Pull to refresh

Comments 157

n+1. Проверять мыло и пароли на сайтах типа haveIbeenpwned?

Баян, но всеже:

Однажды к гуру прищел ученик и сказал:

- Учитель, посмотри какой я придумал сложный пароль, никто не сможет его подобрать!

- этот пароль плохой.

- но почему?

- Потому что он есть в интернете.

Через какоето время ученик опять приходит и шговорит:

-Теперь мой пароль точно хороший я проверил его нет в интернете.

- теперь есть; Отвечает учитель.

Зря вы так - совет дельный. Просто скачайте базу хешей и проверяйте локально.

Вот скачать локально базу действительно дельный совет. Потому как появление фейковыйх сайтов типа haveIbeenpwned, которые буду в выдаче выше оргинала, ИМХО,дело времени.При условии что подобные улуги будут востребваны в будущем.

Так там же логин/почта проверяется.

Или что-то уже изменилось?

Ну вобщем да, только мыло, но вообще отличная идея собирать актуальные емейлы, люди сами несут их тебе. :)

Для недоверчевых — выкачать базу урезанных хешей и проверить локально.

А зачем выкачивать, нельзя проверить наличие хеша в базе онлайн?

Чтобы совсем никакой информации не отдавать вовне)

такого рода сервисы имхо сами собирают инфу от желающих проверить, и пополняют базу реальных адресов

Что лучше для безопасности:

Госуслуги: быть зарегистрированным или нет?

Госуслуги: выпустить ЭЦП самому или нет?

Налоговая: быть зарегистрированным или нет?

Налоговая: выпустить ЭЦП самому или нет?

Налоговая: Какие заявления (желательно со ссылкой на форму и номер) желательно им написать что бы заблокировать все действия с ЭЦП? Вообще все действия которые могут применить мошенники кроме "Явился лично с паспортом"?

Как делается пункт 4?

Госуслуги и налоговая — лучше быть зарегистрированным и выпустить эцп, т.к. регистрация для мошенника не сложнее взлома, а так по крайней мере будет шанс увидеть что что-то происходит.

Госуслуги: выпустить ЭЦП самому или нет?

Налоговая: выпустить ЭЦП самому или нет?

А там есть такая возможность?

Налоговая: Какие заявления (желательно со ссылкой на форму и номер) желательно им написать что бы заблокировать все действия с ЭЦП? Вообще все действия которые могут применить мошенники кроме "Явился лично с паспортом"?

А там есть такая возможность?

Как делается пункт 4?

Объяснят в МФЦ. Ходил туда раз пять, то у них не, то пропало, то потерялось, а вот в базе отметка есть. Дурдом.

А там есть такая возможность?

Есть конечно - без ЭЦП даже 3-НДФЛ (например, для получения налогового вычета) на сайте налоговой не подать.

А вот где "Настроить оповещение о выпуске ЭЦП в личном кабинете госуслуг" - не нашел.

Вы уже про следствие. Есть ЭЦП можете то-то и то-то.

Вроде автор вопроса хотел узнать можно ли на сайте Госуслуг или налоговой оформить саму подпись? По-моему нельзя.

А вот где "Настроить оповещение о выпуске ЭЦП в личном кабинете госуслуг" - не нашел.

В данный момент нет единой базы подписей, чтобы оттуда Госуслуги подтягивали наличие. А подписи оформляют десятки шарашкиных контор. Гражданин в полном неведении.

Я и про возможность выпуска ЭЦП и про следствие. Может быть я не очень ясно выразился, но на сайте налоговой ЭЦП сделать можно, и после этого появляются те самые возможности по отправке деклараций. На сайте госуслуг может и нельзя - не знаю.

Без посещения налоговой? Не знал.

А можно там же удалить существующую и сделать новую? Если можно, тогда смысла нет делать обычному гражданину, чтобы прикрыться от мошенников.

Да, без посещения. Я слышал, что для этого должна быть какая-то "проверенная" запись на госуслугах и, соответственно, не у всех такая возможность есть.

Отозвать сертификат подписи можно, новую сделать тоже можно.

Но насколько эту ЭЦП можно использовать для мошеннических действий - сказать не берусь, она вроде бы только для отправки в налоговую документов, не связанных с предпринимательской деятельностью: 3-НДФЛ отправить, распорядиться переплатой, сообщить о наличии имущества... Ну т.е. создать проблем кому-то, наверное, можно, подав от его имени некорректную декларацию или соощить об имуществе, которого нет. Но как злоумышленник может с этого получить выгоду - не совсем понятно.

"Настроить оповещение о выпуске ЭЦП в личном кабинете госуслуг"

хм, что-то тоже не нашёл. Проследите чтобы стояла галка в Профиль->Безопасность->Оповещение на электронную почту. Оповещения о выпуске ЭЦП должны приходить. С такими настройками я получал ЭЦП в Такскоме, и сразу же после моего посещения, пришло письмо из госуслуг что я получил ЭЦП

Итак, резюме к статье:

чтобы «простому крестьянину» в один момент не лишиться всего, нужно всего лишь соблюдать 90 простых правил и быть изощрённым экспертом в информационной безопасности.

Мило, очень мило, но тут есть одна проблема: тот, кто сможет соблюсти эти 90 правил уже как бы не совсем «крестьянин» и далеко не такой «простой». :)

А что делать всем остальным?

Прямо все 90 не обязательно. Пин-код на сим-карту поставить не очень сложно. Раньше в досмартфонные времена он был, по-моему, по умолчанию даже включен. Заменить СМС на Push приложения банков часто предлагают сами. Подключить антивирус смартфон часто тоже предлагает сам. Очень важный пункт 36 тоже вполне доступен "простому крестьянину", если он не совсем дурак и хотя бы читает/смотрит/слушает новости. О мошенничестве, когда звонят и разводят на деньги, рассказывают настолько постоянно и уже столько лет, что я удивляюсь, как до сих пор находятся люди, которые на него ведутся.

Это всего несколько пунктов из 90, но они уже перекрывают существенную часть опасностей.

Смотрите: у нас есть десятки векторов угроз (и при этом постоянно появляются новые) какие-то вы закрыли, какие-то — нет. При таком положении вещей, рано или поздно, так или иначе, вы всё равно можете «попасть». Проблема тут не в том, что вы «попадёте», а в том, что речь идёт о нанесении вам неприемлемого (по размеру и последствиям) ущерба.

И если речь идёт об «айтишниках», то ещё можно надеяться на какой-то уровень защиты, но когда мы говорим о массе населения — то никто из «нормальных» людей даже не будет читать эту статью (не говоря о том, чтобы что-то делать для своей защиты).

Вот что то не могу понять отчего защищает этот пин код. Только оттого что симку не переставить в другой мобильник? Почему это на 90% важно?

Именно. Чтобы симку из спёртого мобильника не вставили в свой и не получили доступ к смскам из банков и прочим местам с двухфакторной авторизацией и привязкой к номеру телефона.

Насколько я помню, некоторые банки отслеживают изменение IMEI. Есть вот такая инфа аж из 2016-о: «… Для борьбы с этим представители Минкомсвязи и Центробанка хотят запрашивать данные о смене абонентом SIM-карты. Эксперты считают, что это необходимая мера, повышающая безопасность клиентов. …»

Не исключаю про IMEI, но ни разу такого не слышал. А то, на что вы ссылку дали - это не про IMEI, это про IMSI. Он меняется, когда абонент (или злоумышленник) получает у оператора другую сим-карту, привязанную к номеру абонента.

Да, я понимаю, что там не IMEI, просто несколько концептуально связанные вещи.

Кстати насчёт замены СМС на пуш спорно. СМС намного надёжнее в плане доставки, если вы находитесь в местах с не идеальной связью или за границей, где из-за диких тарифов интернет большинство отключает (смс тоже не дёшево, но терпимо). Т. е. следуя данному совету мы существенно повышаем вероятность вовремя не узнать о попытке взлома.

Если пуш не дошёл, банк присылает SMS.

Порой через 2-4 минуты, то есть о факте того, что у вас спёрли миллион вы узнаете уже сильно потом.

Пункт 36 мне больше нравится в формулировке "Что-то не так? Блокируйте карту. Я схожу в своё отделение".

Чем push лучше СМС?

Push вводиться сам, смс я ввожу ручками, т.е удаленно не сделать.

Не знаю, насколько устарела вот такая информация: "Таким образом, Apple не только предупреждает о незащищенности канала передачи между APNs-сервером и приложением пользователя, но и берет обязательство с разработчика не передавать через push-уведомления персональную или конфиденциальную информацию, в том числе транзакционную информацию, к которой коды подтверждения операции, безусловно, относятся.", статья 18 года и я продолжаю ей доверять и считать, что на андроидах всё примерно так же.

Сейчас уже только сертификаты и оконечное шифрование, хотя редакция гайда тоже от 2018 года. Кстати, в действующей редакции Apple Developer Program License Agreement соотвествующий пункт 4 тоже присутствует на странице 49. Однако, сомнительно, что Apple не в курсе использования Push-уведомлений банками для доставки одноразовых кодов и сообщений и входе, балансе и др. Скорее всего, пункт этот, как и большая часть соглашения, присутствует, чтобы никто не предъявил претензий самой Apple.

В пин коде особого смысла нет, его легко восстановить.

Остальным соблюдать всего 1 правило: банк — отдельно, телефон — отдельно. Т.е. ничто финансовое не должно быть завязано на телефон.

а в современном банке можно открыть счёт без мобильного номера?

Врать не буду — не пробовал, но не сомневаюсь, что да.

Всем остальным запомнить простую заповедь, начавшуюся с цыган: если тебе предлагают что-то, что ты сам не просил - это мошенники.

Может проще выполнить один пункт?

1. Не хранить деньги на карточке

Не пользоваться смартфоном

Не пользоваться телефоном (лучше исключить даже стационарный)

И кто ты после этого?

Между прочим, совет буквально верный: не хранить деньги на карточке (карточном счете).

Можно не хранить, но если по карте разрешен овердрафт - разница вообще не велика. Если не разрешен - теховер никто не отменял (но тут вариантоа, конечно, меньше), а примеры 4-6 и 8 на имеющиеся карты вообще не завязаны. Хотя, конечно, какую-то часть векторов атаки при отсутствии денег на картсчете (и отсутствии кредитного лимита по карте) удастся закрыть.

Посмотрел объём трафика за прошлый месяц на телефоне, сделал для себя вывод — смартфон в моём случае прекрасно заменяется на обычную кнопочную звонилку. Для прочего можно взять планшет, даже не устанавливая в него симку.

Если сим карта внезапно отключилась

84

Позвонить моб.оператору и выяснить причины отключения

Очень любопытный совет. Из моего субъективного опыта последние 100% случаев (3 случая за 13 лет) сим карта отключалась по причине неисправности оной. Звонить можно было только 112.

Заблокированная оператором сим-карта выглядит почти так же: телефон говорит "в регистрации в сети отказано, доступны только аварийные вызовы".

Вангую, что имелось в виду "позвонить оператору с другого телефона на городской номер".

Еще можно отдельно телефон для звонков и СМС и отдельно смартфон.

Как-то это противоречит друг другу
Не давать в руки телефон малознакомым людям
попросите прохожего, таксиста, охранника, полицейского дать вам телефон.
Или это дискриминация людей на себя, как умного, и всех остальных, как лохов?

В объяснении первого пункта раскрывается смысл. Не давать телефон бесконтрольно, типа "Звони, я попозже зайду, заберу", чтобы не поставили шпиона или вирус.

Полицейский:

«Вы имеете право хранить молчание. Всё, что вы скажете, может и будет использовано против вас в суде. Ваш адвокат может присутствовать при допросе. Если вы не можете оплатить услуги адвоката, он будет предоставлен вам государством. Вы понимаете свои права?»

Меня жена иногда спрашивает - "Ты машину закрыл?"

Я отвечаю - " Чего там брать-то?"

Смысл в том, что если взять нечего, то и нет почти проблем. Мошенникам Вы не интересны.

Кстати, "27 Пометить как НЕ спам номера телефонов моб.оператора и банков, которыми вы пользуетесь" - практически не реально. У них огромный пул номеров, и каждый раз звонят с разных. Я как-то что-то выяснял по телефону, так по каким-то вещам у них регламент, что ОНИ САМИ должны позвонить (вроде как я доступ к онлайн банку восстанавливал, после того как система посчитала что я что-то плохое делаю, а я сделал много попыток взять кредит, но не завершал, а смотрел какие суммы платежа получатся при разных вариантах). А у меня был антиспам включён - так я не сразу понял, почему не звонят, потом увидел в спаме попытки звонков. Пришлось опять звонить и повторно объяснять, отключать антиспам и ждать звонка...

Пин-код на симку есть смысл ставить только если И на разблокировке телефона есть код. Иначе нашедший телефон просто не станет вынимать симку и прямо на нём всё сделает.

CVV на карте можно тупо паяльником срезать. Главное потом не забыть - это может доставить (и более вероятно) проблем.

Меня жена иногда спрашивает — «Ты машину закрыл?»

Я отвечаю — " Чего там брать-то?"

Смысл в том, что если взять нечего, то и нет почти проблем. Мошенникам Вы не интересны.
Интересны. Оформят кредит и выведут кредитные деньги.

CVV на карте можно тупо паяльником срезать.
Формально делает карту недействительной, заметят — должны изьять.

Формально делает карту недействительной, заметят — должны изьять

Так я никому и не показываю. Как и советуют. Банкоматы и терминалы пока не умеют такое распознать.

Вообще не вполне понятно, зачем сейчас нужно использовать карту как таковую.
Гугл пей или аналоги позволяют реквизиты карты не использовать, а их собственные «реквизиты» создаются под каждый платеж в общем и целом одноразово, поэтому утечка тоже не грозит.

1)Грозит. Московское метро предлагало акцию месяц за рубль. Естественно с услугой автопродления если платишь картой или через опсоса. НО я оплатил через google pay. Подумал раз в условиях не указано автопродление при оплате через google pay да и как оно 2-й раз деньги спишет, то я в безопасности. Однако нет, деньги списали. Правда потом вернуть смог.
2)Я крайне недоволен стоковыми прошивками андроида, а прошивая что-то стороннее гугл пытается заблокировать google pay. Так что возможно скоро от него придётся отказаться, хотя да, удобно. Но носить 2 смартфона менее удобно.

В некоторых банках есть возможность изменить CVV на свой, или установить динамиченский CVV, он действует только час, доступен только в банковском приложении. Пользуюсь, удобно. Даже если где то сохранил данный карточки - платеж не пройдет.

Платеж и без cvc/cvv может проходить. Более того, при сохранении данных карты сохранять cvc/cvv нельзя по правилам платежной системы. То есть если вы где-то привязали карту и используете ее при последующих оплатах, то либо cvc/cvv после первого платежа не используется, либо вводится каждый раз (что бывает, но реже).

Я CVV всегда заклеиваю черной изолентой. Держится отлично, в банкоматах не застревает

cvc2 либо стереть,либо заклеить кусочком изоленты. Есть схемы когда под терминалом на кассах в магазинах стоит камера и снимает обратную сторону карты, фиксируя время оплаты и распознавая cvc2 код.

У некоторых банков есть динамический CVC2 — меняется каждые 30 мин и получить можно только в моб. приложении. Тот что нанесен на карте не действует.

#91 Уезжайте из страны, где для спокойной жизни необходимы эти 90 правил.

В другой стране будут свои N правил — часть такие же (телефон), часть отличающиеся (местные банки/операторы/законы). От все этих правил можно на Марс разве что улететь.

По крайне мере, в других странах имеется zero liability: если вы стали жертвой мошенников, то это проблема банка, а не ваша.

Во-первых, здесь речь ведётся не только о безопасности банковских карт.

Во-вторых, аналог zero liability есть и нормально работает и в российском законодательстве.

Вот 2 примера из жизни:

  1. Работодатель за океаном выпустил для меня (на моё имя) visa paycash (тогда не было ограничений на пополнение), обо мне зная буквально "как зовут" и город/страну. Т.е. указал дату рождения не мою. Я чудно снимал деньги в банкомате, натыкался на лимит укр банков(?) в 300 баксов в день, с учётом комсы укр банков (Приват и Надра) - 200-290 из банкомата. Закончилось тем, что в Болгарии, где я не был никогда, сняли 300 евро, в сумме тогда 420+баксов (тут вставить картинку "а что, так можно было?"). Чисто случайно я это обнаружил в день снятия или на следующий - мне посоветовали побежать в банкомат сделать попытку снятия (чтоб показать, где я), прислал фотки паспорта (там справили дату рождения, вроде бы). Чуть больше месяца разбирательства - карту перевыпустили, деньги - вернули. Думаю, скиммер в банкомате Надра был (на жд вокзале был банкомат, заряженный нужными купюрами), хотя и не факт. Вот это - "zero liability", хотя могли придолбаться буквально ко всему.

  2. "Классика жанра" - у знакомых тухнет симка в телефоне (восстановили у оператора), в Приват звонят, авторизуются голосом (скорее всего, утечка данных, которую Приват не признает никогда), на аудиозаписи называя фамилию неправильно (!) - фамилия на украинском отличается от русского написания, плюс западные украинцы на русском обычно не общаются - т.е. банк облажался в явном виде. Оформляют голосом перевод кредитных средств на другую карту (есть такая услуга)... Понятно, что банк занимает позицию "сами виноваты, разгласили..." (в эпоху соц сетей шедевр "девичья фамилия" - отдельный перл). Но далее всё забористо совсем: менты ловят мошенников, они признаются, их сажают. Приват стоит на своём - активно пытаясь выбить деньги, звоня всем родственникам и на работу. Судятся с Приватом. Выигрывают. Приват национализируется. Приват подаёт апеляцию, снова судятся, Приват снова проигрывает... Короче, сменилось 2 президента, пока это закончилось. Годы, нервы и деньги на авдоката. И я не уверен, что "уже там всё" - кажется, Приватом до сих пор чел пользоваться не может. Сумма, правда, чуть больше была - около 1-2K$ в гривне (там майдан как раз был), на момент разборок в суде оно превращалось и в менее 500$.

Почему не стоит держать деньги "на карте" - встречал простое объяснение:

если крадут кредитные деньги - это "деньги банка", и банк будет с этим разбираться. А вот "ваши" - то Вам и разбираться, и попробуйте испольнить решение суда в Вашу пользу.

CVV обычно соскабливаю ключами, ножом или "что под руку попало" - никогда никаких проблем в супермаркетах не было. Если с картой что - прихожу в Приват ногами - "где-то я пролюбил карту", "карту схавал банкомат" - дают новую (бесплатно), забывал пин-код - меняй хоть в отделении, хоть через приват24. А вот Ощадбанк - забыли пин - перевыпустим карту, конечно за деньги.

Приложения банков в телефон не ставлю - тоже есть случаи, когда у людей крали деньги с украденных смартов (и не возвращал банк такое). Да, ходить на сайт с 5" телефона - неудобно, да ещё пароли вводить. Но браузер - единственный вектор атаки (если не считать камер наблюдения).

Не знаю, как в РФ с "порталом ГосУслуг" - в Украине умудрились через "Дию", требующую только новую id-карту, и официально не работающую с обычным паспортом, оформить кредит на чела без "дии" и с паспортом-книжкой. Так что "башку в песок" может закончится печально.

Мир меняется, и уже не просто "лох не мамонт"(с) Мавроди, уже целые поколения оказываются не готовы к жизни в новых реалиях. А те, кто думают, что готовы - тоже нередко занимают место лоха.

Касательно "работодателя за океаном" - там, "за океаном", платёжные карты могут выпускать едва ли не все подряд - сотовые операторы, магазины и так далее. За Украину не в курсе, но в РФ это могут делать только банки. В чём-то оно лучше, в чём-то хуже.

Встречный вопрос: в один прекрасный день Вы обнаруживаете, что баланс Вашей карты равен нулю. Куда и как Вы будете обращаться, если "работодатель выпустил карту, зная только имя и фамилию"?

если крадут кредитные деньги - это "деньги банка", и банк будет с этим разбираться. А вот "ваши" - то Вам и разбираться

Тоже слышал такое объяснение. Полный бред.

Объясню почему: совершая платёж по карте, Вы даёте банку распоряжение перевести такую-то сумму такой-то торговой точке. В случае дебетовой карты это будут Ваши деньги, лежащие на счёте в банке; в случае кредитки - это денежные средства, которые банк выдаёт Вам в кредит.

Законным путём такое распоряжение можете давать только Вы - это явно предусмотрено в договоре на выпуск и обслуживание платёжной карты.

Соответственно, если распоряжение даёте Вы - банк его исполняет, а взятые в кредит денежные средства (в случае платежа кредиткой) придётся вернуть в установленном порядке. А вот если распоряжение дал кто-то другой - то у него такого права нет и банк не имеет права исполнять его, вне зависимости от того, кредитная это карта или дебетовая.

В итоге всё разбирательство сводится к тому, что держатель карты говорит: "я не давал такого распоряжения, банк не имел права переводить деньги". А банк говорит - "нет, это держатель карты сам совершил операцию".

Если суд принимает сторону держателя карты - банк обязан аннулировать операцию и вернуть денежные средства, вне зависимости от того, Ваши они или взяты в кредит. А если суд принимает сторону банка - то операция считается Вашей и Вы несёте за неё полную ответственность. Так что кредитная там карта или дебетовая - разницы нет.

Возможно, эта байка пошла как раз из-за океана, у них там представления о картах, счетах и прочем очень сильно отличаются от принятых на пространстве бывшего СССР.

За Украину не в курсе, но в РФ это могут делать только банки.

Не совсем - еще могут небанковские кредитные организации. Связной-кукуруза, Озон и тому подобные карты как раз такие. У них есть ряд нюансов: например, по умолчанию обычно нет картсчета (т.е. нельзя перевести деньги на карту банковским переводом по реквизитам счета), и средства на карте не застрахованы АСВ.

Слишком ресурсозатратно — не каждый сможет соблюдать, а ведь здесь нужна строгость. Некоторые действия требуют периодичности, а значит вносить в календарь, иначе выполнять не будешь.

Хорошо, не делайте ничего.

Я пришлю вам реквизиты, чтобы вы переписали свою квартиру на меня. И номер карточки, куда пришлите все ваши деньги. Чтобы сразу, без промежуточной возни. Всё равно ведь "ресурснозатратно".

Так это надо что-то делать. Проще ничего не делать, и деньги сохранятся, и время, и силы

у меня так и сделано. Периодические проверки занесены в календарь. Каждую неделю приходит напоминалка. Потратить в субботу 5 минут времени ничего не стоит

Если слишком много ресурсов тратить на это — то некогда будет деньги зарабатывать — нечего будет охранять.

Сложилось впечатление что судя по статье 2 самые большие дыры это:

  • сим карта

  • госуслуги

А скоро еще "оплату лицом" подвезут кстати, вот это по моему будет всем дыркам дыра.

+согласно примеров утечки банка (знания кодовых слов). Вообще работники банка самая большая дыра, это и утечки данных, у разглашение технологий защиты при увольнении

Есть мнение, что оформление запрета на регистрацию сделок с недвижимостью без личного присутствия никак не влияет на мошенничество с помощью ЭЦП. Запрет не дает регистрировать сделки по доверенности. ЭЦП же приравнивается к собственноручной подписи, поэтому если за вас выпустили ЭЦП, этот запрет не сработает.

Истинно так.

С помощью ЭЦП можно этот запрет снять.

Но сделки с ЭЦП запрещены без вариантов.

Вроде есть исключение для ипотеки и определенных ЭЦП

Запрет на проведение сделок с недвижимостью с помощью электронной подписи не будет распространяться на цифровую ипотеку, сообщает Федеральная кадастровая палата Росреестра на своем сайте. То есть, сведения от банков по-прежнему можно будет подавать в электронном виде, без личного участия гражданина. Бумажного заявления от кого-либо из участников сделки для этого не требуется.

Есть и другие исключения: сделки с недвижимостью можно будет оформлять с использованием электронной подписи, если она была выдана удостоверяющим центром Федеральной кадастровой палаты, и если в оформлении сделки принимают участие нотариусы или госорганы, которые взаимодействуют с Росреестром в электронном виде. В этом случае владельцу недвижимости тоже можно не писать специальное бумажное заявление на использование электронной подписи.

https://www.cnews.ru/news/top/2019-08-12_vlasti_zapretili_elektronnye_podpisi_dlya_vseh

да, увы это так. Но оформив данный запрет мы хотя бы снизим вероятность афёр с недвижимостью

На сделки по обычной доверенности такой запрет никак не влияет.

Если не секрет, как для гуглпэй сделать обязательную разблокировку для любой оплаты, даже на 1 рупь ? В настройках его такого нет...

Не нашел в настройках, но как я помню, при первой настройке можно поставить установку "разблокировать экран для оплаты".

Можно попробовать переустановить.

на андроидах такого вроде пока нет. На эплах есть

На своем сяоми поставил пароль с помощью Защиты приложений — позволяет поставить пароль на любое приложение.

Установите автоблокировку экрана смартфона не менее 30 сек

если телефон украдут, он успеет заблокироваться

Это называется «не более, чем через 30 сек», а ещё точнее «не позднее, чем через».

Но уж точно не «не менее».

Я бы еще добавил - "Регулярно навещать и созваниваться с родителями" - тогда они меньше себя накручивают ("сын/дочь не звонит? а вдруг что-то случилось?!") и меньше шансов что попадутся на удочку в стиле "мама я сбил человека"

4

Оформить запрет на регистрацию сделок с недвижимостью без личного присутствия

чтобы исключить продажу квартиры по поддельной доверенности или поддельной ЭЦП

Этот запрет можно снять с помощью ЭЦП.

Статью писал теоретик.

В России ЭЦП при сделках с недвижимостью запрещена всегда, кроме случая когда недвижимости как бы еще нет - ипотека.

Основная опасность лишиться недвижимости.

Лишить могут непосредственно используя подставное лицо или нотариуса или мошенники в МФЦ и т.д. и т.п.

Единственная защита - сделать обременение на недвижимость.

Но в любом случае, мошенники могут оформить юр.лицо используя ЭЦП и сделать на нем долги больше чем стоимость недвижимости. Лишать уже будут коллекторы.

На данный момент против этого в России защиты нет лично для меня. В налоговой отказались принимать моё заявление о запрете регистрации юр. лица без личного присутствия. Говорят, что база только для уже существующих юр.лиц. А если его нет, то и нельзя туда ничего внести.

Все остальные ребусы в этой теме - это мелочь.

Есть еще исключение, кроме ипотеки по дефолту разрешены отдельные ЭЦП при определенных сделках. Но думаю мошенникам такую подпись получить маловероятно.

Есть и другие исключения: сделки с недвижимостью можно будет оформлять с использованием электронной подписи, если она была выдана удостоверяющим центром Федеральной кадастровой палаты, и если в оформлении сделки принимают участие нотариусы или госорганы, которые взаимодействуют с Росреестром в электронном виде. В этом случае владельцу недвижимости тоже можно не писать специальное бумажное заявление на использование электронной подписи.

https://www.cnews.ru/news/top/2019-08-12_vlasti_zapretili_elektronnye_podpisi_dlya_vseh

много отличных советов, некоторые из списка уже давно стоят по умолчанию (особенно в большинстве банков и госучреждениях), другая часть - здравый смысл, а остальное - просто паранойя которая вам принесет больше неудобств чем пользы (напр. лимит переводов с карты - когда вам понадобиться сделать большой перевод сразу же начнете себя проклинать и тд). Да и вообще что бы взломать кого-то сейчас нужно много усилий и месяцы работы с аккаунтами человека, данными и вообще соц инжерению надо подключать, очень малый шанс что разные сервисы не затригерят взлом... если у вас вынесли какую-то сумму а вы не возглавляете список Форбс что бы за вами охотились многие, то скорее всего это не русские хацкеры а ваша жена которая захотела себе новую кофточку или кто-то из близких кто имеет физический доступ к вашым устройствам.

Да вообще никаких усилий не надо. Покупаете данные о человеке за копейки, потом перевыпускаете ему sim по левым документам.

После пункта №17 можно не читать дальше. Это абсолютно нереально. Когда у тебя сотни регистраций на разных сайтах, то либо сохраняешь разные пароли, либо используешь везде один и вся безопасность идет лесом.

можно записывать в ворд док и хранить на сьемнике, или просто на физической карточке и в сейф :) (а еще проводить жертвоприношения богам криптографии что бы их задобрить)

Keepass? Вводу мастер-пароль и вот у меня все пароли от сайтов (разные) доступны. Ещё можно FIDO ключи использовать для сайтов, которые позволяют.

Если не ошибаюсь, с 95 Хрома FIDO/U2F перестаёт работать, только FIDO2/WebAuth. Надо будет проверить. Наверно, пробегусь, когда Фейсбук сменит (или нет) название. Не исключено, что и ещё что-то поменяют тогда. Хотя, скорее всего, там обратную совместимость должны оставить на довольно длительное время. Впрочем, не разбирался подробно и не уверен достаточно, стоит ли беспокоиться.

PC - KeePassXC

iPhone - Strongbox

Android - Keepass2Android

Синхронизация шифрованной базы в идеале через свой Nextсloud - но думаю можно и через тот же google drive

Откройте для себя мир менеджеров паролей. И кроме мастер пароля, не нужно будет нечего запоминать.

Не пользоваться новыми сервисами. Усмирить свою "современность", "продвинутость", и жажду новых знаний. Вспомнить, что прогресс - не всегда благо, а вернуться обратно психологически тяжело, воспринимается как "каменный век"(весьма условно, но лично знаю, что для некоторых людей весь двадцатый век - каменный). Помнить, что прогресс обязательно вас заставит пользоваться всем, это вопрос времени. Есть жизнь без Facebook(я знаю, о чём пишу, меня заблокировали достаточно давно, и всё нормально). Сопротивляться до последнего. Иначе выходит, что с точки зрения "завтра", вы уже прямо сейчас троглодит. А пароли текли, текут и будут течь, ничего с этим не сделать. Соблюдать 90+ правил нереально.

Нет слова "ксерить". Есть слово "копировать". Извините.

leakchek - сервис для проверки не утекли ли ваши пароли в сеть.

КМК, как раз после проверки на этом сервисе и утекут

п. 2 - оператор сливает данные и кто-то использует кодовое слово.

Как по мне это хуже чем если его нет.

Если я правильно помню, раньше по умолчанию были разрешены действия с недвижимостью без личного присутствия. Примерно год назад это по умолчанию запретили после многочисленных случаев мошенничества.

возможен аналогичный запрет на онлайн кредиты?

12) Оформить в вашем банке получение подтверждений банковских операций через push, а не через sms

Какой в этом смысл? Ведь таким образом двухфакторная авторизация превратится в однофакторную. Если в смарте будет троян (или смарт попадет не в те руки), то он и пуши перехватит. Также перевод на пуши не означает, что банк не пошлет коды через смс, если посчитает нужным, т.е. этот смс-канал остается действующим. И самое главное - в случае пушей нет третьего независимого лица (оператора связи), которое может подтвердить, либо опровергнут передачу смсок с кодами и пр.

Так что лучше отдельный кнопочный телефон от нормального производителя с возможностью запаролить доступ к смскам.

Отключение дистанционного восстановления пароля и пр, а также установка прочих ограничений - это не панацея, это часто лишь вводит в заблуждение. Какой смысл во всём этом, если банк позволяет через смс изменить способ аутентификации?

Еще очень многие не понимают (для меня это также было шоком), что при компрометации карты вы рискуете не только средствами на карте, а всеми деньгами на всех счетах. Это и фишинг и полный доступ в личный кабинет через банкомат (с помощью карты). Основная опасность - привязка злоумышленниками своего смартфона (изменение способа аутентификации с полным перехватом управления) через перехват одной единственной смс. Надо обязательно разобраться, позволяет ли это ваш банк.

Так что телефон для смс должен быть отдельным кнопочным и... лучше пусть запароленым лежит дома. Таскать его всегда с собой вместе с картами - это дополнительные риски. Кстати, родные (особенно дети) также не должны знать пароль к телефону.

Ставить приложение на свой основной смартфон - тоже не очень хорошая затея. В идеале смартфон должен быть отдельным и предпочтительно айфон. Понятно, что это не всегда возможно, но по крайней мере не надо на основной смартфон бесконтрольно ставить софт.

Если входить в л/к через десктоп, то... никакой винды, тем более не с игрового компа. В идеале - отдельный комп на линуксе. В крайнем случае в виртуальной машине.

В браузере, используемом для банковских операций, не должно быть установлено никаких расширений. Перед авторизацией необходимо проверять доменнное имя сертификат сайта.

Обязательно читать текст смс-ок с кодом, сопоставляя, соответствует ли ваша операция тексту.

ЗЫ

Вообще ситуация удручающая. Особенно когда видишь в л/к предложение онлайн-кредита на много миллионов в пару кликов за пару минут и понимаешь, что для этого достаточно одной смс-ки...

А когда придёшь в офис, то будь добр, предоставь кучу документов

Я предпочту принести кучу документов.

Смысл в том, что sms это просто дыра, можно выпустить симку с вашим номером, есть такие сервисы даже в даркнете. Симка появляется типа как в роуминге где нибудь в африке на левом мелком операторе.

А чтоб пуш перехватить надо само устройство у вас похитить.

Дело в том, что полностью от sms отказаться банки не позволяют. Если вы привязываете новый телефон, код придет в смс. А потому пуши не имеют никакого смысла.

Эт понятно. Но ведь хабр читают разработчики банковского софта, собсно это камень в их огород.

Вы шутите? Им глубоко наплевать на это. Точнее, тем кто ставит им задачи.

Несколько месяцев я изучал тему интернет мошенничества с целью собрать наиболее полный список действий

Вот по этому?!!

нет, не только. Если я бы привёл весь список статей и ресурсов которые я перелопатил, получилось бы нечитабельно. Да и не запомнишь их все. Здесь представлена выжимка

Большой список, правда к некоторой части советов есть замечания (с частью внутренний параноик вообще не согласен).
Основная проблема списка в целом: всякие мошенники действуют незаконно, а противодействовать им хотелось бы только законно. А как известно административные проблемы либо не имеют технических решений, либо они не очень эффективны.
Дополнительные советы.
1. Если боитесь потерять телефон — не носите с собой телефон с «основной» сим-картой, на которую заведены важные сервисы, пусть он дома полежит.
2. Разделите интернет и привязки к сервисам на разные симки. На «интернетную» пин-код даже вреден, как раз лучше чтобы интернет поднимался автоматом при перезагрузке телефона.
3. Не пользуйтесь никакой биометрией. Тем более на телефоне.
4. Не привязывайте к телефону слишком многого (услуги, оплата и т.д.). Это неразумно и рискованно. Не кладите все яйца в одну корзину.
5. Не храните на счете телефона и карте больших сумм денег в принципе. Это сильно снизит риски. Используйте виртуальные карты для разовых платежей по возможности.
Комментарии к исходному списку напишу отдельно.
Комментарии к списку.
1. Пин-код обязательно только на основную симку (к которой привязаны важные гос.сервисы и банки), которую и так лучше держать дома.
2. Сомнительно, кодовое слово легко подслушать и потом заблокировать вам симку им же.
8. Сомнительно, антивирус на телефон полезен только если вы регулярно ставите новый софт на телефон или посещаете с основного телефона откровенно сомнительные сайты. Софт на основном телефоне я предлагаю вообще менять не часто (после обкатки), про сайты с основного телефона я думаю вы тоже поняли. Если прямо вот очень надо — используйте для этого отдельный телефон со своей «прочей» симкой.
13. не надо хранить на счете оператора много денег, в идеале должен быть оплачен текущий тариф (обычно месячный) и 10% сверху. про карту тоже самое — не храните больше месячной зарплаты.
14. не ставьте автопополнение счета в принципе, лучше вообще никогда
19. это сильно увеличивает риск утери и кражи, сомнительный совет
25. а как это сделать-то? особенно без рута, который не рекомендован в 58.
27. нереально, увы, проверено на личном опыте (дошел аж до блокировки) на красном банке.
30. вредно, лучше пароль
32. сомнительная польза, лучше уж пароль на телефон в целом
35. а что взамен-то? push уведомления тоже не всегда надежны
43. опять вопрос — а как запрещать без рута-то?
45 и 46 противоречат друг другу. в идеале не надо вообще пользоваться пиратским.
47. зачем если есть 28? для пущей надежности что-ли? ставьте обновления чаще.
52. сомнительно. а чем съемные носители лучше-то? надежность у них обычно даже хуже именно потому что они съемные.
57. не понял как данные в облаке зависят от кражи телефона?
58. спорный совет. кому-то действительно нельзя давать никаких прав, но знающему человеку это поможет защитить себя сильнее.
63. в идеале не надо пользоваться аккаунтами в сомнительных соцсетях (тех, которые вымогают перс. данные и потом торгуют ими), включая вк и фб. но при этом иметь сами аккаунты можно, чтобы исключить регистрацию «двойников».
65. сомнительная практика регулярной смены паролей, люди склонны в таком случае упрощать пароли и пинкоды, тем более их надо будет запоминать много

25. В 9 андроиде можно убрать ненужное (будут ли потом запускаться приложения - вопрос открытый)

35. Смс банк - переводы денег по команде из смс для телефонов бещ браузера и приложений. Альтернатива - приложение или вебсайт.

43. См 25.

58. Если загрузчик будет разлочен, это открывает возможности к лёгкой модификации прошивки (но заморачиваться этим будут разве что спецслужбы)

25,43 — там сплошные вопросы, у встроенных приложений ничего отобрать нельзя даже если очень надо, у всех остальных можно отобрать только часть разрешений (далеко не все, вот как интернет отобрать?), про последующую работоспособность тем более молчу, так что это все спорные и сомнительные советы — нормального решения-то нет.
58 — закрытый загрузчик это не панацея, фактически производители ставят ультиматум: либо доверяешь нам 100% и мы тебе много чего запретим, или мы умываем руки и помогать тебе не будем. любой ультиматум — это плохо с точки зрения безопасности.

эх, похоже тут статью целую писать надо в ответ, не знаю интересно только будет кому?
На моём 9 андроиде можно выборочно лишать доступа к сервисам как встроенные (phone, camera, google play сервисы), так и сторонние приложения.
Доступа в интернет лишить нельзя, увы, почему-то разрабы андроида считают, что оно должно быть вообще у всего без спроса (наверное чтобы рекламу не мешали показывать запретом).

Спасибо за обширный лист комментарий и за то что внимательно прочитали статью. Некоторые пункты я поправил. Однако с некоторыми не согласен и вот почему:

1.Симку, привязанную к банковским аккаунтам, дома лучше не держать.. В случае её компрометации вы этого не заметите и не сможете быстро реагировать

2.Согласен, возможно стоит изменить этот пункт

8.Не согласен. Новые приложения люди будут ставить всегда. Не всегда есть возможность и время проверять эти приложения. Антивирус хорошо справляется с проверкой + это удобно

13.Согласен, но данный пункт как дополнительная степень защиты. В разделе примеры есть кейс, когда украли деньги как раз "благодаря" этой услуге

14.От части согласен

19.Вы хотели сказать что это усугубляет положение дел при утере или краже смартфона. Но тут я тоже пожалуй не соглашусь. И вот почему. Ваш телефон всегда при вас, а это значит вы видите когда отключилась сим-карта. Если телефон лежит в сейфе, то жулики сделают дупликат сим-карты и вы об этом даже не узнаете

25.На последних андроидах делается довольно просто. Про эпл и более ранние версии андроида не могу сказать

27.Хм, странно. У меня от банка всё чисто. И от оператора тоже. Попробуйте в офисе моб.оператора и банка написать отказ от рекламных и промо смс.

30.Дополнил данный пункт

32.Не согласен. Воры могут украсть ваш телефон разблокированным, либо разблокировать если это сделать просто

35.Имелось в виду управление банковскими операциями через смс

43.Просто не давайте разрешение. В последних андроидах делается легко

45-46.Не вижу противоречий. Смысл пунктов такой что на сайтах с халявой водится много вирусов. Если вам супер нужен такой контент, будте очень внимательны

47.Да, дублирование. Но лишним не будет. Не каждый будет ставить себе антивирус на ПК

52.Пожалуй не соглашусь. Съёмный носитель не будет затронут например в случае вирусов-шифровальщиков

57.Воруют телефон, открывают всё что можно открыть, в т.ч. доступ к файлам на облачных хранилищах. Во-вторых, в даркнете встречаются объявление о взломе аккаунтов с почтой

58.Имелось в виду чтобы не разлочили загрузчик и не устанавливали себе кастомные прошивки

63.Хорошее пояснение см в п.62

65.Не согласен что это сомнительно. Это защищает от периодических утечек. В разделе примеры есть несколько кейсов, которые подпадают под этот пункт

1,19 — надо исходить из того, что вероятность утери (кражи) телефона намного выше вероятности изготовления дубликата сим-карты, а ваши советы делают упор на противодействие менее вероятным событиям.
8,47 — антивирус сам по себе может быть источником проблем, так что его надо применять осторожно: для не разбирающихся в софте и его источниках он крайне желателен, для разбирающихся — опционален, тем более сейчас много всего проверяется автоматически (софт из того же GP, например).
25,43 — если это так легко, подскажите как убрать разрешение на интернет и другие разрешения у встроенных программ и программ от гугла? я не смог найти способа, кроме как через рут права.
27 — я имел ввиду ситуацию, что банк каждый раз звонит с рекламой «кредитов» с разных номеров, а если их заблокировать, то не пройдет важный звонок, и можно получить блокировку счета
32 — а в чем несогласие-то? я просто за пароль — он гораздо надежнее и универсальнее; дополнительно вешаете bluetooth маячок на автоблокировку при потере контакта, чтобы не вырвали из рук в разблокированном состоянии.
57 — так не надо держать на телефоне токены (пароли) для доступа в облако, тогда и проблемы не будет, это касается и гугл-аккаунта, привязать его можно, но из аккаунта лучше выйти.
58 — извечный спор, кто-то не доверяет гуглу (производителю) и считает заблокированный телефон не безопасным, кто-то наоборот, истина наверное посередине… я лично за рутование, потому что я верю себе больше, чем гуглу, но я никому не навязываю эту точку зрения.
63 — я вообще про выкладывание какой-либо информации в соцсети, а вы про ограничение доступа к уже выложенной; я вот не верю соцсетям вообще и их настройкам приватности тоже, поэтому просто рекомендую не выкладывать ничего, что не хотелось бы видеть потом публичным.
65 — ну будут придумывать одинаковые пароли и/или слабо отличающиеся, еще неизвестно что хуже с точки зрения безопасности

p.s. очень похоже что у нас с вами разные модели угроз просто, поэтому я предлагаю несколько другие решения и подходы, ваши тоже в целом правильные, но вот лично мне не подходят, поэтому я делюсь своими; ну а совсем единых быть не может, паранойя у каждого своя :)

38 Не давайте ксерить или фоткать свой паспорт нигде кроме как в отделениях банков и гос.структур. Не отсылайте сканы документов по эл.почте

Т.е. в командировках живём под мостом, а не в гостинице?

В 60% случаев прокатывает вариант параноика-истерички «смотреть — смотрите, ксерить не дам, вы у меня квартиру украдёти и кредит возьмёте, тащите управляющего сюда!!!!»
Если город не в формате «один отель имени 20 лет КПСС» — идти в другой. Либо у частников аренду брать, обычно она влезает в командировочные.

Т.е. Вы приехали в уже оплаченный отель, в 23:55. Девочке на ресепшене велено ксерить все паспорта, звать управляющего бесполезно, он "уже уехал". Разворачиваетесь, теряете деньги за отель и идёте искать в ночи другой? Да, у Вас есть пять минут до полуночи, чтоб забучить другой отель на тот же самый день. Ну и цены в последний момент, сами понимаете, какие будут.

Я командировки с такими заездами шлю в баню. Отель оплачиваю командировках сам. Мне только дорогу оплачивают (и то, не всегда, т.к. мне проще удобным себе способом добраться куда надо).

Это ни разу не ответ на мой вопрос

Т.е. не бронировать отель, а искать свободный и где не просят лишнего?
Бронирую. Но с вопросами насчёт копирования, плюс «заезд в 23:55» это уже дичь какая-то, я спокойно заезжаю в начале дня отеля, если вскроются косяки, то можно будет спокойно без рванья волос на одном месте другой выбрать или по частникам посмотреть.

Но денег за первый отель не вернут )

А бронирование без оплаты перестало существовать? :)

У меня украли так данные карты в Хорватии. Просто покрутил туда-сюда. А там, видать, камера была над чуваком. Никто не ксерил карту.

7. Установить определитель номера на смартфон

Это шесть баллов по пятибалльной шкале.
>>Настроить оповещение о выпуске ЭЦП в личном кабинете госуслуг

А как?

Проконтролируйте что стоит галка Безопасность->Вход в систему->Оповещение на электронную почту. У меня при включённой галке оповещения о новых ЭЦП приходят

Подключите оповещения о запросах вашей кредитной истории

Посоветуйте, как это сделать?

я пользуюсь ЛК большого зелёного банка, там есть платная услуга "Уведомления по кредитной истории"

Добавлю, что в других БКИ такая платная услуга также как правило есть (посчитал, прикинул, не пользуюсь, поскольку там у меня не самая актуальная информация по банку, в котором уже нет карт). Полный список своих БКИ узнаю периодически на Госуслугах и бесплатно получаю кредитный отчёт два раза в год. Там все запросы видны. Но если такая периодичность не устраивает, то уведомления в приложении - выход. Не помню точно, но, вроде в упомянутом банке в каких-то случаях срок уведомления 20 минут, в каких-то - до 72 часов. Присылают СМС о наличии уведомления, подробности в приложении. Это если подробности интересны. Не слишком дорого выходит.

Ещё можно переехать в страну, где с мошенничеством таких серьёзных проблем нет. Имхо, это проще, чем так параноить.

Скимминг, как я понимаю, не актуален для карт с чипом и тем более для бесконтактных карт?

Установите автоблокировку экрана смартфона не менее 30 сек

Полагаю имелось в виду не более 30 сек, иначе совет выглядит странным.

На счет паролей и кодовых слов, на мой взгляд наша память слишком не надежна для их хранения, особенно в состоянии стресса их будет трудно вспомнить. Лучше все же в обычный блокнот их записать. Либо проводить учения раз в месяц)

Учения раз в месяц - плюсую) На счёт памяти, можно использовать разные алгоритмы для составления сложных паролей и привязывать их к фактам, которые никогда не забываются. В ход идут мнемонические правила

n+2

Проверять правила пересылки писем из своего почтового ящика. Порой мошенники настраивают зеркалирование вашей переписки с вытекающими.

Интересно. А можно подробнее?

В один прекрасный день вы получаете от мылосру, тындекс, гоу-огле оповещение, что в ваш аккаунт был вход из (к примеру) Зимбабве с устройства Windows XP. Вы рыпаетесь на сайт почтовика, вводите логин и пароль, они подходят, видите, что да, есть активная сессия из какой-то жопы мира, быстро меняете пароли и считаете что вам повезло(но фиг там). А через неделю обнаруживаете, что всё, что было завязано на почту — утекло и вам уже не принадлежит, т.к. в настройках переадресации взломщик просто включил «пересылать копии на k00lxa4x0r@example.com, оставляя оригинал.»
Блин, пошел проверять :)

Можно еще добавить пункт о покупке телефона эного бренда , где производителя не ставит вирусного софта. Думаю это не пункт а, рекомендация по поиску фирмы.

Рассказывали, что парень ушёл в армию, оставив телефон дома (м.б. взял другой). Вернувшись через год, обнаружил, что обслуживание остановлено за неактивностью, номер перепродан. Парень огрёб проблем с интернет-банками. Не знаю, насколько это правдоподобно, ведь, по идее, можно сходить лично в банк. Но говорили на полном серьёзе.

Спасибо за такой исчерпывающий гайд

"Не храните на компьютере очень важные файлы" наверное лучше заменить "Очень важные файлы храните на компьютере в зашифрованном виде. При этом обязательно делайте резервные копии на сменные носители".

там фишка в том что если хранить их даже в зашифрованном виде, вирус шифровальщик их может зашифровать и доступа все равно не будет. Поэтому лучше хранить на внешнем носителе

Установить кодовое слово в офисе вашего моб.оператора

Дальше можно не читать...

Поясните пожалуйста почему

Никакая информация, которая используется, хранится и передается открытым текстом (в том числе третьим лицам) не должна использоваться для идентификации. Для кодового слова (а также "секретных" вопросов) часто используют легкодоступную информацию (например, кличка животного), оно доступно операторам и попадает в сливы вместе с остальными данными (в отличие от паролей, которые хотя бы захешированы). Не понятно, от чего именно хочет защитить себя автор, какие обязательства и последствия наступают у оператора после создания кодового слова. Если я просто его забуду, меня отправят в офис или достаточно будет назвать любые другие открытые данные (типа номера паспорта)? Короче, ответов больше чем вопросов. Вкупе с остальными спорными пунктами, а также их количеством, у меня возникают большие сомнения в компетентности автора касаемо рассматриваемых вопросов.

Only those users with full accounts are able to leave comments. Log in, please.