24,8
рейтинг
22 сентября 2015 в 14:04

Разработка → Оператор мобильной связи не в силах предотвратить выдачу дубликатов сим-карт злоумышленникам

imageВ интернете набирает обороты история с многократной выдачей дубликата одной и той же сим-карты злоумышленникам и последующим хищением средств.

Вкратце, мошенники, используя подложную доверенность, оформили выдачу дубликата сим-карты жертвы, а затем, используя дубликат, похитили с различных мобильных и банковских счетов солидную сумму денег. Подобные случаи безусловно происходили и раньше. Изюминка же ситуации в том, что на этот раз жертвой мошенников стало известное и высокопоставленное лицо, а дубликат сим-карты выдали несколько раз за сутки в разных офисах оператора ( и разных городах). При этом у абонента уже была установлена «блокировка» выдачи дубликатов на все офисы оператора, кроме одного, да и то по предъявлению паспорта и кодового слова самим абонентом ( но никак не доверенности).

Оператор связи показал полную беспомощность в данной ситуации и не способность защитить своего абонента, а руководство компании оператора связи предприняло шаги, результат которых пока не ясен, только после придания огласки истории широкой аудитории. До этого момента компания ограничилась предоставлением бонусных 2000 рублей на счет пострадавшего абонента. И если финансовые потери пострадавшего еще можно как-то возместить, то утечка конфиденциальных данных может представлять собой куда большую проблему. Что же делать простым смертным, не обладающим возможностью подобным образом «достучаться до оператора»? Мошенники действуют быстро и слажено, а операторы крайне медлительны в рассмотрении подобных жалоб.

Как избежать подобной ситуации в условиях полной беспомощности мобильного оператора:


0. В случае обнаружения выдачи дубликата сим-карты, немедленно блокируйте такую сим-карту и все связанные с ней платежные аккаунты и банковские карты.
00. Звоните в офис банка и сотового оператора или или блокируйте через интернет, если еще есть такая возможность, не тратьте время на пеший путь.

1. Используйте отдельный телефон и телефонный номер для работы с онлайн- и теле-банкингом.
2. Если для авторизации вам достаточно sms, используйте примитивный мобильный телефон, а не смартфон.
3. Никому и нигде не сообщайте номер этого телефона.
4. Не устанавливайте абсолютно никаких лишних приложений, если используете смартфон для этих целей.
5. Не пользуйтесь браузером или почтой на данном смартфоне.
6. Не привязывайте все свои аккаунты к одной почте и\или одному номеру телефона.
7. Не используйте очевидные или простые пароли для банковских или платежных приложений.
8. Отключите геолокацию во всех встроенных социальных приложениях в смартфоне.
9. Используйте отдельный аккаунт магазина приложений для смартфона, хранящего доступ к платежным и банковским аккаунтам.
10. Не покупайте «анонимные» Sim-карты для своих основных счетов. Это может быть ловушкой злоумышленников.
11. При первой возможности (и в дальнейшем регулярно) проверьте в офисе оператора, сколько на ваше имя зарегистрировано сим-карт.
12. Если распоряжаетесь крупной суммой денег через онлайн-банкинг, попросите у банка услугу "криптокалькулятора".

UPD Тем временем оператор связи официально признал, что среди его сотрудников есть мошенники. Учитывая факт, что подобные истории происходят не в первый раз, можно предположить, что накроют не всех.

UPD 2 По информации от других абонентов, оператор связи продолжает крайне медленно реагировать на жалобы об угоне сим-карт от менее привилегированных клиентов.
Речицкий Александр @Jeditobe
карма
27,2
рейтинг 24,8
it-евангелист
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (213)

  • +22
    Это же готовая идея для бизнеса. Если все грамотно расписать, то не так уж сложно будет найти инвестиции, имхо.
    Надо запустить виртуального оператора, который бы предоставлял «номера, которые нельзя украсть»

    Во-первых, есть спрос (платежеспособный!) на SIM-карточки, которые никто не украдет.
    Во-вторых, если поднять в СМИ шумиху, что мол карточки воруют направо и налево, то желающие перейти на такого оператора найдутся. И не мало.
    В третьих, это в первую очередь сделают состоятельные люди, которые не хотят лишних рисков. Высокая плата за такой номер в данном случае — это страховка от внезапной потери своих средств.
    В четвертых, можно таким клиентам продавать дополнительные услуги: собственно состоятельные клиенты приходят к вам сами.
    • +1
      Или если банки сами захотят решить проблему, то начнут активно предлагать карты со встроенными OTP-генераторами или, на худой конец, криптокалькуляторы.
      • +2
        В данный момент они как раз наоборот переходят на мобильную подтверждалку через смс :))))

        У яндекс.Денег раньше были клевые карты генераторы мгновенных паролей, а теперь тоже смс.

        Альфабанк для юрлиц, например, всех настойчиво агитирует переходить в их новую систему, где подтверждение через мобилу, в старой был криптоключ Alladin.
        • +2
          Несколько раз менял симку у Мегафона (года еще 3 назад), всегда Альфа-клик блокировался, так как была замена сим-карты. Нужно было звонить в банк и подтверждать факт замены путем ответов на вопросы про последние транзакции и прочее.
        • 0
          И сюда продублирую: OTP у Яндекс.Денег тоже есть (в наших мобильных приложениях) — вместо смс можно использовать их.
        • 0
          Вот! Раньше у ВТБ24 были карты одноразовых кодов, которые нужно стирать. Было очень удобно, я легко входил в банк из любых труднодоступных мест, где нет сотовой связи, но есть интернет (в таком месте я провел почти полтора месяца), очень нравилась такая система. Потом, не так давно, их отменили и всех перевели на СМС-коды. Я долго сопротивлялся, экономил штрих-коды, но все-таки карты закончились, и пришлось подключать СМС. У меня телефон всегда где-то непонятно где, не всегда со связью, очень неудобно, в общем. Когда я пожаловался на такой насильный перевод оператору, когда последняя карта кончилась, она посмотрела на меня, как на идиота какого-то, и сказала, что все только облегченно вздыхали от такого перехода, а я единственный, кто жалуется.

          Я вообще недоумеваю, как банки могли осуществить такой переход? Надо еще придумать что-нибудь более небезопасное, чем СМС-коды. Иногда мне хочется, чтобы zhovner работал в критичных к безопасности сферах бизнеса и ставил на место всех тех людей, которые считают, что телефон является лучшим решением двухфакторной аутентификации.

          Причем, блин, одноразовые коды были, во-первых, компактные (обычная пластиковая карта), удобные, бесплатные и безопасные. Сейчас можно взять OTP-токен, но он платный и явно больше по размерам, чем карта.
          • +2
            У яндекса OTP токен был как кредитная карта. Такого же размера и толщины. Вообще не отличить. Экран на еинк, сверхплоский аккумулятор, кнопка.

            Вот тут я его разобрал:
            dihalt.ru/skaz-o-klyuchax.html

            Офигенная вещь. Но сломался, через два года. На этот случай надо иметь аварийные коды.
            • 0
              и именно их получат мошенники )
          • 0
            В некоторых банках начинают вводить пуш-коды (Тинькофф и Райффайзен, по-моему). То есть код приходит в приложение.
            Мне кажется, этот вариант убережет от данной проблемы. Или я не прав?
          • 0
            возможно банки заботятся не о безопасности клиента, а о принципе «знай своего клиента»

            Им нужен ваш сотовый телефон, чтобы знать, где он находится, чтобы присылать рекламные смски и предлагать кредиты.

            Листок с одноразовыми паролями эти задачи не решает.
            А еще смски доступны правоохранительным органам, меньше тратишь ресурсов на слив информации о потенциальных подозреваемых.
    • 0
      Возникнет та же проблема.
      Как пользователю убедиться, что виртуальный оператор не будет использовать данные?
      • +3
        Можно вернуться в прошлый век с картой с одноразовыми паролями, пару лет назад Авангард еще такие выдавал)
        • +1
          Этой весной Авангард мне такую выдал. И при подтверждении платежа в 3D-Secure я выбираю смс или одноразовый код с карты.
          • 0
            О! Отличный банк, похоже.
            • 0
              Радует практически всем. Интернет-банк считаю идеальным. Обслуживание бесплатно. SMS уведомления бесплатны. Мобильный банк бесплатный. К карте открывается настоящий «прямой» счёт (40817810*), а не структурированный картсчёт (СКС).
              Исключительно в порядке придирок можно вспомнить разве что некоторые проблемы с оперативным или онлайн-пополнением счёта — очень мало банкоматов, нет партнёрства с QIWI / Yandex / WebMoney, а при перевода на карту (MasterCard Money Send или Visa Transfer) взымается комиссия.
        • +1
          До сих пор выдаёт (а у меня до сих действует выданная 6 лет назад).

          Кстати, ЯД выдаёт такие же в виде картинки на почту.
          • –2
            Яндекс.Деньги уже не выдают таблицу кодов. Зато мы добавили поддержку OTP-паролей.
            • +1
              А зря =) Ну да ладно.
            • +1
              Стильно, модно, небезопасно.
              Эх…
              • 0
                Достаточно безопасно (не «вообще», а именно на нашей практике), и очень доступно для пользователя — для нас как массового сервиса это очень важные критерии. + не забывайте о подкапотной алхимии по защите счетов.
            • 0
              А вы не знаете, почему Яндекс отказался от карт с дисплеем? Это было самое продвинутое решение.
              • 0
                Дорого поддерживать, а пользовались единицы.
  • 0
    Вопрос немного не по посту
    Тут недавно на на вокзале мне дали «бесплатную сим-карту». Ради интереса взял. Кто знает, как они на этом зарабатывают? Или это не мошенники, а действительно инициатива полосатого оператора? В комплекте шел незаполненный договор с печатью. Карта, вроде, новая, до сих пор работает. До активации стартового баланса было -5 рублей на счету, после — 5 рублей.
    • +2
      Предположу, что оператор своим дилерам даёт план, что нужно продать 100500 симок, а за каждую «активную» симку потом выплачивается неплохое(раз этим занимаются) вознаграждение. При этом, видимо, оператора не волнует, каким образом продаются его симки.
      Оператора также не волнует, что симки могут использовать мошенники, чтобы «анонимно» выходить в интернет или выводить ворованные деньги.
      • +1
        cимки могут использовать мошенники, чтобы «анонимно» выходить в интернет или

        или? Т.е. по вашему анонимный выход в интернет — это уже «мошенники»?
        • +2
          Тут нет объяснения тому, кто такие мошенники. Есть утверждение, что мошенники могут использовать такие-то возможности в современных реалиях наравне с другими законопослушными людьми.
    • +3
      Есть версия, что номинальный владелец сим-карты переводит все внесённые средства на другой номер.
      • +9
        Так и есть. Проводили эксперимент. Как только на счету оказывается какая-нибудь существенная сумма, или деньги пропадают или симку блокируют.
    • 0
      +1, мне тоже любопытно, в том числе — каким чудом эти симки работают без паспортных данных.
      • 0
        Личный кабинет не работает, кстати. «Контракт не зарегистрирован».
        • –1
          лучше зарегистрируйте на себя, если планируете пользоваться этой симкой
          • +1
            Исключительно для прайваси брал — регистрировать одноразовые аккаунты во всяких контактиках и прочих ресурсах, неоправданно требующих номер телефона.
            • –1
              Для таких вещей есть виртуальные номера, различные сайты) Хотя они плохо стали работать, сайты спалили контору
              • 0
                Можно у своего оператора подключить дополнительный номер, смотря что и от кого планируется скрывать
              • +1
                Они лучше, проще или более анонимны, чем сторублёвая симка, купленная у метро?
                • –2
                  Тем, что ими можно пользоваться через TOR, а вот покупка симки без паспорта так то подсудное дело
                  • +3
                    Подскажите статью, пожалуйста.
                  • 0
                    административная ответственность продавца главным образом.
        • 0
          на тех, кто оформлены на колхозы — работает сразу. а Вашу проверьте через недели три-четыре — заработает.
      • +3
        Вы приходите в офис оператора с паспортом и оформляете на себя 1 симку. Сотрудник офиса оформляет вас еще 10 симок, которые потом продаются у метро.
        • +1
          Их разве не видно потом?
          Мне тут в магазине в нагрузку дали 4 бесплатных симкарты, ну я бросил их в ящик стола, а потом на сайте оператора вдруг увидел, что на моё имя записано вдруг пять таких симкарт, значит продавец кому-то сплавил пятую оформленную на моё имя симку.
          Я их сразу заблокировал, звонил несколько раз опсосу, писал бумажное заявления для отказа, обещали убрать «через месяц», но всё равно так и висит 8 номеров на моё имя, хотя активны и используются только 2.
          • +2
            Их разве не видно потом?

            А много людей по сайтам операторов ходят?
          • +3
            Посмотрел в ЛК билайна, не нашел информации о других номерах. Подскажите кто-нибудь где можно глянуть эту инфу.
            • 0
              ногами в офис идти придется, либо долбить операторов, но я не уверен что у них есть такая информация или право ее разглашать.

              ЛК пчелиный показывает только номера, которые ты сам туда руками вписал.
              • 0
                есть право «разглашать» владельцу по паспорту, но только в пределах региона — в офисе МТС так делал не раз. Но тут надо учитывать, что это должен быть именно офис, а не пункт продажи
                • 0
                  я, собственно, о том же, что надо ножками топать, а по телефону покажут болт с левой резьбой.
      • +2
        У меня обратная проблема — есть симка билайна, которую я не могу зарегистрировать на свои паспортные данные вот уже второй год. Ну то есть симка у меня дропнулась, её продали другому человеку (без регистрации на паспорт), а я её выкупил у него с рук, и вот уже второй год я задалбываю саппорт вопросами «как мне зарегать симку на свои паспортные данные?». Ничего ответить не могут. Один раз я написал заявление, но результата не дало вообще никакого — даже отрицательного ответа с отказом на бумаге не прислали в то отделение, где я писал заявление.
        Всё веселье в том, что симка была до этого зарегистрирована на мои же паспортные данные порядка 7 лет.

        Так что прекрасно они без паспорта живут.
        • 0
          Год назад переоформил на себя симку родственника, которой я пользовался года два. В центральном офисе написал заявление с просьбой переоформить на моё имя, т.к. пользуюсь номером и своевременно оплачиваю… Бред какой-то… но, никаких документов кроме моего паспорта не понадобилось. Через месяц получил договор на своё имя… тихо ужаснулся, ведь так запросто можно номер отнять или получить дубль, и, наверняка, особенно просто если «свой человек» в салоне есть.
          Попробуйте удачи в разных офисах.
          • 0
            У меня проблема в том, что симка вообще ни на кого не оформлена. Говорят «идите к тому, кто вам её продал — пусть регистрирует». А где я буду искать этого «продавца», который в переходе на ВДНХ стоял.
    • +2
      Просто они легко могут снимать деньги со счета этой симки.
      Вроде как, она считается корпоративной, и допускает манипуляции с балансом без вашего ведома.
    • 0
      Ваша история, по крайней мере, выглядит гораздо законней моей. Мне в Москве дали 2 симки на улице, запакованные в пленку, и на каждой был баланс 250 рублей. Они не требовали договора, вставил@пошел. Это, пожалуй, самое странное, что со мной случалось в жизни.
      Выдавали их по одной в руки, мы шли с другом.
      • 0
        Билайн? Симки корпоративные, оформлены на большой колхоз. Чаще всего раздают приезжим у вокзалов. Даже если не воровать деньги со счётов используя средства управления организации, колхоз получает профит от билайна. Им платят процент от трат абонента.
  • +2
    А мне уже который месяц не могут вернуть права владения номером (пришёл с ним в фирму), нужна куча документов, времени, и немного денег на счёте, и при этом процедура заваливается на раз. (хоть это и не билайн)

    А билайн до сих предпочитают бандиты и разводилы всех мастей перед другими операторами, может пора бы уже менять что-то более существенное, чем логотипы и лозунги?
    • –2
      Никакой кучи документов не надо — просто доверенность от работодателя по форме оператора. Дальше вы идете с ней к оператору в офис, кладете деньги на счет и все симка снова ваша.
  • +20
    Давайте честно. Никогда и никому не сообщайте — для этого есть чёрный рынок, где за смешные деньги «пробивают» по большой тройке… Сейчас придёт теле2 — и по нему будут сливать информацию — достаточно знать ФИО.
    Иногда моему знакомому приходится пользоваться такими услугами для проверки контрагентов.
    Буквально недавно был случай — умерла сим-карта (а у одного оператора они дохнут с завидным постоянством), привязанная к интернет-банку организации. Товарищ давно уволился и контакта с ним нет. Пришлось «узнавать» его данные и лепить доверенность от его лица и организации чтобы восстановить доступ — это был наиболее быстрый и простой способ.
    Поражают сами операторы. Бывает такое что самолично не можешь получить замену своей sim потому что:
    — пользуются родственники, но покупал её я, живущий в другом городе — ходил в офис, получал новую sim, отправлял курьеркой
    — аналогично со своей симкой — она московская, но я был в другом городе — у полосатого оператора нет «московских симок» — езжай в Москву, меняй там (что за _московские симки_ и когда уже эта эпопея с роумингом закончится — не знаю)
    — обмен только по паспорту — вот вам фото моего паспорта, мои права, военный билет… ну не ношу я с собой паспорт, вот другие документы и кодовое слово я назвать могу — нифига
    Зато сотрудники офисов опсосов первому встречному готовы отдать дубликат sim за бумажку с синей печатью — какая-то обратная лояльность к клиентам
    • 0
      Про пользуются родственники: сами так делали, пришли у себя в офис и накатали доверенность на удалённого родственника. Там спокойно потом всё сделали.
  • +7
    Маленькая поправка от имени Яндекс.Денег — в истории, на которую вы ссылаетесь, деньги усердно пытались украсть, но не украли.
    • +4
      Анна пишет, что после второго перевыпуска симки деньги всё же украли:
      Позавчера в 18 часов вечера моя симкарта снова была выдана неизвестным лицам! И сразу были украдены деньги с Яндекса по одноразовому паролю.
      • +8
        Это было подозрение, оно не подтвердилось. Деньги не украли. Мы попросили Анну сделать апдейт к посту, чтобы неверная информация не тиражировалась в СМИ, которые не следят за ходом событий и не связывались ни с Анной, ни с Яндекс.Деньгами.

        Отдельно интересно, как у вас фраза «сразу были украдены деньги с Яндекса» превратилась в «похитили с различных мобильных и банковских счетов солидную сумму денег».
        • +2
          У меня ничего ни во что не превращалось, я цитирую пост Анны с Фейсбука.
          • 0
            Да, простите. Не у вас, а у Jeditobe
            • +1
              Я не знаю, где она делала апдейт. Но у нее черным по белому написано:
              Позавчера в 18 часов вечера моя симкарта снова была выдана неизвестным лицам! И сразу были украдены деньги с Яндекса по одноразовому паролю.


              Итого: я провела выходные в офисе Билайна, два дня без телефона, все три почты взломаны — Гугл, Яндекс, Мейл, украдены деньги с кошелька.


              Что у каждого из Вас, кто абонент Билайна, могут вот также просто увести телефон, а за ним — почту, кошелек и все остальное?


              У Яндекс Денег у каждого аккаунта есть карточка (пусть и не всегда выданная) и банковский счет. Привет банку Тинькова. Я нигде не соврал.
              • +5
                «Похитили с различных мобильных и банковских счетов солидную сумму денег» — вот здесь :(

                Пока Анна не сделала свой апдейт, предлагаю (уж простите за настойчивость) апдейт от Яндекс.Денег: Наша система безопасности предотвратила попытку мошенничества, деньги не были похищены и находятся на счете пользователя.

                • 0
                  не надо гнуть пальцы там где не надо. Вот здесь http://megamozg.ru/post/22612/ именно с Яндекс.Денег таким же способом были украдены денег. И что-то ваша СБ хваленая не помогла.
                  • 0
                    Спасибо, что показали, узнаем, всё ли сделали для автора, или нужна какая-то ещё помощь.
                    • 0
                      Вам спасибо, если поможете человеку )
              • +2
                В сухом остатке: сим-карта выдана в Омске вообще без каких-либо оснований, компания Билайн это признала. Сим-карта, трижды выданная в Екате по доверенности — жду от компании скан этой доверенности. Деньги вывести не успели, запрашивали на вывод 72 тыс. Заявление в органы подано, о результатах буду сообщать.


                https://www.facebook.com/annaznamenskaya/posts/10207689697860791?comment_id=10207703393043162
                • +2
                  Если сложить ваши слова и Анны, можно угадать такую хронологию:
                  — Деньги-таки перевели с аккаунта Анны на левый аккаунт;
                  — С левого аккаунта попытались вывести деньги, но не смогли;
                  — Анна подняла шумиху;
                  — Вернули деньги с левого аккаунта на её аккаунт;

                  Просто с точки зрения Анны, как обычного пользователя «украли деньги» = «нет денег на счету».
                  А с вашей точки зрения это только «деньги перевели между счетами, но они остались внутри системы».
                  Поэтому, так как здесь большинство пользователи, уместнее говорить так: «деньги украли, но потом вернули».

                  Чтобы сохранить лицо компании, вам нужно рассказывать про другой момент.
                  Если ваша система стопорнула вывод денег до публикации Анны, то вы молодцы (так как разобрались бы и вернули деньги и без публикации).
                  А если после, то не молодцы.
                  Лично я предполагаю, что мошенники постарались бы сразу вывести деньги.
                  Поэтому можно предположить, что ваша система сработала до.
                  • –3
                    Повторюсь с вариациями: деньги не были похищены, не были украдены, не были переведены на другой счёт внутри системы или куда-либо ещё. События, описанные в посте, происходили и завершились до публикации — из самого поста это очевидно.
                    • +4
                      По вашей логике, Анна фразой
                      И сразу были украдены деньги с Яндекса по одноразовому паролю.
                      имела в виду совсем не то, что она имела в виду.

                      Зато фраза
                      Деньги вывести не успели
                      конечно же означает «Деньги даже не сняли с моего кошелька. Они все время там оставались. И куда я только смотрела?»

                      P.S.
                      Хочу напомнить, что публика хабра — это очень разумчивые и вдумчивые люди, которые часто по долгу службы умеют находить логические несостыковки.
                      • –3
                        Дискутировать, кто чего имел в виду, не вижу смысла. Если будут ещё вопросы о Яндекс.Деньгах — постараюсь ответить :)
    • +2
      Вы шутите или издеваетесь?
      Что там «усердно пытаться», когда это обычная операция по переводу.
      Зашел на сервис, ввел данные для перевода, ввел разовый пароль полученный на украденную симку и готово.
      • +3
        К счастью, в реальности всё «немного» сложнее, Яндекс.Деньгах вполне эффективный антифрод и кражу удалось предотвратить.
  • +4
    С другой стороны это это также уязвимость со стороны банков и платежных систем, позволяющих вход в интернет-банк и перевод денег после замены сим-карты
  • +6
    Сбербанк и Ситибанк автоматом отключают отправку смс для авторизации и подтверждения действий в интернет-банке, когда меняешь сим-карту.
    Нужно звонить в банк с кодовым словом или идти в банкомат с карточкой.
    Про другие банки сообщу позже, когда пойду обычную симку на микро поменять.
    • +1
      Сбербанк еще недавно точно не отключал ничего.
      • +1
        Ok, уточняю:
        Сбербанк на Мегафоне отключал буквально три недели назад
        Ситибанк на МТС отключал довольно давно, возможно сейчас что-то поменялось, не пользовался им давно.
        • 0
          Мне теперь прям захотелось симку поменять. Регион-то тот же.
        • +2
          У CitiBank, точнее у его СМС-оператора, проверка IMSI пошла ещё дальше.
          На примере МТС: если ставишь переадресацию СМС с одного номер на другой через SMSPro, отправка CMC прекращается (это для тех СМС, которые идут по IMSI каналам).
          • 0
            Молодцы они, даже это предусмотрели.
        • 0
          менял симку года полтора назад, когда говорили, что сбер отключает, но как работало так и работает до сих пор
      • +1
        Сбербанк (в Новосибирске) отключал мне мобильный банк еще в 2012 году когда пришлось заменить сим карту из-за ее умирания. звонил им, они просили идти к банкомату, распечатать свежий чек и по телефону сверяли какую то информацию
      • 0
        Год назад уже была подобная дискуссия и там я описывал момент с идентификацией по IMSI — сбербанк тогда лажал по этому пункту.
        Сейчас злоумышленники работают по двум схемам — трояны на мобильных или «давай перекину тебе денег, дай код из смс», хотя может бабушек еще и до банкоматов гоняют с секретными кодами лотереи вида "+79651234567"
      • +1
        Менял симку три недели назад. МТС. Сбер не отвалился.
        • 0
          Вы говорите про смс с одноразовыми паролями для входа в Интернет-Банк (ИБ) и платежей в интернете?
          • +1
            И они и приложение.
        • 0
          Месяц назад где-то меняла SIM-карту Билайна на новую, поддерживающую LTE — Ситибанк отвалился. Пока не дошла в тот день до интернета на стационаром компьютере, долго пыталась понять, как они узнали :)
      • –1
        При переносе номера с Мегафона на Йоту Сбербанк отключил отправку, после обратного переноса с Йоты на Мегафон не отключал.
        • 0
          Сорри за оффтоп: Не поделитесь соображениями, по которыми вы перешли к Йоте, а потом обратно? У меня была мысль уйти на Йоту с зелёно-фиолетовых, но пока я не определился.
          • +1
            К «синим» уходил на посмотреть, что из себя представляют, когда у них была бесплатная акция перехода с бесплатным месяцем (или что-то типа того у них было летом)
            После того как убедился, что:
            1. тетеринг с айфона на айпад невозможен — именно невозможен (64 кбит/с для моего юзкейса тогда бы устроил) — после сопряжения айфон-айпад через секунд 5-10 связь просто напросто рвалась и тут же поднималась (сопряжение при этом оставалось поднятым).
            2. никакая ТП по чату — утверждали, что тетеринг возможен (как и тут пишет Yota4All что оно так и есть), но в реальности всё не так.

            История возврата
            А вот после возврата к «зелёно-фиолетовым» в конце июня во «Всё включено» не подключились предоплаченные пакеты (смс, минуты), в начале сентября пришлось переключаться на тариф, где пакеты просто отсутствуют — «Всё просто», после чего меня обрадовали, что всё починили (чинили более 2 месяцев). Правда обещать не стали — сказали, что вы всегда можете обратиться с заявкой вновь :)

            Но это уже совсем другая история :)
      • 0
        Поменял симку Мегафона (с обычной на микро) 21 сентября 2015 — сберовский мобильный банк отвалился.
        • +1
          Как выше было отмечено — зависит от региона. Поэтому, для полноты сообщите регион (федеральный округ?).
          • 0
            Костромская область.
      • 0
        Делал замену симки на МТС в Краснодаре в ноябре 2015, т.к. нужна была 4G и ничего сбербанк не отключал.
    • +1
      Буквально неделю назад сменил сим-карту.
      Никакие сервисы Сбербанка не отвалились.
      К слову, Банк Москвы, тоже продолжает присылать СМС с паролями.
      • +2
        Буквально неделю назад сменил сим-карту.

        Наверное, тут нужно говорить о связке опсос-банк.
        • +2
          не совсем так. Это зависит, как банк реализует схему работы с смс. Банк может либо просто отправлять смс по smpp, либо реализовать подключение к опсосу на уровне SS7, и тогда получать чуть более расширенную информацию по номеру абонента. В том числе и номер симкарты. Вот, например, можно потестить
        • 0
      • 0
        Позапрошлом году менял билайновскую симку. Перестали отправлять пароли, пока я не позвонил в банк.
      • 0
      • +2
        И все-таки у сбера есть проверка IMSI.
        Сегодня я попытался создать новый шаблон в онлайн-банке. Его нужно было подтвердить паролем из СМС. Однако на телефон пришло сообщение, что «В связи с заменой сим-карты смс-пароль не может быть отправлен на этот номер». Так же в сообщении указывалось, что надо позвонить на линию поддержки, чтобы перерегистрировать СИМ-карту.
        Позвонил, перерегистрировал и заодно расспросил: «Как же так получилось, что я успешно делал платежи как через онлайн-банк с СМС-паролями, так и с использованием 3dSecure и банк не обращал внимания на смену сим-карты, а теперь обратил». Сказали, что есть какие-то критерии, по которым банк решает, когда надо проверять замену сим, а когда не надо. Создание шаблона — один из триггеров, по которому такая проверка срабатывает.
        Удивительно, что платежи по 20т.р. не являются сигналами для банка проверить мою сим-карту, а безобидный шаблон (а это даже не подтверждение оплаты) является.
    • +5
      Альфа моментально вырубает. Включают только после визита в офис с паспортом.
      • +1
        Это по вашему опыту. Я в январе поменял сим-карту и продолжал пользоваться А-Б на всю катушку еще около недели, прежде чем отключили доступ.
        • 0
          А какой у вас оператор? У меня билайн.
          • 0
            Тоже самое, я уже однажды отписывал на эту тему.
            habrahabr.ru/post/256579/#comment_8394537 оператор Мегафон.
            Более того, недавно взял временную симку мегафона и на следующий день на него пришла какая-то информационная рассылка от Сбера с номера 900, м.б. сам номер уже не привязан ни к чему, но все равно довольно странно.
        • 0
          Там похоже был какой-то глюк, тоже это застал, но обычно сразу отключают.
          • 0
            Альфа банком давно не пользуюсь, но доступ в интернет банк по-прежнему есть. Менял симку карту теле2 17 августа. Только что зашёл в интернет банк без проблем.
      • 0
        а мне достаточно было позвонить, и через оператора и кодовое слово подтвердить смену SIMки. такое было проделано не единожды за пару лет. тоже Альфа, тоже Билайн
        • 0
          Знаете, возможно я наврал. Я точно помню, что при смене номера мне 100% пришлось идти в офис и писать заявление. И помню, что при смене симки сразу же вырубился доступ к клиент-банку, от банка пришли смс-ки по этому поводу через минуту после того, как вставил новую симку в телефон. А вот как я подтверждал замену симки, я сейчас понял, что достоверно не помню. Возможно, что тоже делал это по телефону.

          Прошу прощения, если кого-то дезинформировал.
          • 0
            у Альфы в разное время были разные требования, одно время (когда это появилось) просили подойти в офис, потом стали по телефону разблокировать.
            Плюс альфаклик работал на логин, но при попытке сделать платеж — код не присылался, выдавало сообщение, что поменялась симкарта, надо подтвердить замену.
    • +1
      в этом году я менял симку. Сбербанк на это никак не отреагировал.
      • 0
        Видимо от опсоса зависит, смотри выше.
        А может совсем недавно что-то поменялось.
        • 0
          Ничего не поменялось.
          Супруга неделю назад переходила между операторами с сохранением номера, т.е была не просто замена симки, но и смена оператора. Сберу пофиг, как работал так и работает.
          • 0
            Напишите Сберу в багрепорт)
      • 0
        Мне Сбер отключил через полгода, это было феерично.
    • 0
      У тинькова так же.
      • 0
        Только мне симку поменяли в августе 2014, а банк заблокировал в марте (или это было в апреле 2015). Сказали, что МТС медленно передает данные.
    • 0
      Неправда. Ни Сити, ни Сбер ничего такого не сделали год назад. А как мы уже как-то здесь выясняли — не во всех регионах это работает.
    • +1
      Альфабанк ещё сравнивает IMSI (уникальный номер подписчика), если поменялся (то есть сменилась симка), то просит авторизовать действие через банк. Насколько я понимаю, делается это элементарным HLR запросом, своеобразным «пингом» номера, который возвращает идентификаторы сети (MCC+MNC), IMSI и MSC (обслуживающий в данный момент абонента центр коммутации).
  • +1
    1. Используйте отдельный телефон и телефонный номер для работы с онлайн- и теле-банкингом.

    3. Никому и нигде не сообщайте номер этого телефона.

    Как мера security through obscurity?

    Ведь на этот номер также смогут перевыпустить симкарту.
    • 0
      Злоумышленники действуют наверняка и целятся на наиболее состоятельных клиентов. Указанные меры на порядок снижают риск быть обворованным в условиях бездействия оператора. Плюс гораздо легче будет доказать, что это не вы сами кому-то слили доступ случайно.
      • 0
        На мой взгляд, злоумышленники не обязательно целятся на наиболее состоятельных.
        Как вариант, можно перевыпускать симкарты и пытаться перевести деньги через мобильный банк Сбербанка.
        Это сработает в большинстве случаев, так как карта Сбербанка есть у многих (статистика на 1 января 2013 года), а операционисты настойчиво предлагают подключить мобильный банк.
        • 0
          А публикация своего номера телефона вместе со всеми данными о вашей платежеспособности вообще равносильна тому, что вы сами деньги ворам в карман положите.
          • +1
            Да, и это печально.
            Мне кажется, было бы логичнее использовать аппаратные токены.
            А без их использования (например, через мобильное приложение) оставлять пользователю возможность переводить деньги только между своими счетами и по уже сохраненным шаблонам (например, оплата мобильного телефона, домашнего интернета и т.д.).

            Может, в каких-то банках есть уже такой функционал?
            • 0
              Раньше был — всякие типа скретч-карты, сохраненные ключи.
              Но сейчас все это вытеснено паролями через SMS.
            • 0
              100 миллионов токенов? Организовать их раздачу, поддержку?
              На руках у людей телефоны, даже не смартфоны. Токен надо покупать, деньги тратить, выбирать модель, учиться пользоваться…
              • 0
                Вот у близов есть токены, можно приложение поставить на телефон
                • 0
                  Гугл-аутентификатор работает для всех желающих по открытому алгоритму, не надо изобретать велосипед.
                  Возможно, он даже как-то защищен на случай физического доступа к смартфону.
                  • 0
                    В альфа банке есть свой аналогичный велосипед
                    Как вариант, можно завести отдельный смартфон и поставить туда Альфа ключ.

                    Заодно нашел, что можно подключить токен к Яндекс деньгам.
                    • 0
                      Токен у яндекса уже года два как не продается и не предлагается.
                  • 0
                    Смартфоны есть не у всех
                    • +1
                      Интернет-банк также нужен не всем.
                      А еще можно предложить выбор при подключении интернет-банка.
                  • 0
                    В этом плане ЯД отличились со своим Я.Ключ. Лишь бы не брать нормальный TOTP и не иметь совместимости с google-authenticator/freeotp.

                    Кстати, кто беспокоится по поводу закрытости google-authenticator — freeotp от redhat открыт (Apache License v2).
                    • 0
                      Пользуюсь FreeOTP. Пока ни разу не подвел. Жаль, что мало кто в эту сторону смотрит.
                      • 0
                        Адекватные (google, github, amazon, lastpass) — смотрят и позволяют использовать нормальный TOTP.
                • 0
                  у Стима есть Steam-Guard для смартов.
              • 0
                Для тех же юридических лиц ЭЦП повсеместно используется в банк-клиентах.
                Следовательно токены покупаются, поддерживаются, людей учат этим пользоваться.
              • +1
                Если токен интегрирован в платежную карту, то проблема дистрибуции отпадает.
            • +2
              Аппаратные токены (могут называться «генераторы паролей», «криптокалькуляторы» и т.д.) в банках бывают. Из числа тех банков, с которыми я сталкивался, такую услугу предоставляли Газпромбанк и Московский Индустриальный.

              Стоимость такой штуки порядка 1 тыс., но в принципе, это дешевле отдельного мобильного телефона с СМС-авторизацией.
              • +1
                Райфайзен предлагает (по крайней мере 2 года назад предлагал) кард-ридер, то есть коробочку, которая выдает пароли для интернет-банка после того, как в неё воткнешь карту и введешь пин. Но по-моему большинство авторизуется через смс.

                Автобанк (впоследствии Уралсиб, а сейчас уже и не знаю) выдавал USB-ключ для подписи транзакций через ИБ. Но это было больше 10 лет назад.
          • 0
            Почему, я уверен у многих состоятельных людей узнать злоумышленникам номер не проблема, но таких кул стори слышно не много?
            • 0
              Потому, что моими советами пользуются и много-факторной авторизацией. И главное, они зарегистрированы как VIP-клиенты, с ними банки и операторы по другому разговаривают и ноги им лижут. Всегда готовы транзакции остановить или взад повернуть.
              • 0
                Ок, такому верю, а как же защитить почтовый ящик, я вот телефон к нему подключал для того, чтобы наоборот повысить надежность?
                • 0
                  Ну к ящику пароль все равно надо знать, это же не аккаунт вконтакте
          • +3
            Миллион способов сопоставить номер телефона с повышенной вероятностью наличия денег.
            Например, оставьте на авито вкусное объявление и не берите трубку.
          • +1
            А публикация своего номера телефона вместе со всеми данными о вашей платежеспособности вообще равносильна тому, что вы сами деньги ворам в карман положите.

            Вы знаете, сколько такой информации можно найти, элементарно приложив мозг? Например, на специализированных форумах, не связанных с IT и прочим, где тусуются увлечённые люди (рыбаки, строители, да кто угодно). В одном посте по продаже чего-то фигурирует и карта, и телефон, и видно оборот по ней (заказчики отписываются), и 90%, что телефон привязан к карте.

            Предполагаю, что и в соцсетях то же самое (предполагаю потому, что не пользуюсь последними)
  • +2
    Интересен комментарий представителя билайна по данному поводу: налицо уголовка двумя и более соучастниками внутри оператора связи. И предвидеть подобное невозможно, только ликвидировать виновных.
    По-видимому, единая БД для всех у них, даже на регионы нет деления. Следовательно, они долго будут устранять этот косяк.
    По-большому счету, оба, и пострадавшая, и оператор связи, должны были, помимо беспокойства собственной СБ, побеспокоить и ментов, простым увольнением тут не отделаешься.
  • 0
    В начале года поменял симку в Мегафоне на 4G.
    единственный, кто сократился — Ситибанк.
    Туда же воткнуты Райф, Альфа, Тиньков, Авангард. Никто из них не отреагировал.
    Что-то это мне не нравится…
    Регион — Москва.
    • +2
      Мне нужно срочно вам позвонить, номер телефона не подскажете?
      • 0
        Да вот начиналось-то это все боль-мень прилично: МТС для голоса, а мегу взял исключительно как дата-терминал, чтоб никогда не звонить.
        Но ведь гады же: у МТС голос все хуже и хуже, а у меги тарифы такие приятные появились…
        Короче, спасибо за напоминание, надо обмозговать стратегию заново.
        • 0
          tele2 в октябре запускаются в мск. А так номер телефона должен быть как дополнительный фактор защиты, но не основной (привет двухфакторная авторизация). Тот же Сбер не даст получить доступ в переводу без знания злоумышленником логина, а логин там не может быть простым
          • –1
            Логина или пароля? А то логин+пароль уже двухфакторная аутентификация получится.
            Я так понимаю, трояном уводятся пароли и информация о суммах, потом делаются симки, где это имеет смысл.
            Сервис, который позволяет все восстановить по одной лишь смс — очень странный в плане безопасности, тем не менее некоторые банки предлагают восстановление логина по смс
            • 0
              В сбере, зная логин свой и имея доступ к симке, можно получить одноразовый пароль. Но логин там сложный по дефолту
              • 0
                Действительно, можно.
                Хотя бы логин по смс нельзя восстановить.
                Однако, неожиданно, что нужно хранить в тайне не только пароль, но и логин.
              • 0
                Но логин там сложный по дефолту

                Его поменять можно зато.
                • 0
                  Но как, зная имея доступ к симке только?
                  • +1
                    Я имею в виду, что юзер заранее может поменять логин с 12333423424 на vasya.pupkin
            • +1
              А то логин+пароль уже двухфакторная аутентификация получится
              Лажа. Это один фактор «знаю». Телефон, хоть и слабый, но второй «имею».
    • 0
      Менял симку на другой формат, Райф, сбер, WM, QIWI (там, правда, денег нет), авангард — живы и радостно шлют одноразовые смс.
      • 0
        Вы пробовали деньги переводить? Мне Альфа тоже шлет одноразовые СМС, но как только введешь код из нее, ругается и отказывается проводить транзакцию.
        • 0
          Авангард и WM точно переводят. В райфе тоже вроде было.
    • 0
      Поменял симку сначала симку на 4G Мегафон — Тинькофф перестал работать, пришлось активировать новую симку. Через некоторое время поменял оператора (номер остался тот же) — Тинькофф перестал работать.

      Года 3-4 назад на смену симку так же реагировал Альфабанк.
      • 0
        у Альфа-банка смена пароля альфа-клика если старый истек или забыт реализована интересно: 4 последних цифры номера любой активной карты + дата действия + капча с выбором объекта(«выберите из картинок жабу») + авторизация через СМС. (Альфа-ключ у меня не подключен потому что были с ним глюки и в офисе сами посоветовали выключить). А вот мобильное приложение не задействуется в процессе сброса никак.

  • 0
    Как эти советы, кроме последнего, помогут от атаки перевыпуском сим-карты?
    • 0
      Абсолютной защиты не существует ни от чего в мире. Но советы значительно снизят вероятность выпуска дубликата для злоумышленников.

      У жертвы в описываемом случае номер был известен многим, как и ее материальное благосостояние. На один номер было привязано множество аккаунтов. «Все яйца в одной корзине».

      Злоумышленники не работают по площадям, массовая замена сим-карт вызовет подозрения. Они работают точечно и целятся в состоятельных людей.
      • +2
        Судя по количеству публикаций, в том числе от жертв, они всё-таки работают по площадям.
        Состоятельный — очень растяжимое понятие в данном случае, учитывая что сбер разрешает подтверждать по смс переводы до 600 тысяч (не знаю, можно ли сделать несколько таких переводов подряд).
        Почти никто не приходит с поддельной доверенностью прямо в банк. Хочется достичь примерно той же степени защиты и со стороны мобильных операторов.
        • 0
          Нет, этот лимит на день.
          • 0
            То есть, можно сделать два перевода в 23:59 и 0:01:)
            • +1
              А вот фиг, натыкался (правда переводом через «смс на номер 900») — они считают 24 часа с момента транзакции.
        • 0
          Увы у вас неправильное представление о «площадях», вы путаете это с «веерным» эффектом. Затронуты многие, но злоумышленники не берут диапазон от «сих до сих» в 1000 или 10 000 номеров, а действуют выборочно.
        • 0
          Увы, у вас неправильное представление о «площадях», вы путаете это с «веерным» эффектом. Затронуты многие, но злоумышленники не берут диапазон от «сих до сих» в 1000 или 10 000 номеров, а действуют выборочно.
          • 0
            Во всяком случае, потенциальных целей сотни тысяч. Это не пара знаменитостей, которым кто-то сбрутил пароли.
  • +6
    Официальный комментарий:

    freedom.livejournal.com/2250642.html

    Друзья, в нашей компании случилось ЧП. Буквально в течении суток, сразу несколько групп злоумышленников совершили спланированные действия в отношении нашего клиента Анны Знаменской. Об этом она написала на своей личной странице в Фейсбуке.

    Мошенники использовали поддельные доверенности в Екатеринбурге и получили симкарту с ее номером. Мы очень оперативно отреагировали и ситуацию удалось разрешить, но уже на следующий день, в Омске другая группа преступников во главе с (!) нашим бывшим сотрудником в Омске, воспользовавшись доверием экс-коллег (раньше работали вместе в одном салоне), успешно получили очередной дубликат сим-карты Анны. Это было прямым нарушением наших должностных инструкций, эти сотрудники уже уволены. Кроме этого, мы прямо сейчас подаём заявление в правоохранительные органы с требованием возбудить в отношении этих людей уголовное дело. Я так же прошу Анну обратиться в правоохранительные органы с заявлением. Со своей стороны, мы гарантируем предоставление максимально полной информации для того, чтобы все участники этой преступной группы понесли наказание.

    Мы бесконечно виноваты перед Анной. Я хочу принести извинения и от лица компании, и лично. Этот случай выявил серьезные проблемы в системе замены наших симкарт и прямо сейчас мы делаем все, чтобы в будущем такие ситуации были просто невозможны. Это неприятный урок и для нас, и, наверное, для всех, кто пользуется современными технологиями. К сожалению, в сговоре с нечестными сотрудниками такие ситуации возможны везде. Слава богу, деньги у Анны не пропали, наша команда успела оперативно сработать. Мы обязательно доведем это дело до конца. Я буду подробно рассказывать о всех этапах расследования, потому что защита интересов клиентов — это не только главный принцип работы, но и вопрос Чести.
  • +4
    — Здравствуйте я хочу поменять симку номера 89009991111 вот доверенность
    — Хорошо сейчас позвоню и уточню.
    Сотрудний билайна забирает паспорт у того кто принёс доверенность и набирает 89009991111 и по телефону спрашивает (звонок записывается):
    Добрый день это вас беспокоят из Билайна у нас доверенность от Иванова П.З. на смену вашего номера. Вы подтверждаете что вы ему выдавали?
    Вариант 1 (Из трубки звучит да)
    Подтвердите ваше ключевое слово которое вы заполнили при оформлении сим. Если вы его не помните сбростье его в личном кабинете.
    Вариант 2(Из трубки звучит нет)
    Вариант 3(Трубку не берут)
    Отказ
    Вариант 4(Телефон не доступен)
    Отказ

    Разрешаю меня нанять в СБ Билайна :))))
    Вызывается наряд — подозрение в мошенничистве и так далее
    • +3
      Симку могут менять, если она, например, неисправна или потерялась. Как быть тогда?
      Варианты 3 и 4 из вполне легальных становятся основанием для вызова наряда полиции?
      • +1
        Пусть приходит владелец, если потерялась.
        • +2
          Есть случаи, когда владелец не может прийти самостоятельно (травмы, некоторые заболевания, нахождение за границей). Для этого и существуют нотариальные доверенности.
        • +3
          А ещё может прийти похожий на владельца человек с его паспортом (настоящим, украденным, поддельным). Было бы желание получить SIM-ку, способы придумают.
          В офисе не сидят люди, как на таможне, которые обладают необходимыми навыками по идентификации гражданина по одной фотографии в паспорте.

          Вряд ли придумают что-то, что сильно усложнит данный процесс, кроме как полного запрета выдачи дубликатов без специального механизма подтверждения.

          Кстати, обратите внимание на эту статью:

          ЦБ РФ потребует от банков в обязательном порядке получать подтверждение от держателей карт на проведение CNP-операций

          http://www.plusworld.ru/daily/cb-rf-potrebuet-ot-bankov-v-obyazatelnom-poryadke-poluchat-podtverjdenie-ot-derjateley-kart-na-provedenie-cnp-operaciy/

          Хороший вариант, как дополнение, это генератор кодов в мобильном приложении, читай в телефоне, который мог бы помогать (усложнять) процесс прохождение проверки в офисе.
    • 0
      Я думаю вариант 4 будет в 99% случаев легитимных замен. Не? Симку разве обычно меняют не тогда, когда она сломалась/недоступна?
    • 0
      Вариант 4(Телефон не доступен)

      ну так симку обычно и меняют, когда телефон недоступен
      • 0
        обычно не по доверенности
  • +2
    А всего то надо после выдачи новой симки блокировать на ней смс услугу на сутки.
    И тогда у настоящего владельца будет время среагировать.
    А если этого не делают то похоже операторы в доле :)
    • 0
      Это если ему на симку сразу же придет какое то оповещение, что дескать у него дубль завелся. А если нет? А если он не увидел? Это ни разу не решение.
      • 0
        Это если ему на симку сразу же придет какое то оповещение, что дескать у него дубль завелся.

        Когда заводится дубль основная карта перестаёт работать. Надпись на телефоне нет сети все заметят.
    • +1
      Так какие проблемы, разрешать на симках смс только после того как Хозяин отправит кодовое слово на специальный номер.
      • 0
        так все и есть, после смены симки пароли не приходят, пока не позвонишь в банк с кодовым словом
        • 0
          Реальность более разнообразна. Почитайте комментарии выше.
  • +3
    а у кого-нибудь есть опыт привязки симок иностранных операторов к нашим платежным сервисам-банкам? приходят ли смски?
    • +1
      Альфа присылала на прибалтийские номера. Знакомые успешно регистрировали израильский номер. Со сбером швах, не умеет.
  • +3
    советы местами напоминают старый анекдот о предохранении: обмотать конец гипсовым бинтом, накатать 2 презерватива и, главное, никаких женщин!
  • +7
    Ну в итоге, чтобы клиент не делал, оператор все равно может выдать сим-карту другому.

    И пол лимона денег куда-то уйдут.

    Ну и в итоге оператора немного поругают.

    Как например в этом судебном решении про МТС от 12.09.2014
    http://docs.cntd.ru/document/414595242

    «замену сим-карты при отсутствии заявления абонента»
    «Как следует из материалов дела, Михайлюк П.С. своего согласия на замену сим-карты не давал. Оператор связи не обращался к владельцу сим-карты путем выяснения его волеизъявления относительно данных действий.»

    «МТС в объяснениях ссылается на то, что замена сим-карты была совершена вследствие заявления представителя Михайлюка П.С. по доверенности. Однако каких-либо доказательств данного факта не представлено»

    «Привлечь открытое акционерное общество „Мобильные ТелеСистемы“ к административной ответственности и назначить административное наказание в виде предупреждения.»
    • +4
      Вот это и есть реальная причина бардака. Отсутствие ответственности. Реальные штрафы — и все заинтересованные быстро придумают как наладить безопасность.
      • 0
        +1000
        Приложимо к любой сфере.
      • 0
        Честно говоря, я с Вами не совсем согласен.

        Если бы можно было бы запретить замену карты по доверенности (такую функциональность требует закон), то с безопасностью было бы лучше.

        Вообще — различные права на наследство, доверенности и создают бесчисленные лазейки.

        Бывают и обратные ситуации, когда деньги нельзя получить из-за отсутствия доверенности или права на наследство.
        Типа «В Шереметьево уже 6 лет стоит самолет с 20 млрд евро на борту»
        • 0
          И как можно заменить замену карты по доверенности, выдаваемой лежачим больным? Вот наладить вид доверенности, который трудно подделать — можно.
        • 0
          Вроде ж проверить можно актуальность доверенности.
  • 0
    Предположение.

    Мне всегда было не понятно, почему все эти услуги привязываются к телефонному номеру, который всецело контролировать абонент ЛИЧНО не может. Значит привязывать услуги нужно к какой-либо личной информации. Ну, например, делать hmac(secret, message).

    Но уж если это не катит, то:
    (Эти решения мне кажутся очевидными, но вполне вероятно, что %s.)
    1. IMSI при перевыпуске сим-карты меняется?
    2. Получает ли банк вместе с СМС от абонента IMSI или другую информацию?

    Если 1&&2 вопросы имеют утвердительный ответ, то, имхо, все просто: реципиент не будет рассматривать сообщения от неизвестного IMSI.
    В противном случае нужно, чтобы все операторы бродкастили банкам о перевыпуске сим-карты, пусть отвязывает от нее все услуги.
    • 0
      все так и есть, после смены симки никакие пароли не приходят, пока сам не позвонишь и не скажешь кодовое слово.
      В целом эта история подозрительна, или у нее кодовое слово было по умолчанию, и она его ни разу не поменяла, либо на самом деле вообще ничего не украли, максимум — почту увели.
      • 0
        Две недели назад менял мегафоновскую симку. Сбербанк не заметил замены. Все работает. СМСки приходят, платежи отправляются.
  • 0
    Сразу бы сменила номер телефона в яндексе на другой и всё. А потом спокойно разбираться. А то и вообще уйти с номером к другому опсосу, благо сейчас такая возможность есть. Вроде прошаренная мадам должна быть, с такими-то должностями в послужном списке, а столько косяков.
  • +4
    beeinfo, сегодня у нас произошел аналогичный случай.
    Мы иногда используем QIWI кошелек для расчета с партнерами. Утром перестали приходить SMS с кодами подтверждений, SIM-карта перестала регистрироваться в сети. Затем пришло письмо на почту от QIWI с информацией для восстановления пароля (кто-то пытался получить доступ к кошельку). Сразу поехали в офис Билайна и там узнали, что кто-то сегодня утром в Челябинске получил дубликат (оригинальная SIM-карта получена и используется в Москве). Заблокировали дубликат и получили новый. Самое интересное в том, что человек, на которого была оформлена карта, не является публичным, информацию о нем нельзя было найти где-либо в интернете. Имя и фамилию мог узнать только сотрудник Билайна по номеру телефона. В итоге, чуть не потеряли около 100 тысяч рублей, которые лежали на балансе в QIWI.
    Возникает вопрос, действительно ли дело в доверенностях? Почему за последние несколько дней ситуация настолько ухудшилась? Сколько же должно быть «приближенных» мошенников, чтобы они вдруг могли заинтересоваться нами? Повторюсь, номер использовался исключительно для внутренних операций с QIWI и был зарегистрирован на человека, информацию о котором можно найти исключительно в базе Билайна.
    • 0
      либо партнеры знали ваш номер,
      либо посредник в рассылке смс (через который проходят сообщения «ваш кошелек пополнен на миллион долларов через терминал»),
      либо троян на компьютере человека, который заходил в кошелек,
      либо сотрудники QIWI,
      либо мошенники действовали наугад.
  • 0
    Где то год назад поменял симку. Альфаклик даже не дернулся. Все работало как и прежде. Вчера захожу — опа, не пускает, пишет вы симку изменили. Ну зашибись. Видать им задницу тоже петух жареный клюнул. Теперь палят.
  • 0
    Тут 100500 комментов о способах безопасной авторизации, а у меня вопрос про доверенности. На каком основании оператор сотовой связи будет отказывать предъявителю доверенности в выполнении действий, на которые онный уполномочен этой доверенностью?

    Если такой отказ будет иметь место, то предъявитель доверенности (поверенный) имеет полное право обратиться в суд с требованием его поручение исполнить. И суд удовлетворит это требование, т.к. доверенность — закреплённый законодательством РФ документ, а внутренние правила оператора связи никого волновать не должны.

    С одной стороны, конечно, злоумышленник не будет требовать через суд перевыпуск симки, с другой стороны, как пользователю корпоративного договора Билайна, мне часто приходится совершать какие-то действия по доверенности.

    Хотя, в данном случае вина сотрудников оператора установлена, во-первых нужно привлекать к ответственности тех, кто удостоверяет доверенности без участия доверителя. И ещё, стоило бы оператору проверять доверенность в реестре отменённых (http://reestr-dover.ru) и сохранять скан доверенности, при её предъявлении.
    • 0
      Добавлю: и фотографировать предъявителя доверенности.
      • 0
        Фотографировать предъявителя не нужно, достаточно его скана паспорта. Фото предъявителя будет на записи видеонаблюдения в офисе оператора.
        • 0
          Очень недолго и не факт что будет.
          • 0
            Да, согласен, но это уже проблемы оператора. С точки зрения разбора инцидента правоохранительными органами, неработающая система видеонаблюдения будет аргументом не в пользу оператора.
        • 0
          Сам факт предложения сделать фото должен отпугнуть злоумышленника.

          Если во всех офисах есть камеры достаточного разрешения, то возможно, фото не обязательно.
          Скан паспорта в принципе тоже не нужен. Ведь данные паспорта есть в доверенности и они сверяются при предъявлении доверенности.

          про фото в паспорте
          Я когда продавал машину был крайне удивлен несоответствием фотографии в паспорте и внешности покупателя. Засомневавшись я попросил предъявить еще какой-либо документ. И только увидев более свежее водительское удостоверение с той же фамилией и более похожей на покупателя фотографией, успокоился. И вообще я несколько раз сталкивался с тем, что не узнаю человека по фотографии в паспорте.
          • 0
            У жены в паспорте фотка другого человека. Ну и вообще, если ты стал похож на фотку в паспорте, то тебе пора в отпуск.
          • 0
            Согласен, но это не защищает от совершения мошеннических действий сотрудниками компании.

            Да, с фото в паспорте бывают проблемы. Я, например, на фото в паспорте и в реальности — разные люди)) Но специально обученные люди (паспортный контроль, например) не испытывают затруднений со сличением моей физиономии с фото в паспорте, т.к. есть специальные алгоритмы. Но, в общем, да, скан паспорта не особо нужен, при условии сличения паспортных данных с указанными в доверенности, его можно оставить только для проверки менеждером качества работы самого оператора, осуществляющего работу с клиентами.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.