Comments 67
Позвонить вам и представиться сотрудником вашего оператора и конечно же сказать какую-то чушь, что оператор проводит работы связанные с сетью или что он сотрудник информационной безопасности (и т.д.) и ему очень нужно узнать код, который вам поступил в SMS только что
Уязвимости SS7 могут сделать этот пункт излишним.
«По рекомендациям NIST 2016 года, в новых системах аутентификации не следует использовать SMS из-за опасности их перехвата и перенаправления» (с) вики
Строго говоря, к SS7 (а точнее, SIGTRAN) еще надо получить доступ умудриться. Обычным мошенникам это не светит.
«Повторим, всё это Курбатов и Пузанков описывали в 2014 (!) году, но только сейчас ребята из Süddeutsche Zeitung обнаружили, что такие атаки проводятся на самом деле, а двухразовая аутентификация через SMS больше не обеспечивает никакой безопасности.
Фактически, эту опцию раньше могли использовать только спецслужбы, ну а сейчас может использовать любой желающий, у которого есть компьютер под Linux. Газета Süddeutsche Zeitung пишет, что доступ к коммутатору SS7 кое-где можно купить за 1000 евро. С помощью взятки можно ещё добыть идентификатор global title (GT) мобильного оператора — это тоже возможно в некоторых бедных коррупционных странах, где чиновники иногда позволяют себе нарушать закон в целях личного обогащения.
Злоумышленники узнавали банковские реквизиты жертв с помощью фишинга или зловредов, а затем использовали уязвимость SS7, чтобы получить одноразовый код подтверждения транзакции (mTAN), который банк присылает по SMS.
Расследование немецкой газеты не просто рассказывает о фактах кражи денег с банковских счетов, а указывает на фундаментальную уязвимость SMS как фактора аутентификации...» (с) habr.com/ru/post/403649
Для того чтобы сделать замену SIM-карты нужно пройти процедуру идентификации (т.е. я должен доказать, что этот номер мой, ответив на несколько вопросов).
В наших краях никаких глупых вопросов не задают, а просто просят паспорт. Это раз.
Вы хоть одного человека знаете, который PUK-код от симки знает? Это два.
Про дату первого звонка вообще молчу. А название своего тарифа некоторые и сами не знают, особенно учитывая то, что операторы их переименовывать любят периодически.
И да — будут требовать личное присутствие (иначе кому отдать симку) и паспорт.
А если сильно надо — просто левый сотрудник перевыпустит симку и вас только уведомят об этом факте.
Я упустил одну очень маленькую, но важную деталь — описанные кейсы больше распространяются на украинский рынок. Поправил это в статье.
Вы очень помогли!
Вообще довольно простые атаки перечислены, мне так кажется, очень многи на Хабре это все и знают, и родственникам рассказали. Но, да, спасибо, что систематизировали.
Правда, самый финт — уговорить сообщить циферки из смс — так и остался нераскрытым.
А, в некоторых, вам сами перезвонят и начнут говорить: «Ой, мы тут ошибочно пополнили ваш номер… Вы не могли бы пополнить теперь наш».
В этих случаях действительно могут положить деньги на ваш счёт, а после того, как вы их вернули, пойти к оператору и написать заявление на возврат ошибочного платежа
Именно так и делают, советую вернуть по чеку или (если "мы его выкинули") быть внимательным. Даже интересно откуда они знают телефон, на который перевели, если чек выкинули.
Процедура возврата:
— позвонить и сказать, что ошибочно пополнили счет (попросите о взаимном пополнении, если не прокатит, следуйте п.2)
— попросите не тратить деньги со счета
— позвоните/напишите в чат оператору и узнайте про процедуру возврата
Обычно достаточно скан копии чека, указать номер на который пополнили и тот на который хотели пополнить. После рассмотрения оператор вернет деньги.
Вы бы хоть про двухфакторную аутентификацию рассказали, а не просто пересказали методы развода, древние, как экскременты мамонта.
Я упустил одну очень маленькую, но важную деталь — описанные кейсы больше распространяются на украинский рынок. Поправил это в статье.
Вы очень помогли!
kyivstar.ua/ru/mm/services/base/simcard_restoration
А бывают еще корпоративные номера, без предварительной заявки и личного присутствия с паспортом восстановить не получится.
Предварительная заявка не нужна.
Но контрактных пользователей и тем более юридических лиц, куда меньше, чем предоплаченных.
Регистрация SIM-карты, (один из вариантов) как раз и есть переход на контрактную форму обслуживания. Но можно и предоплаченный номер зарегистрировать.
Зарегистрируйте ваш мобильный номер в магазине оператора
Первый раз о таком слышу. Что за магазин и как регистрировать в нем номер? Пример приведите пожалуйста.
Я упустил одну очень маленькую, но важную деталь — описанные кейсы больше распространяются на украинский рынок. Поправил это в статье.
Если вам интересно как можно зарегистрировать номер в Украине, то просто берите паспорт и ИНН и идите в официальный магазин вашего мобильного оператора, там любой сотрудник поможет зарегистрировать номер.
Адрес официального магазина в вашем городе можно узнать на сайте оператора.
А, если купленный номер в супермаркете зарегистрировать в официальном магазине оператора, то сделать замену номера сможете сделать только вы (тот на кого будет зарегистрирована SIM-карта)
В этом и суть, что карты не зарегистрированы, т.е. любой, владея информацией, которую я описал получит доступ к вашему номеру (сможет сделать замену SIM-карты).
Учетную запись банка, как правило, регистрируют на контрактный номер телефона.
Ведь банку в любом случае известны ваши персональные данные.
На припейдовый номер максимум регистрируют учетки с различных сайтов, где без этого не обойтись.
«XXI век, дураков no» (с) КВН еще в XX веке.
Регистрируют на ваш основной номер, а контрактной формы обслуживания он или предоплаченной, это мало кого интересует.
Банк не будет терять клиента только потому, у него не зарегистрированный номер.
У нас пока нет закона обязывающего регистрировать номера.
Банк не будет терять клиента только потому, у него не зарегистрированный номер.
Речь о том, что сам клиент дает банку свой контрактный номер телефона, а не о требованиях банка.
Потому как понимает, что при этом ничего не теряет.
А вот использование припейда для чего-либо серьезного — не практикуется, потому как практически все уже в курсе возможных проблем. (см. цитату выше)
Проблема в том, что контрактных клиентов от силы 10% в Украине, т.е. в 90% для серьезных случаев используется предоплаченный номер.
Проблема в том, что контрактных клиентов от силы 10% в Украине
Есть конкретная статистика по числу контрактных абонентов и по числу людей, активно использующих системы банк-клиент?
Скажем так:
Я знаю эту информацию, но разглашать детали и точные цифры не могу.
но разглашать детали и точные цифры не могу.
По доступным через гугл источникам: всего примерно 55 млн. абонентов, из них контрактных — 10%, т.е. примерно 5,5 миллионов.
Более чем достаточно для банк-клиентов )
А карт сколько выдано?
55 млн. — это активные (относительно) пользователи, т.е. карты, счета которых пополняются.
(Выданные/проданные уже давно никто не считает )
Хотя это соотношение все равно ничего не даст, т.к. у многих по несколько как симок, так и пластика, от разных операторов/банков и т.п.
пластика, от разных операторов/банков и т.п.
Если бы )
Добавьте интернет-карты и т.п. и удвойте это число.
из них контрактных — 10%, т.е. примерно 5,5 миллионов. Более чем достаточно для банк-клиентов )
Вот-вот. Я к этому
Так на один номер мобильного в банк-клиенте — десяток карт.
Причем есть люди, у которых один мобильный на несколько банков.
«5,5 миллионов должно хватить всем» (с) почти
Если бы у всех были контрактные номера, то мошеннические схемы описанные выше не процветали бы.
Однако, я думаю, что именно из-за таких случаев, когда кто то по своей халатности лишится n-тысяч кровнозаработанных, тогда это изменит отношение наших людей к такому. Люди в большинстве случаев не виноваты — они просто не научены.
Вуаля! Ваш номер в чужих руках. Осталось зайти в банкинг и вывести ваши деньги.
Честно говоря не понял это. Ведь для того, чтобы зайти в банкинг нужно знать мои юзернейм и пароль? И только если они правильные, тогда банкинг высылает СМС с проверочным кодом (пусть даже на скомпрометированную симкарту). Разве на Украине как-то по другому?
И к примеру, такая авторизация у самого крупного банка в Украине.
пароль требует всегда.
А кнопочка «забыл пароль» есть?
А кнопочка «забыл пароль» есть?
Есть. После чего следует звонок из банка.
И к примеру, такая авторизация у самого крупного банка в Украине.
Попробуйте зайти в Приват не со своего домашнего компьютера.
Или со своего домашнего, но другого (с тем же провайдером).
Да и пароль нужно вводить всегда.
И я не пытаюсь кого-то обвинить, уверен, что не мобильному оператору, не банку такие репутационные потери не к чему.
Просто факт остается фактом — люди теряют деньги. Иногда они их возвращают, а иногда и нет.
Ведь для того, чтобы зайти в банкинг нужно знать мои юзернейм и пароль?
Есть доступ к телефону — можно пробовать восстановить доступ к почте и мессенджерам — там могут быть подсказки. Можно пробовать восстановить пароль к банкингу (Приватбанк, ага ;) )… Была недавно статья про то, как увели биткойнов на $100 0000, склонировав SIM карту.
В интернет-банке сбербанка, плачу со своей пенсионной, пардон, социальной карты очередной взнос 2500р по кредиту другому банку. Получив смс, ввожу код, нажимаю «ентер» и отмечаю, что страничка на экране сменилась дважды меньше чем за четверть секунды. Тут же пришла смс — «5000 рублей списано с вашего счета, ваш баланс 200 рублей». В панике от того, что мне до следующей пенсии (по инвалидности) придется жить на 200 рублей, что остались неоплачены газ, электроэнергия ..., в общем, лихорадочно набираю номер телефона сбербанка. И тут приходит смс «возврат 2500 рублей...». Ну, «отлегло», думаю, там ошибку обнаружили, излишне взятые денежки вернули. ОДНАКО, через неделю мне звонят из другого банка и строго спрашивают, почему я просрочил платеж!!!?…
Что получилось — 2500 рублей вернулись, так как не удалось зачислить их на счет другого банка по технической причине. «Другие» 2500 рублей пропали в неизвестном направлении.
Когда я позвонил в сбербанк, там оператор проверила операции и сказала, да, вам деньги вернули а в чем вопрос?
Я — Ну так сняли же 5000 рублей, а вернули только 2500.
СБ — Так проверим. Нет, с вас сняли 2500 и их же и вернули.
Я — Ну вы по балансу карточки посмотрите!
СБ — Да, странно, у вас баланс что-то не сходиться. Знаете, мы можем и в суд на вас подать, вы каким-то мошенническим образом сняли с карты деньги, без записи в наш компьютер.
Три телефонных разговора с банком, два заявления и письмо «главному по сбербанку» результатов не дали. Основной мотив отказа сбербанка — «В нашем компьютере такая операция не зафиксирована и значит никаких претензий мы не принимаем»!
Так как защитить свои деньги от мошенничества самого сбербанка?
— Защита прав потребителей
— НКРСИ (но это больше к вопросам о нарушениях со стороны мобильных операторов)
Можно попробовать найти подобные у вас и обратится, в случае если они при рассмотрении ситуации найдут нарушения, они смогут открыть судебное дело и вернуть ваши деньги.
Но ещё раз повторюсь это опыт украинского рынка, но уверен, что в России подобные органы есть.
И что я скажу «Защите прав потребителей», по истечению трех лет, если я взял выписку из банка об операциях за несколько лет и меня честно предупредили. что в выписке не все данные «по техническим причинам»? Судья, по запросу которой я взял эту выписку, сказала, что поскольку выписка не полна, невозможно что либо определить!
Если срок вам подходит, то можно требовать от банка распечатки с печатью и подписью.
Дальше описывать ситуацию в «Защиту прав потребителей» подкрепляя ее распечаткой.
Я, к сожалению, не юрист поэтому на уровне рассуждения могу предложить такой вариант.
И как показывает практика все это долго, геморно и не факт, что решится в вашу пользу. Так уж устроен наш мир и не всем хватает сил бороться в таких ситуациях.
Хотя, я прекрасно вас понимаю, что банк должен был разобраться в такой ситуации, как минимум разница в балансе с отсутствием операций это уже чушь. Пусть значит купят железо которое будет успевать фиксировать все операции, а не продолжают покупать тостеры вместо серверов.
Но! Вот совсем недавно была заметка-интервью с Грефом, где он сказал, что у них не было ни одного случая мошенничества со стороны «людей с улицы». А все случаи мошенничества которые были, и их немало, были с участием самих сотрудников банка!
Вот что стоит программисту (администратору) «исправить» строчку в базе данных и… у клиента станет на пару тыщ рублей меньше. По всей видимости так и произошло.
А если судить по выписке, нет вообще никаких данных о «несхождении» баланса моей карточки. Вот кого допустят к банковским серверам и кто будет проверять их, ради проверки претензии какого-то инвалида на смешную, тьфу, сумму в 2500 рублей.
Если интересно, зайдите на банки.ру, в соцсети сбербанка (твиттер, к примеру), там немало подобных случаев, и даже похлеще!
А подтвердить, что у них что-то не корректно работает, так это же все побегут со своими историями с просьбами вернуть деньги.
Репутационные и финансовые потери, проще сказать «По техническим причинам...».
Как обезопасить себя от мобильных мошенников