли руководство не желает брать эту ответственность. То ли политика компании такая что есть правила и точка. Тем не менее, проблем клиентов это не решает. Размещать номера телефонов на полиграфии и прочих статичных источниках информации отпадает всякое желание. В итоге, я понимаю почему так происходит. Но от этого мне не легче.Tarakanator
26.09.2019 15:04А почему не приняли такие номера? Как аргументировали, что не любимые?
pod
26.09.2019 15:15а они никак не аргументируют, «номер не проходит, назовите другой». сам сталкивался при утере телефона с симкой с этим моментом. ко всему если назвал пару номеров, которые не прошли то возможность восстановить блокируется на сутки.
4e1
26.09.2019 13:14+1У меня в водафоне как-то требовали 2 номера телефона и примерные даты и суммы 2-х последних пополнений счёта. А что я тогда хотел — толком и не помню.
fougasse
26.09.2019 22:24Если часто звонимые тербуют и есть распечатки с номерами за последние пару лет — почему не отсортировать и не дать Водафону?
zag2art
26.09.2019 11:47Уверен, с тем кто это проворачивает, вы много раз бывали в одной комнате
ua30
26.09.2019 13:47+1Вполне возможно.
Но с другой стороны уж больно отточено все выглядит. Будто человек не в первый раз этим занимался и точно знал что и как делать.
Мне самому вариант контрактных номеров не очень нравится. Но походу надо или контрактный номер, или просто симку, которая ни где не светится, и включается только для получения СМС. Я пока остановился на втором варианте.
grigor
26.09.2019 15:08+1Не совсем понимаю комментарии про то, что домен в других зонах можно перевести в 2 клика. О каких доменных зонах речь?
В последнее время домены регулярно переношу, т.к. перехожу с разных регистраторов к одному, и всегда это занимает значительное количество ДНЕЙ. Перенос в рамках одного регистратора, может, и будет быстрым (но при этом и легко обратимым), а вот перенос от этого регистратора к другому займёт от 5 до 14 дней.
Даётся сначала несколько дней владельцу домена на то, чтобы он запретил передачу, если он вдруг передумал, затем ещё другой регистратор ждёт несколько дней перед тем, как принять домен.
Так что ситуация, конечно, дико неприятная, но реальная окончательная передача домена в течение пары часов представляется мне крайне маловероятной.
Duster
26.09.2019 15:19+1Почему я, не специалист по компьютерной безопасности, вынужден говорить такие очевидные вещи?..
1. Один домен — один емейл. Этот емейл должен быть известен только вам и вашему регистратору. Его имя может быть билибердой. Больше его никак не допускается использовать, он вообще нигде не должен быть засвечен, кроме регистратора. Он не должен гуглиться, его не должно быть в базах. Он должен быть только в ху-из.
2. Двухфакторная авторизация — плацебо. Она чаще вредит, чем помогает. А помогает она только во временной защите данных при уже скомпрометированном пароле (задумайтесь на секундочку). Она должна быть дополнительным барьером, а не основным. К тому же, телефоны имеют свойство быть потеряными/сворованными. Более того, авторизация через второй фактор должна транслироваться сообщением на основной ваш номер.
3. Для доменов, приносящих вам доход, должен быть отдельный номер телефона. На нем должны быть активированы все возможные запреты — доверенности, смены владельцев, и прочее-прочее-прочее. Доступ к нему должны иметь только вы.grigor
26.09.2019 15:321. Почему е-мейл, которые в хуизе, нельзя загуглить? Опять же, если используется whois privacy, то тот же nic.ru легко выдаст данные хуиза, если вы под видом адвоката (или с его помощью) заявите, что владелец домена фигурирует в иске для суда (ещё даже до подачи самого иска). По закону он этого делать не должен, но делает. И плевать, в общем-то, хотел на ваше мнение по этому вопросу.
2. Если только пароль скомпрометирован, то почему двухфактора помогает «защитить данные лишь временно»?
3. Увести домен по-настоящему (с передачей другому регистратору), чтобы вам с той стороны помахали рукой, довольно проблематично, и это вопрос не одного-двух часов, а дней, в течение которых нужно разве что вообще выпасть из Сети дней на 5-10, чтобы не узнать о происходящем.Duster
27.09.2019 07:131. Ну я, собсно, и написал, что он должен быть только у регистратора, и в ху-из.
2. Потому что бывают разные ситуации, одна из которых в посте. Если пароль скомпрометирован, и злоумышленнику станет известно о владельце, дальше может вступить соц. инженерия или еще какой-то способ заполучения второго фактора. Да, шанс низкий, но он есть.
3. Согласен, но автору удалось. Лишняя осторожность не бывает лишней. Все мы должны быть немножечко параноиками.
gecube
26.09.2019 15:21Давайте будем честны. Правильный заголовок не такой как сейчас, а "Многие сервисы выдают однофакторную аутентификацию по SMS за 2FA".
atbuhw
26.09.2019 16:34Боюсь, что «с точки зрения принятого в обществе языка» (не знаю, как сказать лучше) термин «2FA» уже означает не то, что он означал изначально, а «доступ по sms». Как фраза «очень приятно» означает просто (успешное) завершение процесса знакомства, а не какое-то (всегда) очень хорошее событие.
Что, конечно же, не отменяет всего сказанного в комментариях выше, в частности крайней информационной опасности такого подхода.gecube
26.09.2019 16:38Как предлагаете называть "честный 2ФА"?
- 2ФА+
- 2.5ФА
- 3ФА
- "честный" 2ФА?
atbuhw
26.09.2019 16:50Не знаю :((
Можно было бы называть явно факторы (например, вход по паролю и gpg-ключу), но проблема в том, что я не видел сервисы, предлагающие такое. Будут сервисы — появится и термин.
А термин «2FA» на данный момент уже сильно захвачен sms-щиками, и для целей информационной безопасности, как мне кажется, будет полезнее популяризировать опасность этого явления, чем пытаться «отбить» у них термин. Чтобы когда человек, прочитавший эту статью, видел оповещение от сервиса «наш сервис вводит 2FA» (именно такими словами), он воспринимал это как «вероятно, сервис становится опасным».
atbuhw
26.09.2019 16:07+1Мне кажется, уже давно назрела необходимость статьи на хабре (или где-то ещё) «(чёрный/белый) список сервисов, где (не)возможно получить доступ, используя только телефонную сеть (sms и звонки)». Опционально — (серый) список сервисов, где это возможно с удалением всех данных (вроде телеграма — может быть, для некоторых сценариев это тоже полезно).
PS автору желаю скорейшего восстановления доступа.
rboots
26.09.2019 16:24Обращайтесь в полицию, домен не просто так пропал, а зарегистрирован на конкретное лицо/организацию. Выгодоприобретатель налицо, найти злоумышленников здесь должно быть делом техники. В худшем случае негодяев не найдёте, но домен вернёте.
KonstantinSpb
26.09.2019 16:41Переходите на gmail без привязки к телефону или собственному email-server на VPS/VDS
Fedcomp
26.09.2019 17:02gmail требует телефон. И перед тем как вы скажете что при регистрации он его не требует — он его может потребовать через неделю и не пустит без этого в аккаунт.
ne_kotin
26.09.2019 17:04он может и через год потребовать, но там всегда есть кнопочка «мне пофиг»
Fedcomp
26.09.2019 17:12
Возможно я ее где то тут пропустил?
На всякий случай: ссылочка «помочь»: support.google.com/accounts/answer/114129atbuhw
26.09.2019 17:28+1Что характерно, можно ввести абсолютно любой номер, а не только какой-то номер (или другие данные), связанный с истинным владельцем (и гуглу известно, что связанный).
То есть никаких «подтверждений», что тот, кто ввёл сейчас пароль, «является владельцем аккаунта», гугл не получает, атакер, укравший пароль, может сделать то же самое. То есть это чистая борьба против анонимности, безопасность она не увеличивает (а то и уменьшает, если гугл потом будет пускать по sms без пароля).Fedcomp
26.09.2019 17:37ну в принципе это довольно очевидно, хотя на мой взгляд они больше со спамом борятся чем с анонимностью. Я всего лишь отвечал автору выше что гугл оч любит блочить доступ к аккаунту. Насколько я понимаю яндекс ведет себя идентично.
atbuhw
26.09.2019 17:42Очевидно, да. Но враньё в заголовке настолько бесит, что хочется это высказать вслух.
Анонимность vs спам — не знаю. Лично у меня в гугле сейчас штук 10 спам-писем в день приходит (причём реальный спам типа «вы выиграли $10000000000000», а не рассылки из-за галочки «хочу получать новости» при покупке чего-то где-то), и они попадают во «входящие». А анонимные политические письма — только в спаме.
ne_kotin
26.09.2019 18:10на такое не напарывался. а вот при логине в аккаунт, к которому не привязан номер, гугл предлагает его привязать, но там есть кнопочка пропустить.
Fedcomp
26.09.2019 18:18на такое не напарывался
Систематическая ошибка выжившего
В том то и дело что мои коллеги тоже говорили что можно иметь гмыло без номера.
Зато protonmail пока что без спроса номера держится.atbuhw
26.09.2019 18:40Зато про них много чего другого плохого на хабре пишут:
habr.com/en/company/habr/blog/443222/#comment_19864116
Коротко, в частности, отсутствие поддержки IMAP (только что коротко проверил, на случай если коммент устарел, но вроде до сих пор нет).Fedcomp
26.09.2019 19:20В моем случае просто нужен был анонимный почтовый аккаунт для регистрации на сервисе.
Matsun Автор
26.09.2019 16:43Всем привет!
Из последних новостей! Яндекс сработал оперативнее всех. Заполнил длинную анкету, приложил кучу сканов, и вот доступ к моей почте у меня уже есть.
Отправил заявление в полицию. Пришлось конечно помотаться, из области в Москву, потом таки как оказалось, должны были принять по месту моей регистрации. Приняли.
Дальше предстоит визит в Рег.Ру. И восстановление СИМ картыivan386
26.09.2019 17:44Посмотрите теперь инфу по действиям мошенника.
В полной веб версии Яндекс.Почты есть внизу "Журнал учёта посещений".
В Яндекс.Паспорт есть "История входов и устройства".
Там можно увидеть что делал мошенник и с какого IP.
У меня например IP взломщика был: 146.120.110.13
skvoo
26.09.2019 17:49Считаю что в этой ситуации шансы на восстановление домена достаточно велики.
Перенос домена к другому регистратору занимает 7 дней. Надо за это время успеть достучаться до рег.ру.
Домен должны заблокировать на перенос пока идет разбирательство.
nu1Aiw7
26.09.2019 17:49+1В течении одного месяца почту на Яндексе взламывали 3 раза (разные ящики).
На всех аккаунтах используются случайно сгенерированные пароли 16-20 символов цифры+латиница разного регистра.
Контрольные вопросы придуманы не привязываясь к возможным вариантам ответа и также являются случайными.
К аккаунтам привязаны телефон и резервные e-mail, но никаких СМС и уведомлений на почту не приходило.
Для приложений используются отдельные пароли.
Все взломы с ip с которых никогда ранее обращений к аккаунту не было.
В саппорт Яндекса обращался по этому вопросу, но в итоге просто перестали общаться.
Если кому-то из техподдержки Яндекс-почты всё же хочется немного поработать и объяснить дырявость защиты пишите в личку скину номер тикета.
Aigir
26.09.2019 17:49Если симка будет оформлена на другого человека, это возможно усложнит возможность несанкционированной смены симки.
Например мне жена в свое время подарила мобильник вместе с симкой, оформленной на себя. И я до сих пор пользуюсь этой симкой.
При смене номера нужно знать ФИО владельца, на кого он оформлен. И этот владелец не я.
Т.е. даже узнав мои ФИО и даже где-то раздобыв скан моего паспорта, сменить симку не получится.
Хотя, в свете последних законодательных изменений могут возникнуть сложности, когда везде начнут проверять соответствие пользователей различных онлайн-сервисов реальным владельцам симок.atbuhw
26.09.2019 18:05А вы уверены, что официальный порядок действий при перевыпуске карты требует от сотрудника салона именно «ввести и ФИО, и номер», а не «ввести номер, а потом сверить показанное на экране ФИО с паспортом»? Во втором случае симка на другое имя не поможет. В лучшем случае, если оператор снимает копию паспорта, увеличит размер взятки и удлиннит процедуру (нужно 2 раза спрашивать купленного сотрудника — сначала сказать правильное ФИО, потом подделать паспорт и потом перевыпустить симку), но не устранит уязвимость полностью. А если не снимает копию, тогда вообще ничего не меняется.
toto88semerik
26.09.2019 17:49-1Технологий к добру не ведут, а деньги нужно было выводить и не держать у дяди!
chelsea2
26.09.2019 17:49-1Лучше бы этот вброс озвучили батюшке в церкве. Здесь технический форум и ожидается что тут люди пишут нормальные статьи на нормальные технические темы, а не исповеди о злых какерах.
Chikabanita
26.09.2019 17:49Пиши, звони, придавай огласке! Тут чисто похуистическое отношение МТС. Большая тройка конечно совсем клала на своих клиентов. Правда не врубился насчёт Яндекса, если у тебя привязка по номеру, то ведь это однофакторная аунтефикация. Двухфакторная — это если ещё и пин, при ней бы как раз хер угнали почту
AlexMist
26.09.2019 17:49У Tele2 при замене sim SMS блокируются на сутки! Можно успеть обратиться ТП.
atbuhw
26.09.2019 18:10А звонки тоже блокируются? Если нет, то это не спасает, т. к. многие сервисы предлагают 2 опции, sms и звонок.
AlexMist
27.09.2019 15:30Звонки нет. Но SMS не приходят и не уходят!
Выглядит как логичная защита, хотя бы какая то защита от подобных атак. Т.к. замену SIM может выполнить любой недобросовестный сотрудник салона. А ограничение SMS отключить он не может.
vapersan
26.09.2019 17:49Если в рег.ру работают люди с умом (ну или хотя бы без его отсутствия), то в случае если домен не был передан другому регистратору его с лёгкостью вернут вам назад.
Могу пожелать только удачи в этом деле, надеюсь что ситуация решится положительно.
seminiva
26.09.2019 17:49А мне вот больше интересно накажут ли по закону вора, если да, то что ему грозит
sla165
26.09.2019 17:49Хм, я в регистрации доменов не разбираюсь но вот то что включили симку дает вариант найти где это было но данные в системе хранятся только месяц то есть сейчас уже 26 и данные будут еще где то 29 дней еще в системе где и откуда был сигнал с симкарты а точнее с устройства с которого он шел.А уж если он перевыпустил симку на ваше имя не будучи вами то это уже серьезное мошенничество.То есть там не один человек.
atbuhw
26.09.2019 18:22301-редирект выглядит страшно. Насколько я знаю, даже при активном желании пользователя удалить из профиля браузера запись о нём довольно сложно (т. е. если сайт A хоть раз вернул «301, редирект на B», то потом, когда пользователь вводит A в адресную строку, браузер по умолчанию уже ничего не проверяет, а сразу обращается к B). Сталкивался с этим, когда http (не s) сайт неожиданно был заблокирован РКН.
wild_one
26.09.2019 18:30Несколько правил. Выношу на обсуждение и дополнение. Вот они:
- Напишите заранее заявление в офисе мобильного оператора, что любые действия с SIM возможны только при личном присутствии
- Не используйте SMS-авторизацию. Используйте, например, YubiKey и менеджер паролей (например, KeePassXC).
- Бэкап п.2 на бумагу (с помощью Shamir Secret Sharing (ssss), и, например, gpg2 в симмметрином режиме. Шифруем нужные данные с помощью gpg2, печатаем на каждом листке бумаги. Длинный и случайный пароль симметричного шифрования делим ssss'ом и печатаем по одной дольке на каждой копии. Таким образом, чтобы собрать обратно бэкап yubikey-я — потребуется несколько таких "долек".
- Базу KeepassXC бэкапим в несколько мест, иногда — вообще в оффлайн.
- Дольки раздаем знакомым/кладем в сейфы в разных местах/whatever. Лишь бы не в одном месте, и чтобы злоумышленнику пришлось попотеть, чтобы собрать бэкап "юбика" обратно.
- Профит.
Получаем хорошо защищенную от атак платформу хранения паролей и 2FA, не привязанную к устройствам (кроме YubiKey), которую можно в любой момент восстановить в случае потери данных или YubiKey-я.
grinCo
26.09.2019 18:59У меня из-за привязки к телефону увели (скорее всего случайно) аккаунт wildberries.
Я переехал в другую страну, и естественно, отказался от номера телефона. Этот номер попал к кому-то, кто потом при помощи смс восстановил пароль к моему аккаунту. К счастью у меня не были привязаны карточки.
Саппорт Wildberries не ответил ни на одно письмо.
ooprizrakoo
26.09.2019 19:42+1Давным давно у Яндекс.Почты была одна очень хорошая особенность: при регистрации почтового ящика можно было указывать произвольный логин (не совпадающий с именем ящика), и авторизация в Я.Почте шла через именно через «логин/пароль», а не через «название ящика/пароль».
И злоумышленник, даже зная пароль от почтового ящика пользователя, и имя почтового ящика, не мог получить доступ к аккаунту. По-сути, логин знал только сам пользователь, и больше никто — никакой брутфорс-не смог бы подобрать пароль, даже если бы он у меня был qwerty (ибо логин в письмах не светится)
Однако совсем недавно безопасность Я.Почты значительно, с моей точки зрения, уменьшилась: теперь всех пользователей, которые авторизовывались в ней через логин/пароль, перевели на альтернативную авторизацию через имя ящика/пароль.
К сожалению, мое обращение с техподдержкой на тему «я этого не просил, верните назад или хотя бы дайте возможность выбирать метод авторизации» не был услышан, техподдержка рекомендовала использовать 2ф-авторизацию для большей надежности. Но это, очевидно, может быть очень неудобно в ряде случаев, например когда у меня нет доступа к телефону, или когда нет мобильного интернета, или телефон сел/сломался/потерялся. Или когда его украли.
Грустно, словом.
C_21
26.09.2019 19:54Привязка симки к паспорту это уже возможная утечка персональных данных со стороны оператора. Задать пароль для перевыпуска красной карты например в Украине можно в телефоном режиме. Без пароля отказываются даже выдать симку другого размера, даже при наличии паспорта и работающей симки. На все уговоры предлагают звонить оператору, а он требует пароль.
Возможно для жителей РФ для повышения безопасности выгодней заказать сим карту в Украине или купить виртуальный номер телефона.
thesame
26.09.2019 19:54Судя по последним обновлениям, либо это кто-то из текущих или совсем недавних сотрудников, либо у вас серьезные проблемы с безопасностью. Тот, кто «угнал» домен, весьма оперативно поднял «клон» вашего сайта, следовательно, у него был свежий бекап.
atamanenko
26.09.2019 20:04-5А где «Я пиарюсь»?..
Одни плюсы у автора от всей этой истории, которая, извините, вообще похожа на вброс.
s_suhanov
26.09.2019 20:37доступ к электронной почте на Яндексе, на которую был зарегистрирован личный кабинет регистратора доменных имен.
А вот это было зря.
Кстати, к почте была подключена двухфакторная аутентификация, но именно из-за привязки номера телефона это «угон» домена и произошёл. Если бы к моей почте не был привязан номер телефона, то мошенник не смог бы сбросить мой пароль.
"Двухфакторная аутентификация" и "привязка номера к почте" — это же совсем разные вещи.
podivilov
27.09.2019 14:10Сотрудники Яндекса сами советуют привязывать свой телефонный номер к почтовому аккаунту.
> Здравствуйте, Михаил!
>
> [...]
>
> Пожалуйста, добавьте актуальный номер своего мобильного телефона
> на странице phone-passport.yandex.ru/phones. Тогда вы сможете
> для восстановления доступа использовать вместо контрольного вопроса
> смс.
< Спасибо за оперативный ответ, но я искренне надеюсь, про телефон Вы шутите.
< Или не осведомлены о том, как работает группа протоколов SS7.
< Вам известно, что такое «атака на понижение»? Контрольный вопрос
< в данном случае будет на порядок безопаснее, нежели чем
< «безопасное восстановление аккаунта через телефон». Я уже давно отвязал
< свои телефонные номера от всех своих аккаунтов, где это возможно.
ivan386
27.09.2019 14:40Контрольный вопрос
< в данном случае будет на порядок безопаснее, нежели чем
< «безопасное восстановление аккаунта через телефон».Оказалось что нет. Меня паралельно взломали именно через него. Хотя какзалось бы зная о такой возможности взлома я задал безсмысленный набор букв и цифр.
Настроить двухфакторную аутентификацию
Чтобы входить на Яндекс без пароляСупер вообще.
sumanai
27.09.2019 18:34Меня паралельно взломали именно через него.
Откуда такая уверенность?ivan386
27.09.2019 21:53Ну во первых я увидел письмо о восстановлении пароля через Контрольный вопрос до того как мошенник успел его удалить. Ну а потом в истории действий так и написано:
Восстановление доступа
изменен пароль
восстановление через: контрольный вопрос
25 сентября 2019, 21:41Москва
IP 146.120.110.13
Firefox 52.59
Windows 8.1 6.3sumanai
27.09.2019 22:41Занятно. Эх, жаль ни у кого не видел настройки «Не восстанавливать никак доступ, я не дурак и не забуду пароль».
ivan386
28.09.2019 11:10У меня складывается ощущение что упёрли базу Яндекс.Паспорта. И поскольку пароли уже как правило хранятся хеширванными то телефон и контрольный вопрос в базе скорей всего открыто. Вот их и использовали для взлома.
Пора уже шифровать все записи в базе индивидуально. А ключи скриптам выдавать соответственно их уровню доступа.
tegrato
27.09.2019 14:30Очень громкая статья, но информация не очень вяжется с реальностью:
1. Рег.ру очень сложно и долго переносит домены (буквально в этом году переносил управление доменами — очень заустал я с ними бороться, пока все перенес. У них еще личный кабинет и сайт в целом ужас какой бардачный — квест, короче).
2. Передача управления доменами дает только возможность оплачивать его продление и менять DNS-записи (и то не всегда эти функции доступны — иногда требуется так называемая ПОЛНАЯ передача домена с отправкой фотокопии паспорта владельца, редко — частичная передача в управление дает доступ к функционалу). При этом владельца домена так не изменишь — только личное посещение с паспортом офиса или представительства РЕГ.РУ или нотариальная доверенность.
3. Судя по тому, как все оперативно было сделано, кто-то заранее готовился к этому и знал, что и как делать. Шерше ля фам среди знакомых.
rdc
27.09.2019 15:27кстати, Gmail позволяет использовать городской телефон.
код при этом диктует звонком железная леди.
а угнать городской не получится, ни по доверенности, ни по фальшивому паспорту)atbuhw
27.09.2019 15:36Зато во многих городах можно влезть в подъезд и подкрутить провода к физической линии. Это не ethernet, там такие скрутки работают.
wlr398
27.09.2019 19:35А на езернете чего бы они не работали? Днём пока никого нет дома, в форме монтажника обрезаем кабель идущий в дырку у квартиры, обжимаем RJ-45, включаем в ноутбук.
И скрутки работают. Может быть на длине близкой к 100 метрам скрутки несколько ухудшат скоростные характеристики.
Другое дело, что городские телефоны уверенно вымирают.atbuhw
27.09.2019 19:43Ну…
Во-первых, не знаю, что провайдерский свитч подумает, увидев на другом конце одного кабеля «два устройства» (в случае именно скрутки), а во-вторых, и главное, это совершенно бесполезно, когда почта ходит по https + в большинстве случаев vpn до провайдера.
ZetaTetra
27.09.2019 17:50Не знаю как у других операторов (У меня не МТС), а у некоторых операторов можно в ЛК заблокировать номер. Для этого с оператором связываться не надо:
moskva.mts.ru/personal/podderzhka/mobilnaya-svyaz/deystviya-s-sim-kartoy/blokirovka-i-vosstanovlenie-sim-karti
Подключите услугу «Добровольная блокировка», которая блокирует возможность использования услуг связи. При подключенной услуге «Добровольная блокировка» недоступно получение пароля к Личному кабинету с сайта МТС.
…
наберите на своем телефоне команду *111*157#
ustasby
В рег ру можно вот так просто за один день сменить регистратора?
isxam
тот же вопрос, но ко всем в этой цепочке, начиная с оператора связи
ustasby
С оператором все понятно, если они даже звонок не делают по номеру который собрались менять по очередной липовой доверенности. Завтра проверю как у нас домен привязан, попробую проделать те же действия кроме перевыпуска симки.
cleaner_it
Напишите здесь результаты, пожалуйста
mig126
Судя по публикациям ещё год назад для переноса домена к другому регистратору REG.RU просил прислать копию паспорта и скан заявления, написанного от руки.
Сейчас видимо упростили.
gecube
До сих пор не упростили. Могу подтвердить — требуются паспорт, прочие документы. Чуть ли не личная явка в офис.
Вероятно, люди путают техническую передачу домена (когда управление записями и делегирование меняются на другой аккаунт) и передачу владения (когда полностью домен перерегистрируются на другое лицо — физ или юр). Мы так влетели случайно, когда оказалось, что домен остался на предыдущем владельце и ничего не сделать — только подождать, пока истечет срок регистрации и зарегать его заново.
nekt
У них разные политики передачи в разных зонах.
Насколько я помню — для передачи домена .net и .com достаточно электронного письма с адреса администратора домена и использования токена передачи в другом лк
NTG24
В рег.ру нельзя передать домен без явки в офис и написания заявления в бумаге. Можно только передать управление другому администратору.
tech42
Можно. Есть возможность сделать при помощи соглашения о поручении. А также при помощи заявления, подписанного ЭЦП (см. случаи по оформлении ЭЦП на любого человека)
tech42
Нет, нельзя. В REG.RU можно легко передать домен на другой аккаунт в пределах одного регистратора. Но вот для получение EPP кода необходимо заполнить заявку и приложить паспорт. Он будет сверен с WHOIS. ТС'у крайне рекомендую как можно быстрее написать в свободной форме заявление на передачу домена и приложить скан паспорта (лучше свежий, сделанный рядом с бумажкой и надписью) на свой аккаунт, отсканить и отправить в поддержку reg.ru. Скорее всего, его вернут на аккаунт. Сейчас на домене, как я вижу, стоит статус для блокировки передачу другому регистратору. Можно застраховаться от этого в будущем: через поддержку регистратора нужно установить clientUpdateProhibited, clientDeleteProhibited, clientTransferProhibited статусы. Тогда никакие данные изменить будет нельзя без снятия статусов. Но эти галки плохо совместимы с услугой WHOIS privacy
mig126
Там ниже уже представитель
орифлеймрег.ру объявился и отписался со своего люто заминусованного аккаунта.Судя по комментам(и состоянию кармы), дичь уже не в первый раз творится.
tvr
Это из-за вот этой истории, за которой последовало ещё несколько статей, в которых рег.ру выглядел очень бледно, а его представитель в комментариях отписывался штампованным канцеляритом. Увлекательнейшее чтиво, я вам доложу.
khim
Matsun Автор
Пока ещё регистратора не сменили. Как я понял после общения с ТП, он в рег ру, но в другом аккаунте. По телефону они ничего сделать не смогли. Создал тикет, который был адресован в юридическую службу и которая начинает работу с 9 утра =(
ustasby
Значит еще ничего не потеряно, в любом круглосуточном мтс перевыпустите симку с запретом на перевыпуск и верните почту.
Matsun Автор
Да, это уже всё делаю, почту верну, телефон тоже, а вот домен, под вопросом -(
edogs
Про банки не забудьте.
А после восстановления симки проверьте не установлены ли редиректы или смс-про и прочие услуги, тут тоже могут быть сюрпризы.
FDA
Однажды по после покупки нового телефона мне потребовалась замена SIM-карты. У меня была старая размера microSIM, а телефону требовалась nanoSIM. В ближайшем офисе своего оператора я поменял карту за 5 минут, но в тот же день столкнулся с тем, что не могу войти в Сбербанк Бизнес.Онлайн. Приходило какое-то невнятное SMS с их номера 900. Я позвонил на горячую линию, и там мне объяснили, что банк привязывается не к номеру телефона, а к уникальному номеру симки. Я симку сменил, номера телефона прежний, а уник. номер изменился. У меня там два счёта. Для ИПшного пришлось ножками топать в банк и писать там письменное заявление, а со счётом ООО чуть попроще было. У нас там две учётных записи и через вторую мы подали в личном кабинете электронное заявление. В течение дня всё заработало. Но защита меня порадовала!
tempick
А что за уникальный номер симки? Я если честно, не разбираюсь в этом. Это не тот ли PUK-код? Или там отдельный номер зашит наподобие IMEI в телефоне?
DaemonGloom
Последний вариант. IMSI называется в их терминах. Есть ещё зашитый секретный код KI, который из современных симок не достать. Но из старых можно было, что позволяло склонировать симку. Или записать коды в память телефона с особой программной модификацией, что позволяло переключаться между симками просто из меню.
ursaa
KI и в старых симках не доставался, он подбирался при «включении» симки. Ограничений на количество включений практически не было — сейчас (ну как сейчас, уж лет 10 как точно) все нормальные симки имеют сильно ограниченный цикл включений, потому подбор KI на них неэффективен. А после окончания циклов симка окирпичивается.
FDA
Забыл точную аббревиатуру, но это длинный такой номер. Уникальный для каждой SIM. Сбер как-то определяет его и если вдруг авторизуешься с новой SIM, но со старым номером, то тупо не шлёт тебе SMS-пароль. А вместо этого какие-то длинное сообщение, что мол, возможно, Ваш номер взломали и надо обратиться в колл-центр. Но это только для бизнес-аккаунтов вроде. Личный у меня по моему работал, хотя два года назад было, могу и путать.
pae174
MSIN — (Mobile Subscriber Identification Number) индивидуальный номер мобильного абонента. Является составной частью IMSI
Это внутренний 10-значный (9-значный для Северной Америки) номер карточки абонента (в GSM — SIM-карточки). Является составной частью 15-значного номера IMSI. Первые 5 (6 для Северной Америки) знаков IMSI одинаковы для одной сети и одной страны.
Номер SIM-карточки известен только ей и коммутатору сотовой сети. В коммутаторе каждой карточке присваивается от одного до 10 номеров абонента (зависит только от ПО коммутатора), который и выдаётся абоненту. При утере или замене SIM-карточки, теряется только MSIN, но не федеральный номер абонента, который хранится в коммутаторе (HLR), а не в SIM-карте.
Таким образом в мобильном телефоне хранятся IMEI и MSIN. В закодированном виде они передаются коммутатору, когда абонент (A) совершает вызов. Другому абоненту (B) коммутатор отображает один из федеральных номеров установленный как основной. При получении вызова от абонента (B), коммутатор принимает звонок для любого из 10 федеральных номеров, записанных для абонента A в коммутаторе. При этом поиск абонента А в сети осуществляется по MSIN, приписанному этим номерам.
dom1n1k
А откуда Сбер этот номер узнаёт? Через приложение своё что ли? А если телефон-звонилка?
wlr398
У сотовиков есть специальное типа API для банков, оттуда и узнаёт.
По телефонному номеру, который клиент банку сам сообщает. Звонилка, не звонилка, это не важно.
На смартфоне с доступом к телефонному функционалу наверное можно и прямо из приложения IMSI достать.
vikarti
API не только для банков.
Похоже что как минимум формально — для любых сервисов рассылок. Проверка — идем на smsc.ru/testhlr и вводим свой номер (и капчу). Получите IMSI (если конечно оператор не маскирует его — некоторые точно маскируют — delo.ua/business/kievstar-rasskazal-kak-zaschischal-svoi-seti-ot-atak-240181 ).
pae174
Сейчас банки заключают с операторами договора на предоставление этих данных по тем тарифам, на которые договорятся. В будущем планируется создание некой единой информационной системы учета всех симок, в которую операторы обязаны будут сливать все данные и доступ к которой будет предоставлен «банкам, кредитным организациям и прочим организациям» по тарифам, утвержденным правительством.
Почитать можно тут: www.rbc.ru/technology_and_media/17/09/2019/5d78e4c79a7947b0d7c514ba
webkumo
Это сервис для рассыльщиков смсок, перед (или после?.. хз, не помню) отправкой смс-ки рассыльщик может узнать текущую (+возможно хистори последних) симку в сети. Точнее хз, где-то на хабре вроде статья про это была… пару-тройку лет назад..
catharsis
IMSI отдается через SS7, то есть потенциально доступен любому оператору с которым есть связность.
Даже данные VLR отдаются. Сервисы "узнай местоположение любого абонента" работали притворяясь каким-нибудь сотовым оператором из Центральной Америки. За это их конечно бьют и отключают.
Это все нужно для того чтобы роуминг, в частности, правильно работал.
Кто лучше знает, поправьте плиз, я в телекомах не работал.
xslibris
Почти всегда это не сработает ибо TMSI, который будет отдан на запрос информации о местоположении абонента, ничего общего с реальным IMSI иметь не будет. Ну кроме кодов страны и оператора. Да и номер VLR скорее всего тоже будет фейковым и указывать будет на какой-нибудь SS7 файрволл.
bisquitie
и называются MCC и MNC. А какой там формат кодирования всех этих данных… мм!
easty
IMSI, цифровой код сим карты, начинается с кода оператора и подобной служебной информации. Я думаю сбер такое научился делать, когда стали сами MVNO и получили доступ до сетей сигнализации.
tempick
спасибо большое!
wlr398
Российское отделение Ситибанка делало отслеживание смены IMSI довольно давно, более 10 лет назад, в те времена даже слова такого MVNO не знали.
khim
Райф тоже так делает, причём давно.
vvzvlad
Альфа тоже. Это уже пару лет как стандарт для всех вменяемых банков.
easty
Ну не спорю. Возможно есть интеграции с каким нибудь оператором, тот денежки берет за это.
force
Именно так. И именно за денежки. Банк не сдает конкретный IMSI, но он знает факт, что он сменился.
sw0rl0k
У меня сбер заблокировался так еще в 2013 году, задолго до того, как они стали MVNO. Но для физика все решается звонком на горячую линию. Спросили секретное слово, данные паспорта, последние 4 цифры каждой карты и когда совершалась последняя операция по любой из карт.
Genttw
На самом деле доступ к сетям сигнализации сбер имеет с тех времен, как создал свой СМС-банкинг. Просто начал использовать эту информацию с 2012-2013 года.
NightGhost
Вот чего вы человека минусите за то, что он вопрос задал? Прям бесить это стало, новая дебильная мода хабра. 100 комментариев о какой-то херне все с удовольствием плюсуют, а как коммент с вопросом – так всё, ливай дурака, неча ему среди местных интеллектуалов делать.
Artemis86
Эта дебильная мода уже давно, с тех пор как школота захватила Хабр. Активно плюсуют няшные комментики, особенно с плоским юмором, а чуть высказал мнение отличное от большинства-сразу минусы. Чтобы не высовывался. Задал вопрос вместо няшного коммента или плоской шутки? Получай.
WraithOW
Безусловно, именно эти два человека — лицо хабра.
NightGhost
На момент написания коммента было только 2 минуса.
NightGhost
UPD: дубль, инет лаганул
mig126
Это не инет. У Хабра такая проблема с дублями уже годы существует.
WasteLandR
Еще чаще многие комментарии, особенно новичковские, даже не пропускают через модерацию, хотя оный не является ни оскорбительным, ни агрессивным или подобным, а обычным сообщением, которым хотел поделиться юзер.
Noiwex
Тут есть некоторые полоумные особы с достаточным количеством кармы которые обижаются на всё подряд, нечего удивляться.
gkozlenko
То же самое было, но только с Альфа Банком. Хорошая защита.
tvr
Не всегда оно работает сразу.
Я симку менял перед самым новым годом, а альфа вопль по этому поводу издала аж в апреле.
Genttw
Оно работает в онлайне, просто сравнение записей IMSI в БД банка с текущим реальным IMSI выполняется при совершении критичных операций с т.з. банка.
Это сделано потому, что один запрос актуального IMSI стоит банкам 50+ копеек. Конечно звучит смешно, но если эту цифру помножить на количество транзакций, то получится вполне внушительная сумма.
MaksimovEvgeny
Альфа-банк мне прислал уведомление о замене SIM-карты и заблокировал личный кабинет спустя несколько месяцев (точно уже не помню) после фактического перевыпуска SIM. Вот такая вот хорошая защита…
tvr
У меня было прикольнее. Никаких предупреждений и уведомлений — просто блок в самый неподходящий момент, уже выезжал из города и надо было перевести денег за бронь жилья.
BDI
Год или два назад по той же причине(новый смартфон, нано-сим) менял билайновскую симку. В офисе оператора сразу предупредили что после замены на сутки блокируется приём СМС от банков(насчёт MFA на почтах не помню). Через сутки спокойно мог войти в ЛК своих банков(Сбер, ВТБ24), без походов в отделение.
Скажите, давно вы меняли симку? Возможно это какое-то нововвдение?
P.S. Правда симка у меня не личная, оформлена на работодателя.
FDA
Симки я менял в прошлом году. Одна была личная (Билайн), вторая корпоративная (Теле2). К обоим привязан был личный кабинет в Сбере. Как я писал выше, доступ в кабинет был заблокирован до подачи соответствующего заявления.
Но повторюсь, это касается наверное только Бизнес.Онлайна. Не припомню, чтобы для личной кабинета что-то поменялось. Но защита реально хорошая. Вот реально проще до офиса Сбера доехать, чем потом в полиции по кабинетам бегать :-)
BDI
Понятно. Буду иметь это ввиду, на случай замены симок бухгалтерии :).
German1984
У Сбера для частных клиентов такая же практика. Только, к сожалению, о блокировке в офисе Билайна не предупредили
FDA
Это очень хорошо! А то сейчас много чего к номеру телефона привязывается!
balamutang
Я недавно менял симку на Билайне и на сутки мне на перевыпущенной симке тормознули все смс, от банков и даже Почты России. Аналогично работает и у Мегафона, странно если у МТС это не так.
akamap
У МТС так же. Пару месяцев назад менял симку…
khim
Может это только при замене «живой» симки? Я в прошлом году утерянную менял, причём она была мне нужна, чтобы что-то срочно оплатить, так вся процедура «заменить-симку/убедиться-что-Райф-её-не-принимает/позвонить-в-Райф/сделать-перевод» заняла меньше часа…
grmood
Менял симку теле-2, меньше года назад, ничего не тормознулось почему-то
6095959
Аналогично. Но, что интересно, когда перенес номер к другом оператору, всем ИБ было пофиг.
Vrag
У меня прямо с вами как-будто разные cбербанки. В том, который в моём варианте вселенной «SMS с их номера 900» чудесно приходили через 10 минут после «переезда» номера от зелёнофиолетового опсоса к чёрному. Вероятно, как вы догадываетесь, SIM карта при этом тоже некоторым образом менялась.
Vilgelm
Если домен переведен на другой аккаунт внутри регистратора, а не на другого регистратора и регистратор не мудак, то он вернет вам его.
Я один раз сталкивался с подобной ситуацией, но у Network Solutions. Там правда уже шел исходящий трансфер другому регистратору, но они приостановили его. Правда захотели документы, а любые российские документы их не устроили. В итоге домен оказался в подвешенном состоянии: они его продлевают, висит он у них, но пользоваться им нельзя.
ne_kotin
Вот как раз последнее обстоятельство вызывает сомнения…
Vilgelm
Поэтому лучше пользоваться чем-то типа Evonames, там можно для критических действий типа трансфера задать второй пароль (пин), это спасает от таких ситуаций.
d-b
Спасибо за инфу, ценно
mihmig
>>запретом на перевыпуск
Что это за услуга и как её потребовать в салоне?
RiseOfDeath
А самое главное что делать, если симка реально сломается и ее потребуется перевыпускать?
ne_kotin
Запретом на перевыпуск без личного присутствия.
Если ломается — идете с паспортом в салон и меняете.
balexa
И как это вас спасет-то от целенаправленной атаки на вас? Ну напечатает злоумышленник паспорт на цветном принтере, никто не будет вдаваться в детали. Либо вообще, даст на лапу работнику салона. Не, возможно этого работника даже найдут и накажут, только к тому времени все ваши ящики-домены-пароли-деньги уже уплывут.
ne_kotin
Ну как-то спасает вроде. Паспорт печатать — гораздо более сложное и дорогостоящее занятие, чем прийти с липовой доверенностью и ксерокопией липового же паспорта. Большая часть мошенников уже на этом этапе отвалится.
edogs
FDA
Буквально неделю назад менял регистратора в Ru-center. Домен давно-давно был зарегистрирован на меня как физ. лицо. Я сейчас переносил его на ООО. Так как в нашем городе представительства Ru-center нет, то пришлось распечатывать заявление, заверять его у НОТАРИУСА и отправлять заказным письмо в Москву! После этого в лично кабинете появилась возможность смены регистратора. Переносил домены из зон .ru, net.ru, ru.net и .cloud.
edogs
Строго говоря в статье про смену регистратора нет.
Речь о переносе домена на другой аккаунт у того же регистратора.
Vilgelm
В Godaddy (один из крупнейших регистраторов) при наличии доступа к почте можно сделать исходящий трансфер за 20-25 минут. То есть через полчаса домен уже будет у другого регистратора и тогда все.
vsantonov
Подключил у них двухфакторку через Google Authenticator и даже при доступе к почте увести домен будет не так просто.
vikarti
вот тоже вопрос. EPP-коды то как получали и вообще как прошел трансфер ТАК быстро. У меня он несколько дней занимал всегда (правда — между регистраторами).
sharaev
Можно обратиться в вышестоящую инстанцию и они сменят в обход рег.ру
Arris
В рег.ру еще и не такое можно :(
Имели печальный (но не настолько!) опыт взаимодействия.