Comments 67
Позвонить вам и представиться сотрудником вашего оператора и конечно же сказать какую-то чушь, что оператор проводит работы связанные с сетью или что он сотрудник информационной безопасности (и т.д.) и ему очень нужно узнать код, который вам поступил в SMS только что
Уязвимости SS7 могут сделать этот пункт излишним.
«По рекомендациям NIST 2016 года, в новых системах аутентификации не следует использовать SMS из-за опасности их перехвата и перенаправления» (с) вики
Строго говоря, к SS7 (а точнее, SIGTRAN) еще надо получить доступ умудриться. Обычным мошенникам это не светит.
Строго говоря, к SS7 (а точнее, SIGTRAN) еще надо получить доступ умудриться. Обычным мошенникам это не светит.
«Повторим, всё это Курбатов и Пузанков описывали в 2014 (!) году, но только сейчас ребята из Süddeutsche Zeitung обнаружили, что такие атаки проводятся на самом деле, а двухразовая аутентификация через SMS больше не обеспечивает никакой безопасности.
Фактически, эту опцию раньше могли использовать только спецслужбы, ну а сейчас может использовать любой желающий, у которого есть компьютер под Linux. Газета Süddeutsche Zeitung пишет, что доступ к коммутатору SS7 кое-где можно купить за 1000 евро. С помощью взятки можно ещё добыть идентификатор global title (GT) мобильного оператора — это тоже возможно в некоторых бедных коррупционных странах, где чиновники иногда позволяют себе нарушать закон в целях личного обогащения.
Злоумышленники узнавали банковские реквизиты жертв с помощью фишинга или зловредов, а затем использовали уязвимость SS7, чтобы получить одноразовый код подтверждения транзакции (mTAN), который банк присылает по SMS.
Расследование немецкой газеты не просто рассказывает о фактах кражи денег с банковских счетов, а указывает на фундаментальную уязвимость SMS как фактора аутентификации...» (с) habr.com/ru/post/403649
Для того чтобы сделать замену SIM-карты нужно пройти процедуру идентификации (т.е. я должен доказать, что этот номер мой, ответив на несколько вопросов).
В наших краях никаких глупых вопросов не задают, а просто просят паспорт. Это раз.
Вы хоть одного человека знаете, который PUK-код от симки знает? Это два.
Про дату первого звонка вообще молчу. А название своего тарифа некоторые и сами не знают, особенно учитывая то, что операторы их переименовывать любят периодически.
Насчет PUK согласен, а кодовое слово в 80% будет чьё-то имя.
И да — будут требовать личное присутствие (иначе кому отдать симку) и паспорт.
А если сильно надо — просто левый сотрудник перевыпустит симку и вас только уведомят об этом факте.
И да — будут требовать личное присутствие (иначе кому отдать симку) и паспорт.
А если сильно надо — просто левый сотрудник перевыпустит симку и вас только уведомят об этом факте.
Спасибо за отзыв.
Я упустил одну очень маленькую, но важную деталь — описанные кейсы больше распространяются на украинский рынок. Поправил это в статье.
Вы очень помогли!
Я упустил одну очень маленькую, но важную деталь — описанные кейсы больше распространяются на украинский рынок. Поправил это в статье.
Вы очень помогли!
Вообще довольно простые атаки перечислены, мне так кажется, очень многи на Хабре это все и знают, и родственникам рассказали. Но, да, спасибо, что систематизировали.
Правда, самый финт — уговорить сообщить циферки из смс — так и остался нераскрытым.
А, в некоторых, вам сами перезвонят и начнут говорить: «Ой, мы тут ошибочно пополнили ваш номер… Вы не могли бы пополнить теперь наш».
В этих случаях действительно могут положить деньги на ваш счёт, а после того, как вы их вернули, пойти к оператору и написать заявление на возврат ошибочного платежа
Именно так и делают, советую вернуть по чеку или (если "мы его выкинули") быть внимательным. Даже интересно откуда они знают телефон, на который перевели, если чек выкинули.
Все верно, единственное «но», в этом случае SMS о зачисление средств поступит от оператора, а гении о которых я пишу отправляют этот же текст SMS с обычного номера.
Процедура возврата:
— позвонить и сказать, что ошибочно пополнили счет (попросите о взаимном пополнении, если не прокатит, следуйте п.2)
— попросите не тратить деньги со счета
— позвоните/напишите в чат оператору и узнайте про процедуру возврата
Обычно достаточно скан копии чека, указать номер на который пополнили и тот на который хотели пополнить. После рассмотрения оператор вернет деньги.
Процедура возврата:
— позвонить и сказать, что ошибочно пополнили счет (попросите о взаимном пополнении, если не прокатит, следуйте п.2)
— попросите не тратить деньги со счета
— позвоните/напишите в чат оператору и узнайте про процедуру возврата
Обычно достаточно скан копии чека, указать номер на который пополнили и тот на который хотели пополнить. После рассмотрения оператор вернет деньги.
Уже привыкли в нашей стране к тому, что мошенники трезвонят постоянно. О таких способах и пенсионеры знают)
UFO just landed and posted this here
После замены сим-карты у опсосов стоит блокировка на любые банковыские операции в течение суток. Для получения симки работникам опсоса надо предъявить паспорт. Или в вашей картине бытия в связке с мошенниками не только сотрудники банка, но и продавцы-консультанты?
Вы бы хоть про двухфакторную аутентификацию рассказали, а не просто пересказали методы развода, древние, как экскременты мамонта.
Вы бы хоть про двухфакторную аутентификацию рассказали, а не просто пересказали методы развода, древние, как экскременты мамонта.
Спасибо за отзыв.
Я упустил одну очень маленькую, но важную деталь — описанные кейсы больше распространяются на украинский рынок. Поправил это в статье.
Вы очень помогли!
Я упустил одну очень маленькую, но важную деталь — описанные кейсы больше распространяются на украинский рынок. Поправил это в статье.
Вы очень помогли!
Правила восстановления SIM-карты, первоисточник, например:
kyivstar.ua/ru/mm/services/base/simcard_restoration
А бывают еще корпоративные номера, без предварительной заявки и личного присутствия с паспортом восстановить не получится.
kyivstar.ua/ru/mm/services/base/simcard_restoration
А бывают еще корпоративные номера, без предварительной заявки и личного присутствия с паспортом восстановить не получится.
У нас корпоративный номер восстанавливается либо у ответственного за связь по фирме, если у него запас симок есть, либо тот же ответственный должен с доверенностью и паспортом подойти в офис МТС, где ему сделают замену.
Предварительная заявка не нужна.
Предварительная заявка не нужна.
Да, все верно.
Но контрактных пользователей и тем более юридических лиц, куда меньше, чем предоплаченных.
Регистрация SIM-карты, (один из вариантов) как раз и есть переход на контрактную форму обслуживания. Но можно и предоплаченный номер зарегистрировать.
Но контрактных пользователей и тем более юридических лиц, куда меньше, чем предоплаченных.
Регистрация SIM-карты, (один из вариантов) как раз и есть переход на контрактную форму обслуживания. Но можно и предоплаченный номер зарегистрировать.
У нас давно уже всем и везде как в банках так и у операторов трындят, что «Если Вам звонит менеджер, то все нужные данные у него уже есть на экране в CRM, спрашивать что либо кроме „как к вам обращаться?“ они не имеют права»
Зарегистрируйте ваш мобильный номер в магазине оператора
Первый раз о таком слышу. Что за магазин и как регистрировать в нем номер? Пример приведите пожалуйста.
Спасибо за отзыв.
Я упустил одну очень маленькую, но важную деталь — описанные кейсы больше распространяются на украинский рынок. Поправил это в статье.
Если вам интересно как можно зарегистрировать номер в Украине, то просто берите паспорт и ИНН и идите в официальный магазин вашего мобильного оператора, там любой сотрудник поможет зарегистрировать номер.
Адрес официального магазина в вашем городе можно узнать на сайте оператора.
Я упустил одну очень маленькую, но важную деталь — описанные кейсы больше распространяются на украинский рынок. Поправил это в статье.
Если вам интересно как можно зарегистрировать номер в Украине, то просто берите паспорт и ИНН и идите в официальный магазин вашего мобильного оператора, там любой сотрудник поможет зарегистрировать номер.
Адрес официального магазина в вашем городе можно узнать на сайте оператора.
А зачем его регистрировать? В каждом магазине на кассе стартовые пакеты продаются. Ничего не надо регистрировать, или куда-то идти.
В этом и суть, что карты не зарегистрированы, т.е. любой, владея информацией, которую я описал получит доступ к вашему номеру (сможет сделать замену SIM-карты).
А, если купленный номер в супермаркете зарегистрировать в официальном магазине оператора, то сделать замену номера сможете сделать только вы (тот на кого будет зарегистрирована SIM-карта)
А, если купленный номер в супермаркете зарегистрировать в официальном магазине оператора, то сделать замену номера сможете сделать только вы (тот на кого будет зарегистрирована SIM-карта)
В этом и суть, что карты не зарегистрированы, т.е. любой, владея информацией, которую я описал получит доступ к вашему номеру (сможет сделать замену SIM-карты).
Учетную запись банка, как правило, регистрируют на контрактный номер телефона.
Ведь банку в любом случае известны ваши персональные данные.
На припейдовый номер максимум регистрируют учетки с различных сайтов, где без этого не обойтись.
«XXI век, дураков no» (с) КВН еще в XX веке.
Регистрируют на ваш основной номер, а контрактной формы обслуживания он или предоплаченной, это мало кого интересует.
Банк не будет терять клиента только потому, у него не зарегистрированный номер.
У нас пока нет закона обязывающего регистрировать номера.
Банк не будет терять клиента только потому, у него не зарегистрированный номер.
Речь о том, что сам клиент дает банку свой контрактный номер телефона, а не о требованиях банка.
Потому как понимает, что при этом ничего не теряет.
А вот использование припейда для чего-либо серьезного — не практикуется, потому как практически все уже в курсе возможных проблем. (см. цитату выше)
Проблема в том, что контрактных клиентов от силы 10% в Украине, т.е. в 90% для серьезных случаев используется предоплаченный номер.
Проблема в том, что контрактных клиентов от силы 10% в Украине
Есть конкретная статистика по числу контрактных абонентов и по числу людей, активно использующих системы банк-клиент?
Скажем так:
Я знаю эту информацию, но разглашать детали и точные цифры не могу.
но разглашать детали и точные цифры не могу.
По доступным через гугл источникам: всего примерно 55 млн. абонентов, из них контрактных — 10%, т.е. примерно 5,5 миллионов.
Более чем достаточно для банк-клиентов )
А карт сколько выдано?
А карт сколько выдано?
55 млн. — это активные (относительно) пользователи, т.е. карты, счета которых пополняются.
(Выданные/проданные уже давно никто не считает )
Карт — в смысле платежных — кредитных и т.п.
Хотя это соотношение все равно ничего не даст, т.к. у многих по несколько как симок, так и пластика, от разных операторов/банков и т.п.
Хотя это соотношение все равно ничего не даст, т.к. у многих по несколько как симок, так и пластика, от разных операторов/банков и т.п.
пластика, от разных операторов/банков и т.п.
Если бы )
Добавьте интернет-карты и т.п. и удвойте это число.
Вот-вот. Я к этому
из них контрактных — 10%, т.е. примерно 5,5 миллионов. Более чем достаточно для банк-клиентов )
Вот-вот. Я к этому
Так на один номер мобильного в банк-клиенте — десяток карт.
Причем есть люди, у которых один мобильный на несколько банков.
«5,5 миллионов должно хватить всем» (с) почти
Проблема очень актуальна, так как очень много людей в странах постсоветского пространства все еще халатно относятся к своим персональным данным.
Однако, я думаю, что именно из-за таких случаев, когда кто то по своей халатности лишится n-тысяч кровнозаработанных, тогда это изменит отношение наших людей к такому. Люди в большинстве случаев не виноваты — они просто не научены.
Однако, я думаю, что именно из-за таких случаев, когда кто то по своей халатности лишится n-тысяч кровнозаработанных, тогда это изменит отношение наших людей к такому. Люди в большинстве случаев не виноваты — они просто не научены.
Я не думаю, что пользователи не виноваты, потому что их вина — в небрежности, в нежелании критически относиться к недостоверным источникам информации (наподобие звонка с неизвестного номера, СМИ или поста в социальной сети), в нежелании пытаться понять новые технологии — и возможности и опасности, которые эти технологии приносят. Решение спрятать голову в песок никогда не было успешным.
Вряд ли. В ДТП, к примеру, ежедневно кто-то гибнет. Но люди продолжают ездить/ходить на красный свет, не пристегивать ремни и садиться за руль подвыпимши, пример неудачников никого ничему не учит.
Вуаля! Ваш номер в чужих руках. Осталось зайти в банкинг и вывести ваши деньги.
Честно говоря не понял это. Ведь для того, чтобы зайти в банкинг нужно знать мои юзернейм и пароль? И только если они правильные, тогда банкинг высылает СМС с проверочным кодом (пусть даже на скомпрометированную симкарту). Разве на Украине как-то по другому?
Не во всех банках, но есть авторизация по номеру мобильного телефона.
И к примеру, такая авторизация у самого крупного банка в Украине.
И к примеру, такая авторизация у самого крупного банка в Украине.
Это как? Всю жизнь ввожу номер телефона, пароль, потом (опционально) или перезванивают или смс, и только потом запускает. Может чтонить себе придумать и если я с этого компьютера часто захожу, то может не прислать смс — типа мы проанализировали 100500 примет и подозреваем что вы — это вы, потому без звонка/смс. Но пароль требует всегда. Это я про приват. Или вы про другой банк?
пароль требует всегда.
А кнопочка «забыл пароль» есть?
И к примеру, такая авторизация у самого крупного банка в Украине.
Попробуйте зайти в Приват не со своего домашнего компьютера.
Или со своего домашнего, но другого (с тем же провайдером).
Да и пароль нужно вводить всегда.
Я услугами выше упомянутого банка не пользуюсь в силу того, что я слышу сколько людей попадает в данную ситуацию.
И я не пытаюсь кого-то обвинить, уверен, что не мобильному оператору, не банку такие репутационные потери не к чему.
Просто факт остается фактом — люди теряют деньги. Иногда они их возвращают, а иногда и нет.
И я не пытаюсь кого-то обвинить, уверен, что не мобильному оператору, не банку такие репутационные потери не к чему.
Просто факт остается фактом — люди теряют деньги. Иногда они их возвращают, а иногда и нет.
Ведь для того, чтобы зайти в банкинг нужно знать мои юзернейм и пароль?
Есть доступ к телефону — можно пробовать восстановить доступ к почте и мессенджерам — там могут быть подсказки. Можно пробовать восстановить пароль к банкингу (Приватбанк, ага ;) )… Была недавно статья про то, как увели биткойнов на $100 0000, склонировав SIM карту.
Автор специалист в этом вопросе? Ну так вот вам моя история потери 2500 рублей.
В интернет-банке сбербанка, плачу со своей пенсионной, пардон, социальной карты очередной взнос 2500р по кредиту другому банку. Получив смс, ввожу код, нажимаю «ентер» и отмечаю, что страничка на экране сменилась дважды меньше чем за четверть секунды. Тут же пришла смс — «5000 рублей списано с вашего счета, ваш баланс 200 рублей». В панике от того, что мне до следующей пенсии (по инвалидности) придется жить на 200 рублей, что остались неоплачены газ, электроэнергия ..., в общем, лихорадочно набираю номер телефона сбербанка. И тут приходит смс «возврат 2500 рублей...». Ну, «отлегло», думаю, там ошибку обнаружили, излишне взятые денежки вернули. ОДНАКО, через неделю мне звонят из другого банка и строго спрашивают, почему я просрочил платеж!!!?…
Что получилось — 2500 рублей вернулись, так как не удалось зачислить их на счет другого банка по технической причине. «Другие» 2500 рублей пропали в неизвестном направлении.
Когда я позвонил в сбербанк, там оператор проверила операции и сказала, да, вам деньги вернули а в чем вопрос?
Я — Ну так сняли же 5000 рублей, а вернули только 2500.
СБ — Так проверим. Нет, с вас сняли 2500 и их же и вернули.
Я — Ну вы по балансу карточки посмотрите!
СБ — Да, странно, у вас баланс что-то не сходиться. Знаете, мы можем и в суд на вас подать, вы каким-то мошенническим образом сняли с карты деньги, без записи в наш компьютер.
Три телефонных разговора с банком, два заявления и письмо «главному по сбербанку» результатов не дали. Основной мотив отказа сбербанка — «В нашем компьютере такая операция не зафиксирована и значит никаких претензий мы не принимаем»!
Так как защитить свои деньги от мошенничества самого сбербанка?
В интернет-банке сбербанка, плачу со своей пенсионной, пардон, социальной карты очередной взнос 2500р по кредиту другому банку. Получив смс, ввожу код, нажимаю «ентер» и отмечаю, что страничка на экране сменилась дважды меньше чем за четверть секунды. Тут же пришла смс — «5000 рублей списано с вашего счета, ваш баланс 200 рублей». В панике от того, что мне до следующей пенсии (по инвалидности) придется жить на 200 рублей, что остались неоплачены газ, электроэнергия ..., в общем, лихорадочно набираю номер телефона сбербанка. И тут приходит смс «возврат 2500 рублей...». Ну, «отлегло», думаю, там ошибку обнаружили, излишне взятые денежки вернули. ОДНАКО, через неделю мне звонят из другого банка и строго спрашивают, почему я просрочил платеж!!!?…
Что получилось — 2500 рублей вернулись, так как не удалось зачислить их на счет другого банка по технической причине. «Другие» 2500 рублей пропали в неизвестном направлении.
Когда я позвонил в сбербанк, там оператор проверила операции и сказала, да, вам деньги вернули а в чем вопрос?
Я — Ну так сняли же 5000 рублей, а вернули только 2500.
СБ — Так проверим. Нет, с вас сняли 2500 и их же и вернули.
Я — Ну вы по балансу карточки посмотрите!
СБ — Да, странно, у вас баланс что-то не сходиться. Знаете, мы можем и в суд на вас подать, вы каким-то мошенническим образом сняли с карты деньги, без записи в наш компьютер.
Три телефонных разговора с банком, два заявления и письмо «главному по сбербанку» результатов не дали. Основной мотив отказа сбербанка — «В нашем компьютере такая операция не зафиксирована и значит никаких претензий мы не принимаем»!
Так как защитить свои деньги от мошенничества самого сбербанка?
Я не знаю как эти органы называются в России, но в Украине есть:
— Защита прав потребителей
— НКРСИ (но это больше к вопросам о нарушениях со стороны мобильных операторов)
Можно попробовать найти подобные у вас и обратится, в случае если они при рассмотрении ситуации найдут нарушения, они смогут открыть судебное дело и вернуть ваши деньги.
Но ещё раз повторюсь это опыт украинского рынка, но уверен, что в России подобные органы есть.
— Защита прав потребителей
— НКРСИ (но это больше к вопросам о нарушениях со стороны мобильных операторов)
Можно попробовать найти подобные у вас и обратится, в случае если они при рассмотрении ситуации найдут нарушения, они смогут открыть судебное дело и вернуть ваши деньги.
Но ещё раз повторюсь это опыт украинского рынка, но уверен, что в России подобные органы есть.
Все ответы банка — «Мы не нашли никаких нарушений. Указанная вами операция не зафиксирована в нашем компьютере. Полученные вами смс не имеют юридической силы».
И что я скажу «Защите прав потребителей», по истечению трех лет, если я взял выписку из банка об операциях за несколько лет и меня честно предупредили. что в выписке не все данные «по техническим причинам»? Судья, по запросу которой я взял эту выписку, сказала, что поскольку выписка не полна, невозможно что либо определить!
И что я скажу «Защите прав потребителей», по истечению трех лет, если я взял выписку из банка об операциях за несколько лет и меня честно предупредили. что в выписке не все данные «по техническим причинам»? Судья, по запросу которой я взял эту выписку, сказала, что поскольку выписка не полна, невозможно что либо определить!
В этом случае нужно углубляться в эту историю с юридической стороны, как минимум узнать какое кол-во времени банк должен хранить историю ваших операций.
Если срок вам подходит, то можно требовать от банка распечатки с печатью и подписью.
Дальше описывать ситуацию в «Защиту прав потребителей» подкрепляя ее распечаткой.
Я, к сожалению, не юрист поэтому на уровне рассуждения могу предложить такой вариант.
И как показывает практика все это долго, геморно и не факт, что решится в вашу пользу. Так уж устроен наш мир и не всем хватает сил бороться в таких ситуациях.
Хотя, я прекрасно вас понимаю, что банк должен был разобраться в такой ситуации, как минимум разница в балансе с отсутствием операций это уже чушь. Пусть значит купят железо которое будет успевать фиксировать все операции, а не продолжают покупать тостеры вместо серверов.
Если срок вам подходит, то можно требовать от банка распечатки с печатью и подписью.
Дальше описывать ситуацию в «Защиту прав потребителей» подкрепляя ее распечаткой.
Я, к сожалению, не юрист поэтому на уровне рассуждения могу предложить такой вариант.
И как показывает практика все это долго, геморно и не факт, что решится в вашу пользу. Так уж устроен наш мир и не всем хватает сил бороться в таких ситуациях.
Хотя, я прекрасно вас понимаю, что банк должен был разобраться в такой ситуации, как минимум разница в балансе с отсутствием операций это уже чушь. Пусть значит купят железо которое будет успевать фиксировать все операции, а не продолжают покупать тостеры вместо серверов.
Бесполезно! Как мне сказали, фраза «по техническим причинам» означает, что у них этих данных нет! То ли стерли сами, то ли не зафиксированы.
Но! Вот совсем недавно была заметка-интервью с Грефом, где он сказал, что у них не было ни одного случая мошенничества со стороны «людей с улицы». А все случаи мошенничества которые были, и их немало, были с участием самих сотрудников банка!
Вот что стоит программисту (администратору) «исправить» строчку в базе данных и… у клиента станет на пару тыщ рублей меньше. По всей видимости так и произошло.
А если судить по выписке, нет вообще никаких данных о «несхождении» баланса моей карточки. Вот кого допустят к банковским серверам и кто будет проверять их, ради проверки претензии какого-то инвалида на смешную, тьфу, сумму в 2500 рублей.
Если интересно, зайдите на банки.ру, в соцсети сбербанка (твиттер, к примеру), там немало подобных случаев, и даже похлеще!
Но! Вот совсем недавно была заметка-интервью с Грефом, где он сказал, что у них не было ни одного случая мошенничества со стороны «людей с улицы». А все случаи мошенничества которые были, и их немало, были с участием самих сотрудников банка!
Вот что стоит программисту (администратору) «исправить» строчку в базе данных и… у клиента станет на пару тыщ рублей меньше. По всей видимости так и произошло.
А если судить по выписке, нет вообще никаких данных о «несхождении» баланса моей карточки. Вот кого допустят к банковским серверам и кто будет проверять их, ради проверки претензии какого-то инвалида на смешную, тьфу, сумму в 2500 рублей.
Если интересно, зайдите на банки.ру, в соцсети сбербанка (твиттер, к примеру), там немало подобных случаев, и даже похлеще!
Ну как показывает практика такие бизнес гиганты свою "*опу" хорошо подстраховывают, да и юристов у них там целая рота, поэтому доказать что-либо сложно.
А подтвердить, что у них что-то не корректно работает, так это же все побегут со своими историями с просьбами вернуть деньги.
Репутационные и финансовые потери, проще сказать «По техническим причинам...».
А подтвердить, что у них что-то не корректно работает, так это же все побегут со своими историями с просьбами вернуть деньги.
Репутационные и финансовые потери, проще сказать «По техническим причинам...».
Sign up to leave a comment.
Как обезопасить себя от мобильных мошенников