Пользователь
0,0
рейтинг
6 октября 2015 в 18:17

Разработка → Эм, но наша вина тут в чем? Мы выдаем эти сим-карты или что? (с) Вконтакте

У подруги моей жены увели с банковского счета приличную сумму денег, и сделали это, видимо, используя полученный обманным путем дубликат сим-карты на ее номер телефона. Официального заключения следствия еще нет, это всего лишь предположение сотрудника банка.

И случилось это через пару дней после появления этой статьи на хабре. Если честно, я запаниковал. Под атакой оказался вполне рядовой человек, не имеющий запредельных доходов или других признаков, по которым можно было бы мошенникам найти жертву. Вполне возможно, кто-то уже делает дубликат и моей сим-карты, чтобы натворить нехороших дел.

Я решил отвязать свой номер телефона от сервисов, которые дают возможность управлять собой или получать доступ по телефону. Я не являюсь специалистом в сфере информационной безопасности, поэтому данное решение может в дальнейшем оказаться неправильным. Но пока пусть будет так.

Можно много рассуждать о том, что в данной ситуации виноваты операторы сотовой связи, выдающие дубликаты сим-карт кому попало, или другие организации, например, банки, которые проводят недостаточную работу по верификации этих самых сим-карт в своих системах. Существует факт нарушения информационной безопасности, и определение виноватого пока никого от данной ситуации не спасло.

Неожиданно, я не смог отвязать свой телефон от Вконтакте. Конечно, вряд ли кто-нибудь серьезно навредит мне, если получит доступ к моему аккаунту в социальной сети, но тем не менее.

Случился следующий диалог со службой поддержки:



Возможно, я паникер и параноик. Но почему так? Почему, когда предупреждаешь такую крупную социальную сеть об угрозе, пускай маловероятной, получается, что это не их забота. Может я в чем-то не прав?

Update
Пользователь aalebedev подсказал решение тут:
Включите двухфакторную авторизацию. vk.com/page-59800369_47885415
Тогда будет восстановление через email, а не телефон.
А email возьмите Google тоже с двухфакторной.
@nxsofsys
карма
10,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (90)

  • +29
    Включите двухфакторную авторизацию. vk.com/page-59800369_47885415
    Тогда будет восстановление через email, а не телефон.
    А email возьмите Google тоже с двухфакторной.
    • +9
      Есть мнение, что двухфакторная авторизация, завязанная на номер телефона, является ослаблением защиты, по сравнению с достаточно криптостойким паролем без двухфакторной авторизации, т.к. получение симки по поддельной доверенности (история с билайном на эту тему уже достаточно освещена в интернетах) даёт злоумышленнику доступ к восстановлению пароля через смс, хотя не стоит отрицать, что этим восстановлением пароля иногда и самому требуется воспользоваться, как раз в случае хакерских атак.
      • +2
        Для захода во ВК нужно:
        — пароль
        — код с СМС или Google Authenticator.

        Для восстановления нужно:
        — доступ от почты

        Такие данные тяжело получить одновременно.

        С другой стороны, я везде включил двухфакторку и отключил мобильный банк.
        • 0
          Это не так, если к странице привязан номер телефона то когда приходит письмо для восстановления пароля на email после перехода по ссылке и установления нового пароля требуется принятие SMS на привязанный номер.

          От меня точно так же уезжала моя страница, был привязан неиспользуемый номер. Всё это случилось буквально на днях, благо есть знакомые в силовых структурах и мы уже через несколько дней нанесли визит вежливости туда, откуда безобразничали.

          Служба поддержки ВКонтакте оказалась просто замечательной и за сутки переписки мне отвязали старый номер от страницы и привязали текущий, на который кстати, как оказалось, когда-то в прошлом уже ТОЖЕ была зарегистрирована чья-то страница.

          ps. и, кстати, писал я в службу поддержки со страницы друга, в качестве подтверждения приложил фото паспорта крупным планом, плюс своё фото на фоне этой страницы с вопросом, плюс скриншот и данные для входа в личный кабинет билайна где так же значились мои ФИО. Вообщем был очень приятно удивлён тем что кто-то там, на другой стороне, уделил время на ответы в моё обращение (которое передавали на уровень выше как я понял из того что там другой агент отметился).
          • 0
            Уже не даёт комментарий редактировать — старый номер был билайна, новый — мегафона, и ссылку и скриншот от личного кабинета давал я, естественно, от мегафона.

            Старый номер выдали 15 сентября сего года, а не пользовался я им, мне кажется, менее года.
    • +1
      Спасибо, жаль наводку не дали в службе поддержки. Однако настроить двухфакторную авторизацию через Google Authenticator я не смог — вконтакте не хочет принимать коды из него после сканирования штрихкода.
      • +4
        Возможно не правильное время стоит на устройстве, там есть еще вариант захода через SMS и резервные коды.
        • 0
          Еще раз спасибо. Дествительно, время было неправильное. Все работает.
    • +4
      двухфакторную аутентификацию можно обойти при наличии симки. когда запрашивает код, можно нажать «Проблемы с получением кода» и далее выбрать резервный вариант проверки — отправку СМС на привязанный номер.
  • +5
    Уважаемый ТС, поддержка практически любого сервиса не решает вопросы информационной безопасности, да, она даёт официальные ответы, но только те, что им велено отвечать, взывать к их совести или здравому смыслу бесполезно, надо им что-то рекомендовать сделать (давать ввести такую возможность для таких-то ситуаций и по таким-то причинам, ведь жизненная ситуация меняется) и просить донести эти рекомендации до тех, кто может повлиять на ситуацию, в противном случае они в большинстве случаев ничего не сделают с данной информацией, т.к. их часть работы проделана корректно согласно их правилам.
  • –6
    Очень всё поспешно. Дождались бы результатов следствия. Если это действительно дубликат сим-карты, то установить будет не сложно. Оператор установит где, кем и когда был выдан данный дубликат, а далее уже будет вопрос к оператору/центру выдачи. Они и будут отвечать/компенсировать. Единственное, скорее всего придётся судится.

    Надо посмотреть на Банки.ру, сколько подобных случаев было и чем всё это заканчивалось. Что касается не финансовых аккаунтов, то e-mail тоже не вершина надёжности, мои и моих товарищей взламывали. Теперь у меня стоят сложные пороли, вопросы с двухфакторной аутентификацией.
    • +26
      Сильно пороли?
      • +5
        До сих пор судится.
  • +21
    Вспомнился случай: На новый год покупал маме телефон в МТС. Я сказал, что у ней уже есть номер и симка от МТС, но она full-size, в новый телефон не войдет. Мне сказали — проблем нет, спросили её ФИО, номер и выдали новую микро-сим (со старым номером). Никаких документов я не показывал.

    • +11
      Они в МТС странные.
      В КрымНашем купил симку вообще без паспорта. Так и валяется нераспечатанной — не пригодилась.
      Зато, на материке отказались подключать на корпоративный договор новый номер без распечатанного на лазерном принтере приказа о назначении генерального директора, хотя оный гендир (я), стоял перед ними с паспортом, печатью и рукописным приказом (потому что лазерного принтера с собой не ношу, а приказ, как внутренний документ компании, имеет форму, устанавливаемую руководителем субъекта экономической деятельности, т.е. мной, а значит, его можно писать хоть карандашом на туалетной бумаге).
      Потом, конечно, я добился от компании извинений и признания их действий неправомерными. Но осадочек остался :)
      • 0
        А как можно установить какие-топорядки, если до написания приказа как бы и не являетесь директором? После — да, можете распоряжаться а ДО приказа — под вопросом.
        • +2
          До этого приказа может быть еще приказ — организация не первый день существует. Это скорее приказ о продлении полномочий. Зачем МТС этот приказ, который по сути Филькина грамота — уже другой вопрос. Есть же ЕГРЮЛ, который не подделаешь, и выписку оттуда любой может получить за минуту.
          • 0
            «Приказа о назначении ген. дира» вообще в природе быть не может. Может быть решение учредителей или учредителя о назначении на должность генерального директора — полномочия на выбор исполнительного органа могут принадлежать только владельцам. Ни текущий, ни бывший директор не может назначить себя или кого-либо ещё на свою должность.
            • +2
              Есть протокол собрания участников общества (или решение единственного участника) и в соответствии с ним выпускается приказ генерального директора о вступлении себя любимого в должность.
  • +13
    При активации дубликата изменяется ICCID сим карты и вроде IMSI (который доступен по HLR https://smsc.ru/testhlr/) запросу.
    Некоторые банки проверяют также и некий код, перед отправкой смс, и, если был активирован дубликат, просят подтвердить это.
    • +2
      Я тоже на это надеялся и года 4 назад в Альфабанке все так и было после смены симкарты разблокировал мобилтный банк через поддержку называя кодовое слово и еще какую-то информацию спрашивали. А неделю назад менял симкарту на том же номере и каких-то проблем или ограничений это не вызвало. Наверное в Альфабанке есть для этого какая-то дополнительная услуга.
      • +3
        платежи проводили? у альфы обычно вход в альфаклик не вызывает вопросов, а вот уже получить платежный код по смс — не получается.
        • 0
          Да, деньги приходят, уходят. Сообщения с одноразовыми паролями как приходили так и приходят. Никто ни о чем не спрашивает.
          • 0
            Много времени прошло? У меня как-то месяц на реакцию требовался. Операций напроводил, а потом через месяц какую-то заблокировали по причине смены симкарты.
            • +1
              Прошло уже 2 недели.
              Ну если на реакцию требуется больше часа (в идеале после смены симкарты блокировка должна происходить сразу) то это не защита клиента а никому не нужный бесполезный бюрократизм только осложняющий жизнь.
              • 0
                Вообще-то счет идет на минуты. Номер клонируют и зачем медлить? Сразу же переводят деньги так сказать «не отходя от кассы».
      • 0
        Симкарту попросят активировать при получении смс-кода подтверждения, когда соберетесь сделать какой-нибудь перевод. По крайней мере у меня так было — менял симку в августе. Перед этим неделю успешно заходил в альфаклик с новой симкой.
        • 0
          Поменял не только симку, но и оператора (MNP). Никаких вопросов при платежах не возникло.
          • 0
            возможно, запросы в HLR не работает с MNP
      • 0
        Вроде бы у Сбера тоже самое было несколько лет назад, при первой операции необходимо было позвонить оператору.
        Не обратил тогда внимание.
    • 0
      То есть — если я правильно понимаю — нормальные организации и сервисы (а банки так особенно), использующие мобильную связь как дополнительный фактор аутентификации, по-хорошему должны каждый раз при каком-либо подтверждении со стороны пользователя делать HLR-запрос, проверяя IMSI? И при изменении оного блокировать операции? Если HLR-запрос решает проблему, то это просто отлично, осталось только донести до всех, что это делать надо, особенно пока сами ОпСоСы пока потакают мошенничеству.
  • 0
    ВК вообще очень параноидально относится к наличию номера телефона.
    Когда появилось это требование, я полтора года не привязывал телефон и вводил капчу по мере необходимости.
    Сейчас, к счастью, есть возможность привязать иностранную SIM.
    • +2
      Если бы все было так просто, VK до сих пор не дает мне привязать мой текущий номер в США. Ответ техподдержки:
      Вероятнее всего, номер является виртуальным. Виртуальные номера привязывать нельзя.


      и:

      Значит, Ваш оператор наравне с настоящими (который у Вас) продают виртуальные, но с тем же префиксом. Из-за того, что нет возможности их различать, нам приходится блокировать весь префикс. К сожалению, с этим ничего не сделать.
      • +5
        Самое главное — я не очень понимаю, зачем им нужен номер телефона.
        Который вполне может оказаться настоящим, но заброшенным, например.
        • +12
          Более того, номер может быть выдан другому лицу совершенно легально, если давно не использовался. И новый владелец может неожиданно получить доступ к странице вконтакте.
          • –1
            Только если он будет знать реквизиты вашей страницы, т.е. охотится на номер телефона целенаправленно либо где-то случайно найдет привязку номер-логин.
            • +3
              Какие реквизиты? Номера телефона достаточно.
              • +1
                При восстановлении после ввода номера просит ввести фамилию, указанную на странице. Так что одного номера недостаточно.
              • +1
                По номеру телефона можно найти страницу владельца во вконтактике?
          • 0
            Так я однажды и получил к новой симке бонусом страницу в вк — при регистрации нового аккаунта на этот номер вк сказал, что страница на него уже зарегана и предложил ее отвязать от этого номера, что я незамедлительно и сделал.
            Пугает то, что не уверен в добросовестности всех людей, получающих к симкам аккаунты бонусом… Так параноиком и становишься
        • +4
          Им не столько нужно узнать ваш номер, сколько убедиться что вы — не спамер.
          • +5
            Самое печальное, что для спамера это не препятствие…
  • +25
    Номер отвязать можно, алгоритм следующий:

    1) заводим новую страницу и привязываем к ней ваш телефонный номер
    2) свежезаведённую станицу удаляем

    будет предупреждение, что номер уже привязан, но это не страшно предложат подтвердить через смс
    на этом всё, наслаждаемся капчей при вводе сообщений.
    • +1
      К новой привяжется, а от старой отвяжется?
      • 0
        да, проверено, перечитайте ответы саппорта в топике
        • +2
          Проверено — или перечитать ответы саппорта? Потому если проверено, то это ж нифигасебе какой баг, а если ответы саппорта в топике, то там про такое ни слова.
          • 0
            Проверено на практике, это работает.
            Прочтите первый ответ саппорта:
            Отвязать номер можно только путём полного удаления страницы, либо путём привязки другого номера
            . В чём вы здесь видите баг? Это использование двух стандартных позможностей — перепривязка номера к другой странце и удаление его при удалении страницы.
            • 0
              Привязка номера к другому аккаунту — это все же не привязка другого номера к аккаунту…
              А удаление номера из первого аккаунта при удалении второго аккаунта — IMHO, самый настоящий баг.
              • +1
                Вообще перед тем как писать, стоит попробовать хоть немного понять о чём вы пишете,
                А удаление номера из первого аккаунта при удалении второго аккаунта — IMHO, самый настоящий баг.
                Номер из первого аккаунта удаляется когда вы перепривязываете его к новой странице, с подтверждением того, что вы владелец номера через sms замечу.
                И с удалением новой страницы к которой вы перепривязали номер вместе с ней удаляется и он.
                • +1
                  Номер из первого аккаунта удаляется когда вы перепривязываете его к новой странице, с подтверждением того, что вы владелец номера через sms замечу.

                  Из цитируемого ответа саппорта это не следует.
                  • +4
                    Если бы саппорт ответил как отвязать номер, я бы свой комментарий писать не стал.
    • 0
      Попробовал создать новую учётку со своим номером.

      Сообщают: «Этот номер уже привязан к другой учётной записи», и не дают создать.

      Теперь пробую создать с другим номером, и потом привязать старый (это дадут сделать через сутки)
      • 0
        Попробовал привязать номер к другой учётке.

        Не привязывается: «Номер уже привязан к другой странице ВКонтакте.»

        Похоже, прикрыли этот способ.
  • +21
    Нужно больше факторов авторизации!
    • 0
      Не нужно больше, достаточно одного надежного. Ну или 2в1, как в случае с DisplayCard например (сам генератор, плюс защита пин-кодом)
  • +14
    Хамство общения техподдержки просто потрясает.
  • +19
    После того, как VK отошёл к Mail.Ru Group техподдержка моментально скатилась до уровня «Нет потому, что нет. Не нравится, проваливайте.»
  • 0
    Я недавно поменял симку с мегафона на мтс с сохранением номера. Сбербанк замены симки не заметил. Значит через мобильный банк можно увести все деньги с карты. Надо отключать мобильный банк.
    • 0
      скимминг карты вместе с пином — подключение мобильного банка в банкомате по дубликату карты на новый номер — закрытие всех вкладов через ИБ и вывод денег.
      всего лишь один из сценариев даже при отключенном мобильном банке.
  • 0
    В нормальных странах нормальные банки используют для подтверждения платежей DisplayCard и прочие OTP-генераторы… Но только не в России…
    Точнее в России оно тоже встречается, но очень у немногих банков, не продвигается самими банками и не пользуется спросом у клиентов.
    • 0
      ОТР могут быть довольно неудобны. У ВТБ были некоторое время назад одноразовые пароли на бумаге — секьюрно, но крайне неудобно. Софт-токены — другое дело, но они денег стоят, и требуют смартфона как минимум. Вообще сейчас наблюдается движение как раз от хар\софт токенов в сторону СМСок, потому что это почти так же безопасно в общем случае, но существенно дешевле.
      В наших краях коды потдверждения для интернет банков так же шлют СМСками, как, напирмер, Альфа-Банк. Только делать это начали сравнительно недавно, тогда как Альфа делала это как минимум с 2007 года когда я начал ими пользоваться.
      Но здесь банки автоматически берут на себя ущерб в случае кражи данных СС, при условии что пользователь не терял карту или уведомлял банк об этом заблаговременно. С переводами со счета сложнее, они операторами карт не защищены, но такие вещи будет практически гарантированно расследывать полиция.
      • +2
        Альфа потихоньку уже отказывается от смс в пользу USSD. Да и услуга альфа-ключ есть. Правда только для АйОС и Андроид
        • 0
          Но они жадные атласы, первый год использования этого мегаглючного поделия будет стоить 500 руб. И вместо того, чтобы использовать нормальный TOTP.
        • 0
          Заметил на днях USSD, но как то не придал значения. Про ключ не знал, спасибо. Редко сейчас пользуюсь алфой сейчас, но надо будет подключить.
      • +2
        У ВТБ были некоторое время назад одноразовые пароли на бумаге — секьюрно, но крайне неудобно.
        Объясните, пожалуйста, что вам в них неудобно было. Я ими пользовался до победного конца, когда уже не заставили перейти на СМС. Они мне крайне нравились.
        • 0
          Зачем СМС, сейчас там есть OTP-генераторы )
          • +2
            Ну они денег стоят и место занимают, а карты были маленькими и бесплатными.
      • +1
        ОТР могут быть довольно неудобны.

        Пользуюсь DisplayCard в европейском банке — все очень удобно.
        У ВТБ были некоторое время назад одноразовые пароли на бумаге — секьюрно

        Ничего секьюрного, их можно украсть (причем без кражи носителя, т.е. Вы даже об этом не узнаете). Примерно тоже самое, как некоторые банки предлагают «USB-ключи», которые на деле являются не токенами, а обычными флешками с ключевым файлом, который можно скопировать.
        Вообще сейчас наблюдается движение как раз от хар\софт токенов в сторону СМСок, потому что это почти так же безопасно в общем случае, но существенно дешевле.

        Это где? Не наблюдают такого движения. Ни в Европе, ни в России (в России тот же Авангард стал DisplayCard использовать для випов, а ВТБ24 предлагает OTP-генераторы для всех).
        • 0
          Пользуюсь OРП генераторами для критичных сервисов, регулярно имею проблему с аутентификацией. У части ОРП генераторов, проблемы решаются только службой поддержки!

          Упереть карту с ОРП не сложнее чем флешку или бумажку с кодами.

          Так что это все равно не панацея, от проблемы.
          • 0
            Карта DisplayCard защищена пин-кодом, флешка или бумажка с кодами — ничем не защищены
        • 0
          Суть двухфакторной аутентификации: что то знаю + что то имею. Бумажка — это что то, что я имею. Ее можно украсть, то что я знаю (если не быть балбесом и не писать пароли\логины на бумаге, что не лечится) — украсть физически нельзя. Пароли сливаются троянами, но при этом обычно нет физического доступа к объекту. Физическая кража бумажки (типа кураденного кошелька) очень маловероятно что совпадет с удаленной кражей пароля. Это можно сделать, но тогда вы должны быть кому то очень сильно интересны.
          -Это где?
          Ну, это скорее наблюдается в энтерпрайзе, я не имел в виду исключительно банки. Это просто гораздо удобнее. Банки нечасто используют хард\софт токены. RSA токен стоит около 150 баксов, например (не важно какой) — для рядового кастомера слишком дорого. Свои выдумывать — большие риски накосячить в реализации и расходы на разработку и поддержка.
          А смски — дешево и довольно сердито, в смысле что почти так же безопасно для рядового случая. И в отличие от хард токена, смска или софт токен могут быть допольнительно защищены пином или аналогом на самом смартфоне.
          Если нужна высокая степень защиты, то там да — ОТР и качественные продукты, но это далеко не всем нужно.
        • 0
          их можно украсть (причем без кражи носителя, т. е. Вы даже об этом не узнаете)


          Носитель — скреч-карта, напечатанная в автомате. Украсть без носителя можно разве что с банковского сервера, но если в банке есть жук, найдётся множество более простых способов изъять деньги.

          • 0
            Просто переписать. Причем карта даже не всегда скретч, иногда просто список кодов, распечатываемый в банкомате.
            • 0
              Конкретно у ВТБ были только скреч-карты. Наверное, существует способ переписать содержимое карты, не вскрывая защитные полосы, но IMHO тут требуется изъять карту на длительное время.

              Если же говорите про некий другой банк, называйте его. (Например, у Росбанка коды действительно распечатываются на бумаге.)
      • 0
        У ВТБ были некоторое время назад одноразовые пароли на бумаге


        На скреч-картах, извините.
    • +2
      Ну хватит уже про нормальные страны и нормальные банки.
      • +1
        А что, ориентироваться на страны третьего мира что ли?
        • +2
          Можете исправить положение с банками? — исправляйте!
          Можете создать правильный банк, с правильной безопасностью? — создавайте!
          Можете пользовать услугами нормального банка? — пользуйтесь!
          Можете рассказать о том, как проблема решена в вашем банке? — рассказывайте!

          Но пожалуйста хватит, нормальных стран с нормальными банками!
          Везде есть свои плюсы и свои минусы.
  • +3
    Виноваты в этом убогая судебная система, в которой проигрывыть многократно заведомо очевидно проигрышные суды выгодно, и безразличие правоохранительных органов.
    Неавторизованная замена сим карты должна автоматически влечь за собой материальную ответственность оператора за последствия. Может быть за исключением случаев социальной инженерии, где злоумышленнику удается успешно пройти авторизацию по телефону, что требует обычно кое-каких знаний о жертве (день рождения, номера документов, и тп)
    Это как и все остальное — риск против цены контрмеры. Пока цена риска (последствия незаконной замены карты для оператора) примерно равна нулю(репутационный ущерб трудно посчитать, но полагаю пока это или не станет массовым явление или один из операторов решит проблему а друге нет то операторам тоже глубоко наплевать), нет особой мотивации морочиться о внедрении состем защиты. Хотя это довольно простые процедурные вещи, а не столько дорогие технические технические средства, как недавно кто то доходчиво объяснял тут на примере немецкого оператора.

    Отвязывание второго фактора авторизации может с одной стороны существенно упростить задачу злоумышленникам, но это скорее будут таргеторованные атаки где пароль уже скомпроментирован каким то образом и не требуется второго фактора.

    В случае рядового пользователя я так понимаю симки используются для прямого восстановления пароля, что избавляет от необходимости этот пароль компроментировать. Так что похоже в определенных случаях это может помочь.

    Использование симок как второго фактора основано на предположении, что скомпроментировать симку существенно сложнее чем просто пароль. Предположение, похоже, неверное в случае российских операторов. Мне не совсем понятно как преступники получают информацию о соответствии банковского аккаунта и номера телефона, не удивлюсь если интернет банки это раскрывают сами по небрежности.
    Но суть проблемы та же — законы, и безразличие. Следы почти всех криптолокеров ведут в восточную Европу, где дырявые законы и полиция не(достаточно)компетента чтобы расследовать электронные преступления. Проследить электронный платеж и взять за булки его получателя (даже если это мул), вообще, довольно тривиальная для правоохранительных органов задача. Было бы желание. Там где его нет — там и тусуются преступники.
    • +1
      как преступники получают информацию о соответствии банковского аккаунта и номера телефона

      либо трояном, либо кнопочкой «Не могу войти» в некоторых интернет-банках.

      В таких постах хотелось бы больше полезной информации:
      * какой оператор
      * какой банк
      * какие смартфоны, компьютеры и операционные системы использовались для входа в сервис в последнее время
      * где указывался номер телефона в последний месяц (например, «перевести сдачу на телефон» в терминале)
      * какие меры противодействия принимал пользователь
      Тогда можно было бы сделать хоть какие-то выводы, и улучшить свою информационную безопасность (например, никогда не сообщать свой номер телефона сотрудникам салона связи «Развязной» при оплате жкх)
    • +6
      Мне не совсем понятно как преступники получают информацию о соответствии банковского аккаунта и номера телефона
      Заходим в свой «Сбербанк Онлайн» жмем перевод частному лицу по номеру телефона. Вбиваем туда любой номер, и узнаем как зовут владельца, если у него есть карты сбербанка с подключенным мобильным банком. Далее сообщаем этот номер «своему человеку» в отделе обслуживания сотового оператора. Он перевыпускает симку, вставляет ее в телефон и посылает СМС на номер 900 с желаемой суммой. При наличии на привязанной карте такой суммы, она зачисляется на баланс телефона. Далее мобильным переводом деньги уходят на QIWI/Яндекс и т.д. На один номер необходимо не более 10 минут.
      • 0
        Понятно, спасибо. Я лично ее удивлен в слечае если это сбер. Тут тогда надо вопрос ставить более радикально — если сбер так бездарно сливает личные данные, то я бы задумался нужен ли такой сбер. Хотя я бы лично даже не задумывался и просто держался от него подальше, как я собственно всегда и делал. Надеюсь другие банки лучше.
  • 0
    ВК как и все экономит на техподдержке, тоже мне новость.
    За двухфакторную аутентификацию спасибо.
  • +8
    Немного о банках и сим-картах.
    Недавно обнаружил в приложении Сбербанк-Онлайн под Android новую фичу: можно перевести деньги другому клиенту Сбербанка.
    Выбрать адресата можно из телефонной книги аппарата.
    Приложение выдаёт список со всеми контактами из телефонной книги и ставит значок Сбербанка около номеров которые привязаны к счёту в банке.
    Т.е. получается, я могу узнать, кто из контактов моей записной книги пользуется услугами Сбербанка (и у кого их номер привязан к управлению счётом).
    Задача мошенникам упрощается а разы…
    • 0
      Это и так можно сделать: кнопка «перевод по номеру телефона» в сбер-онлайне. Нужен только номер телефона, а сбер сообщит имя, отчество, первую букву фамилии и последние 4 цифры номера карты.
      • +1
        да, но в случае со списком контактов, я вижу сразу всех. не надо ничего вбивать и проверять.
    • +1
      Есть опция в личном кабинете Сбербанк-Онлайн — «Не отображать меня как клиента Сбербанк в чужих адресных книгах».
  • 0
    Я поступил проще:
    Вопрос в службу поддержки ТЕЛЕ2
    Новая схема мошенничества:

    1) Любой сотрудник компании, имеющий доступ к серверам баз данных, делает выборку по таблицам с СМС сообщениям, где в условии выборки ставит «от кого — номер 900» и «текст СМС содержит слово БАЛАНС».

    2) выборка обрабатывается, и сливаются все номера с паспортными данными абонентов, которые имеют большой баланс на картах с подключенным мобильным банком.

    3) мошенник в фотошопе рисует липовую доверенность, заверенную липовым нотариусом

    4) далее мошенник идет в центр обслуживания, где заявляет об утере СИМ. Ему ее восстанавливают. Т.к. ID сим-карты меняется, то реального владельца выбивает из сети, а мошенник, имея в руках номер жертвы, может воспользоваться мобильным банком, проходить двухфакторные авторизации на различных сервисах и т.д.

    Вопрос: Как Вы обеспечиваете безопасность абонентов в данном случае? Как проверяется липовый бланк, и проверяется ли вообще? Сотрудник звонит в нотариус по номеру, который указан на липовом бланке, или же сам ищет контакты данной организации в интернете? Можно ли добавить в Личный Кабинет опцию, что мой номер могу восстановить только я и только по оригиналу паспорта? Прозванивается ли «утерянный» номер, прежде чем его ID перебьют в системе?

    Ответ службы поддержки ТЕЛЕ2
    Действительно, в последнее время отмечены случаи использования мошенниками поддельных доверенностей для получения доступа к номерам и сервисам абонентов. В частности, по поддельным доверенностям мошенникам удавалось получать дубликаты SIM-карт в центрах обслуживания мобильных операторов, что создавало условия для несанкционированного перевода средств с лицевого счета.
    Для противодействия такого рода мошенничеству Tele2 разработала простой сервис, позволяющий абонентам обезопасить себя (доступен с 13.10.2015 г.).
    Достаточно самостоятельно со своего номера телефона набрать команду *156*2# и для данного номера будет включен запрет на выполнение операций обслуживания по доверенности.
    При необходимости отмены установленного запрета, владелец номера со своим паспортом может обратиться в любой из центров обслуживания Tele2.

    Итог:
    Мы с разрабами уже все разрулили, сесурити на высоте, юзайте Теледрова.
    • 0
      Только что получил ответ от Билайн:

      Добрый день! На данный момент мы закрыли возможность восстановление сим у наших дилеров и возможность сделать это по доверенности или пользователем. Сейчас согласно процедуре восстановление возможно только в офис владельца номера по паспорту, с написанием заявления.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.