Comments 119
От перевыпуска симки есть простая защита, правда требуется некоторое взаимодействие оператора с банками: при изменении ICCID идет уведомление в единую систему, после чего надо заглянуть в банк лично и подтвердить, что симка была перевыпущена на настоящего владельца.
Что, в прочем, не снимает фундаментальных вопросов о безопасности смс.
Но судя по тому что истории с дубликатами не раз светились работает эта защита далеко не у всех. А проверить кто как эту защиту реализовал и не отключили ли ее в какой-то момент за ненадобностью довольно затруднительно.
Этот момент омрачает, хотя сам не сталкивался. Пару лет назад в черно-желтом банке в Европе буквально сразу сказали ша, действуют ли сейчас все эти меры - не знаю.
Я два раза менял симку без изменения данных (один раз по формату, второй раз потому сдохла) именно живя с Альфой, и оба раза мобильный банк мгновенно отваливался, и дальше работал исключительно после визита в отделение, никак иначе.
как то менял симку для поддержки 4G на билайне и мне все же пришлось сообщать кодовое слово чтоб вертифицировать новую симку, а затем был переход на другого оператора с сохранением номера, так с новой симкой в том же банке всё заработало без каких либо подтверждений
Недавно менял сим-карту на esim и банк заблокировал все операции вывода средств пока не позвонил напрямую в банк с кодовым словом и ответами на уточняющие вопросы. Альфа-Банк.
Что значит "дубликат симкарты"? IMSI тоже дублируется? Если нет, то увы. Не получится.
Попробуйте просто поменять симку на другую с тем же номером - придется идти в банк и там с документом говорить девочке что вы поменяли карту. И через сутки после этого сможете пользоваться инетбанком и мобильным приложением.
Практически все разводы с деньгами сейчас построены на том, что человека забалтывают и он сам сообщает все коды.
YubiKey хорошо, но гопники могут и его отжать точно также как и все остальное.
И никто так и не привел пример, когда у него перехватили смс и сдернули все деньги с карты. Одни теоретические рассуждения на тему что это возможно.
У меня 3 банка, я менял симку. Никуда в офис приходить не приходилось. Даже если теоретически такое можно сделать, фактически банки это не делают.
Однажды менял оператора и когда окончательно переехал, то мне банк сам проактивно позвонил и попросил перезвонить, для восстановления доступа
Ещё знаю, как в одном банке сделана проверка подмены сим-карты: перед отправкой СМС у шлюза рассылки запрашивается текущий IMSI по номеру, и если он отличается от шаблонного в БД, то никакая СМС не отправляется (и производятся дополнительные тревоги)
Боюсь банков, что ведут себя иначе
Жаль не встречал у нас банков с поддержкой юбикеев, но это и понятно – большинству клиентов оно нафиг не нужно. Многие даже не будут OTP генераторы использовать (и бекапить)
Звонок ничего не решает, для подтверждения смены сим требуется публичная информация (например номер паспорта). Сейчас некоторые банки вроде начинают требовать подтверждать смену сим в офисе, но раньше этого не было совсем.
Сбер вообще беззаботен в этом плане - менял симку (на eSIM), менял оператора (MNP) - хоть бы СМС прислали. Единственное, на что надеюсь - что в течение суток после замены SIM оператор блокирует СМС, и я успею отреагировать.
Запрет замены по доверенности не спасет. Много случаев, когда приходят с поддельным паспортом к заинтересованному сотруднику - и меняют симку тупо по совершенно левому паспорту с переклеенной фотографией.
Однозначно нужен второй фактор...
Генераторы есть у ВТБ для бизнеса.
Как и авторизация по ключу на флешке (Не токен, именно криптоключ, надо еще плагин к браузеру).
Все конечно свое.
Вот только существенно и веб интерфейс и мобильное приложение — более чем в одном экземпляре. И как минимум при одном способе входа — не нужно никаких токенов и прочего. Логин, пароль. Для операций насколько помню — СМС.
Смотря какой банк.
У меня последний раз было несколько вариантов (в зависимости от банка), причем это сразу началось:
- идите в отделение. да — только в отделение.
- позвоните в банк, а теперь мы вас идентифицируем (нет — речь не только про девичью фамилию материи и кодовое слово, надо например остатки примерно назвать и какие были операции)
- ничего (в ответ на вопрос техподдержке в стиле "а как же так?! вы же такие все из себя технические развитые" ответ был примерно в стиле — "а зачем?.. вы же нашу симкарту перевыпускали. Ну да удаленно". В данном случае у банка свой мобильный оператор и симка именно их)
Я в альфе. Как-то пришлось поменять симку. Просто замена с тем же номером.
Ну СМСки на сутки тормознули, об этом предупредили. Но потом в мобайл (мобильное приложение) не пускает - не та симка. В клик (инетбанк) тоже - там логин + пароль + одноразовый код из СМС.
Позвонил в банк - сказали что только лично в офис с паспортом идти. Там поставят отметку что изменился IMSI симки и можно будет новой пользоваться.
Такой вот личный опыт.
Ну и если пользоваться мобайлом, то сначала разблокировать телефон, потом по паролю зайти в мобайл, а потом каждую операцию кроме переводов в внутри своих счетов еще подтверждать кодом из пуша.
В клик, как уже написал - пароль, логин, код из смс и подтверждение отдельным кодом из смс каждой операции (опять кроме переводов между своими счетами).
Такой вот личный опыт.
То что СМС тормознули — это хорошо и внушает надежду. Но судя по комментариям работает это не у всех и не всегда. И угадать где работает а где нет — нельзя, для пользователя внешне нет никакой разницы вплоть до момента замены симки.
Про проверку IMSI не знал, спасибо. Но истории про дубликаты-то на чем-то основываются? Вероятно эта проверка есть не у всех, а проверить нормально ли реализован этот уровень защиты (и не перестал ли он работать с этого месяца) довольно сложно.
Просто для инфы: не так давно вышел YubiKey Bio Series с поддержкой распознавания отпечатков пальцев, см. https://www.yubico.com/cy/store/#yubikey-bio-series-fido-edition
YubiKey хорошо, но гопники могут и его отжать точно также как и все остальное.
Для этого придумали YubiKey Bio)
Менял симку, у сбербанка вопросов не возникло, прошел год и всё продолжает работать.
Как оказалось всего две вещи: номер любой Вашей карты и код из одной СМС. То есть если у Вас банально выхватят из руки телефон с вложенной в обложку картой Альфа-Банка (либо бумажник с телефоном отожмут гопники) то Вы вполне можете помахать всем своим сбережениям белым платочком а заодно получить уникальную возможность ближайшие несколько лет оплачивать долги другого человека.
Объясните как банк может Вас защитить от того что у Вас вырвут телефон из рук? Как физическая безопасность Вашего устройства связана с механизмами аутентификации?
Смс-давно не панацея даже OWASP и NIST два года назад рекомендовали не использовать как второй фактор, многие банки предлагают push уведомления, но я понимаю почему они не делают это поголовно для всех. Потому что в потенциальном селе\деревне X нет нормального мобильного интернета, а вот gsm связь с смс есть.
Менять пароль путем физического прихода в банк? Ну сомнительный шаг, это не удобно для пользователя, а очереди какие будут в отделениях? Ведь пароли меняют очень часто просто потому что их забывают.
Объясните как банк может Вас защитить от того что у Вас вырвут телефон из рук? Как физическая безопасность Вашего устройства связана с механизмами аутентификации?
На мой взгляд механизм аутентификации не должен быть завязан только на физический доступ к устройству. Иначе зачем вообще городить огород с паролями в интернет-приложениях? Ну считаете что СМС достаточно, так уберите пароли вообще. Сейчас это только создает ложное ощущение безопасности
Менять пароль путем физического прихода в банк? Ну сомнительный шаг, это не удобно для пользователя, а очереди какие будут в отделениях? Ведь пароли меняют очень часто просто потому что их забывают.
Ниже edogs уже написал: можно сделать эту опцию отключаемой. Кто хочет — получает по СМС. Кто не хочет — приходит в банк.
Я Вам про кислое, Вы мне про мягкое. Хорошо, спрошу иначе, как опция отключения восстановления пароля по смс спасет вас от этого?
Как оказалось всего две вещи: номер любой Вашей карты и код из одной СМС. То есть если у Вас банально выхватят из руки телефон с вложенной в обложку картой Альфа-Банка (либо бумажник с телефоном отожмут гопники) то Вы вполне можете помахать всем своим сбережениям белым платочком а заодно получить уникальную возможность ближайшие несколько лет оплачивать долги другого человека.
Если поставить пинкод на сим-карту, то, вероятно, это хоть как-то защитит от чтения СМС в случае кражи/утери телефона (при условии, что симку пришлось вынимать, а заблокированный телефон не показывает содержимое уведомлений)
Вижу три категории идентификации:
Знание – пароли, пины, секретные вопросы и т.п. заметим, что логин не является секретным знанием, т.к. он ± известен всем (телефон/почта)
Владение – телефон в руках, на который приходят СМС, пуши, юбикей, OTP, или иное взаимодействие (спейренное ранее приложение, при первом входе, с приятным ключом ecdsa, например)
Биометрия – отпечаток пальца, тот же фейс ид..., но для авторизации действий нужно дополнительно использовать что-то из предыдущих категорий
Суть – одной категорией для аутентификации/авторизации действий пользователя лучше никогда не обходиться. Это понятно, но банкам просто нереально навязать своим пользователям пинкоды на симки, блокировку экрана и скрытие контента уведомлений на экране. А если это как-то навязчиво требовать, то, скорее, будет отток клиентов, имхо.
Про пинкоды на симки – это вообще не панацея. Когда-то давно я баловался с этим и залочил симку. Для восстановления необходимо ввести PUK код, его я в нуль не знаю. Двинул на сайт оператора, там спросили ФИО и номер паспорта, а в ответ дали PUK-код. Судя по количеству утечек, в сети – пароль к банку из головы будет получше, чем пинкод к симке, которую можно потерять
PS: простите, просто мимо проходил)
с пушами есть обратная проблема: банку тоже не стоит доверять на 100% - там тоже встречаются ошибки и неблагонадёжные сотрудники. Наличие/отсутствие СМС хотя бы может подтвердить третья сторона. А в приложении сегодня одни циферки, завтра другие. У меня кстати так было с "карман-банком" - приложение и банкомат расходились во мнениях относительно остатка примерно на 200 рублей.
Обычная тема, если ДБО облачное и взято на аутсорсинг у опера услуг информационного обмена, пример у faktura.ru: очень часто делая перевод, банк не досылает в faktura.ru обновленное состояние счета и faktura.ru даже зная что операция успешна, все равно отображает старое значение так как вы могли и две операции условно одновременно выполнить на разных устройствах олно из которых не подконтрольно faktura.ru или операция могла быть в итоге банком «отменена» после успешного ее выполнения.
Попробуйте просто поменять симку на другую с тем же номером — придется идти в банк и там с документом говорить девочке что вы поменяли карту. И через сутки после этого сможете пользоваться инетбанком и мобильным приложением.Меняли как-то. Ни в одном банке не понадобилось идти в банк с документами.
В нескольких (да, у нас коллекция банков) не заметили смену вообще, в некоторых заблокировался вход по смс но подтверждения операций по смс работали (т.е. если зайти в ИБ или приложение по паролю, то делай что хочешь), в некоторых позвонили на телефон и попросили подтвердить смену симки назвав паспортные данны (З — защита), в некоторых на сутки вырубился ИБ и включился через сутки автоматом, в паре банков потребовали назвать кодовое слово (тоже так себе секрет).
И никто так и не привел пример, когда у него перехватили смс и сдернули все деньги с карты. Одни теоретические рассуждения на тему что это возможно.Потому что как доказывать это? Банк будет утверждать «сам дурак», попробуй опровергни и докажи что у тебя симку увели:) В даркнете есть услуги по предоставлению смс сообщений по номеру, в том числе и в реалтайме.
Xapu3ma-NN
Менять пароль путем физического прихода в банк? Ну сомнительный шаг, это не удобно для пользователя, а очереди какие будут в отделениях? Ведь пароли меняют очень часто просто потому что их забывают.
Проблема не в том что есть легкий способ сменить пароль через СМС. Проблема в том, что его нельзя отключить. Нет возможности отказаться от этого способа.
Дали бы возможность получать пароли только в банке для тех кому это надо — вопроса бы не было, не включил эту возможность — увели деньги — ССЗБ.
Проблема не в том что есть легкий способ сменить пароль через СМС. Проблема в том, что его нельзя отключить. Нет возможности отказаться от этого способа.
Дали бы возможность получать пароли только в банке для тех кому это надо — вопроса бы не было, не включил эту возможность — увели деньги — ССЗБ.
Тут согласен, сам пытался заставить банк, чтобы подписать с ними бумагу, о том что заявку на кредит могу подать только я лично, путем прихода в банк. Отказали, у нас такого нет. Но я понимаю почему, потому что у них нет такого процесса, он никак не описан внутри банка. А запроса от клиентов на это скорее всего нет, 90% (это моя личная оценка) на это просто все равно. Поэтому банку это не выгодно инициализировать в разработку и.т.д.
Это все только в теории. На деле процент кражи денег именно из-за подмены симки ничтожно мал. Гораздо проще и массовее заболтать клиента и выудить код из смс и прочие данные.
А раз проблему особо не видно, то и банкам пофиг.
Ну и все основные банки замечают смену симки и требуют подтверждение. Хотя тот же Тинькофф у меня только кодовое слово спрашивал, остальные данные не имеют смысла, т.к. давно утекли.
Но у меня и денег на счету побольше чем у «массы» и я не хочу попасть в этот «небольшой процент» на котором применят более сложные методы изъятия денег.
«Детектирование замены симки» защищает не от всех сценариев и мне приходится по сути верить банку на слово что такая защита существует.
Откуда данные про то, что процент подмены симки мал? На деле это гадание на кофейной гуще. Такие случаи происходят, а статистику никто не ведет. Тем более, что нужно считать не только кол-во случаев, но и кол-во украденных средств. Кодовое слово утекает прекрасно вместе с остальными данными.
А откуда статистика по всему остальному? Прям кто-то циферки в экселе увеличивает? Вроде нет.
Пишут обычно люди про свои случаи. И случаев с подменой симки...скажем так мало. А вот "помогите, маму развели" - тысячи. Вот вам и статистика.
По какому, остальному? Вот здесь и на других ресурсах про такое пишут неоднократно, я сам лично сталкивался. Судебные дела есть и они в публичном доступе. Если у 9 бабушек украдут по 10 тыс, а у одного человека 500 тыс – стоит или нет на эту проблему обращать внимание? Вы говорите про "процент кражи денег" – не понятно о чем идет речь, кол-во случаев или кол-во денег? И если последнее – кто и где это считает? По истеричным комментариям это посчитать невозможно. Вообще для меня интереснее даже сам факт наличия такой уязвимости, в том числе как иллюстрация того, насколько банкам плевать на безопасность.
upd. Забыл еще важный момент. Если такой "редкий" случай все же случается, вернуть деньги очень сложно, судебные дела могут длиться годами. Потому что опсос никак с банком не связан и по сути ни за что не отвечает.
Если у Вас есть идеи как еще можно обезопасить свои счета - то пишите об этом в комментариях.
Пластиковая карта с дисплеем и клавиатурой для генерации одноразовых ключей. Даже если вы ее упустили вместе с телефоном, генерация ключей выполняется только через пароль, который надо ввести на карте.
То есть если у Вас банально выхватят из руки телефон с вложенной в обложку картой Альфа-Банка
Если у вас выхватят из рук карточку, где деньги лежат, первое, что вам необходимо сделать - это её заблокировать.
Осознав это и вздрогнув от того что тщательно продуманные и оберегаемые пароли меня на самом деле ни от чего не защищают.
Всё верно. Как и в любом другом онлайн сервисе, пароль уже практически стал просто защитой от подглядывания в монитор. На любом критическом сервисе помимо пароля необходимо использовать 2Fa.
во-первых отключите прямо сейчас показ уведомлений на экране блокировки
Еще необходимо поставить пин на разблокировку, а также как-то более ответственно за своей техникой следить. Вы же за ключами от квартиры следите?
Зайдите в офис своего мобильного оператора и заблокируйте переоформление сим-карты по доверенности
Да, это стоит сделать, но это не панацея. Если ОПСоС заменил сим-ку по липовой доверке (он уже доказал свою несостоятельность), неужели вы думаете, что по какому-то иному липовому документу не получится перевыпустить вашу СИМ? Вы уверены, что злоумышленник не был в сговоре с сотрудником ОПСоСа? Принесут свидетельство о смерти.
СМС - это единственная защита которую предлагает банк.
Это не так, поинтересуйтесь в своём банке, есть ли возможность приобрести токен для генерации одноразовых паролей. Скорей всего есть, берите! Исключите слабое звено из цепочки.
Текущий уровень безопасности онлайн-банков - это полное днище
Днище - это не безопасность онлайн-банков, а уровень осведомленности конечных пользователей. Банки лавируют между удобством эксплуатации КБ, его безопасностью и гонкой за новомодными фичами, а конечные юзеры в 99% случаев не читают и откровенно игнорируют правила безопасности эксплуатации КБ, как следствие, они же оказываются крайними.
Если у вас выхватят из рук карточку, где деньги лежат, первое, что вам необходимо сделать — это её заблокировать.
Хватает историй где за то время пока Вы в банк будете дозваниваться (найти другой телефон, найти номер банка, дозвониться, вспомнить номер карты и кодовое слово...) у Вас уже все что можно успеют снять.
На любом критическом сервисе помимо пароля необходимо использовать 2Fa.
В текущем виде защита как раз не 2FA, причем единственный фактор защиты — это смс, которое слабже нормального пароля…
Еще необходимо поставить пин на разблокировку, а также как-то более ответственно за своей техникой следить. Вы же за ключами от квартиры следите?
Про пин добавлю в статью, а ключи все же а) проще защитить (они реже находятся в руках, их легче спрятать) и б) сложнее использовать.
Это не так, поинтересуйтесь в своём банке, есть ли возможность приобрести токен для генерации одноразовых паролей. Скорей всего есть, берите! Исключите слабое звено из цепочки.
Это отличная идея, я зайду в банк и узнаю. Но вроде она у Альфы только для юрлиц…
СМС — это единственная защита которую предлагает банк
при подключенной опции онлайн-банка. Впрочем, это зависит от банка, в ВТБ24 вон был вариант сначала карта с кодами, потом железячный генератор паролей. Вряд ли это только у них.
Железячный генератор — это интересный вариант, будет здорово если кто-то поделится опытом. А то гуглинг показывает в основном варианты для юрлиц в формате приложения для ПК.
Не так давно я задумался над безопасности.
И рассматривал такие сценарии.
1) Украдут только карту.
2) Украдут карту с телефоном
3) Украдут карту с разблокированным телефоном.
В общем:
1) Номер карты лучше не светить. Стараться платить Apple Pay и аналогами.
2) На сим карту пароль.
3) На телефон пароль.
4) Не показывать текст смс/банковских уведомлений на заблокированном экране
5) Не показывать текст почты на заблокированном экране. Удивительно, но был кейс. Когда при определённых обстоятельствах хватало номеры карты одного банка и заблокировано телефона с уведомлениями от почты. Очень редко, но было.
6) решить с оператором вопрос о перевыпусках симки.
7) Поставить пароль на банк приложения и почтовый клиент (у меня стоит Spark, там такая функция есть). Есть риск, что украдут разблокированный телефон.
А вообще если есть деньги или желания, то можно посмотреть как ваш банк восстанавливает пароли и шокироваться. Ибо у всех по разному.
Я поступаю маргинально: не имею счёта ни в одном банке.
Но если бы возникла такая необходимость, я бы завязал банк на отдельный номер телефона, сим-карту вставил бы в GSM-шлюз, подключенный к домашней сети и сам озаботился бы безопасностью / удобством использования по своему пониманию процессов.
Схожий подход я уже использую для некоторых чувствительных к безопасности систем. Иногда таргетировано атакуют. Пока что безуспешно.
Явные минусы подхода:
Нужно быть технически грамотным в вопросах безопасности систем и вложить некоторое количество времени в разработку.
Часть такой системы всё равно полагается на "security through obscurity", что плохо по определению.
Кто сейчас носит с собой карты в обложке телефона, если есть NFС?
Не хотите, чтобы гопники могли разблокировать ваш телефон и банковское приложение по отпечатку пальца или лицу? Используйте PIN код для входа, а не вот эти "простые и надежные" вещи
Опять же, в ходу до сих пор карточки с одноразовыми паролями, можно юзать их вместо СМС
Мы в компании разрабатывали около банковские приложения и вопрос подтверждения действий всегда стоял особо. С одной стороны нужно сделать максимально простой для пользователя сценарий, иначе он вообще не будет пользоваться сервисом. С другой стороны безопасный для него и для банка в т.ч., т.к. репутационные и юридические риски ни кто не отменял. СМС и уникальная подпись МП сейчас самые распространенные вещи. А если вы потеряли телефон, то надо быстрее бежать и звонить в банк, а не ждать сутки другие
2. Пин на симку, пин на разблокировку, отключить уведомления на экране блокировки. И все равно при этом останется возможность просто выхватить разлоченный телефон из руки.
3. Где, у кого?
Авангард, например
3 - ПСБ
3. Энерготрансбанк. Вообще, эту тему надо просто в банке уточнять, они точно не вымерли, просто ТОП крупных не пользуется, т.к. это расходы на выпуск
Еще есть такие меры по пресечению вывода средств:
Откройте несколько виртуальных счетов и используйте их под разные нужны (что бы, ни кто не знал ваш номер карты);
Храните крупные средства на накопительном счете. Причина? С него можно вывести деньги только на один из ваших счетов, на сторонние счета или карты вывод не будет работать
Установите лимиты на траты. Если вы не планируете покупок крупных - лимит 5к. В среднем хватает на любые покупки из повседневных
Запретите карте покупки в интернете, тоже как один из вариантов лимита
3-5. Бессмысленно. Злоумышленник получает доступ сразу ко всему. Он в том же интернет-банке снимет лимиты и переведет средства с накопительного счета.
Согласен, что в интернет банк можно конечно получить доступ через МП. Но если у вас похитили телефон, вы вероятно будете знать об этом и сможете заблокировать его.
У нас некоторые сотрудники СБ (информационной) имеют отдельный номер телефона для банковских приложений, который не используют больше ни где. Ну и соответственно отдельное устройство, только для получения СМС кодов.
я ношу с собой одну карту, потому как nfc в телефоне, бывает, не срабатывает.
у меня один банк "надёжный", с аппаратным генератором паролей - там основные счета, но нет карт. для карт пользуюсь другим банком, более попсовым, "с кешбеком и шлюхами" - закидываю туда периодически суммы для текущих расходов через систему быстрых платежей.
онлайн-банки у меня живут в папке knox - лишний уровень защиты при утере/краже телефона.
Похоже, что банкам просто выгодно их не закрывать.
Проблема давным-давно решена в США.
Просто в России клиент отдаёт деньги на хранение, и вся ответственность лежит на нём:
— Где мои деньги?
— Ничего не знаем, вот у нас запись: Вы зашли на сайт и приказали нам перевести деньги в ООО "Копыта и Рога". Мы и перевели.
— Это был не я!
— Пароль ваш? Ваш. Значит, вы. Идите лесом.
А в США ответственность лежит на банке, который распоряжается вашими деньгами, и несёт ответственность за выполнение ваших указаний:
— Где мои деньги?
— Вот у нас запись: Вы зашли на сайт и приказали нам перевести деньги в Hooves & Horns Ltd. Мы и перевели.
— Это был не я. Вам отдал приказ мошенник. Вероятно, он узнал пароль через дырку в вашей системе безопасности. Почему ВЫ отдали ему МОИ деньги?
— Хорошо, вот Вам Ваши деньги. Мы проведём внутренне расследование и сообщим Вам о результатах. Также мы свяжемся с банком, который обслуживает Hooves & Horns Ltd., и скажем ему заблокировать на счёте спорную сумму до завершения расследования. Мы Вам доверяем, но хотим напомнить, что заведомо ложное сообщение о финансовом преступлении наказывается крупным тюремным сроком.
Честно говоря, появление таких статей на хабре немного удивляет. Вроде как люди работают с данными и должны понимать базовые основы безопасности. Но в любом случае спасибо автору, что еще раз поднимает эту тему.
Проблема, о которой идет речь в статье, была очевидна еще лет 10 назад, когда эта свистопляска с смс только начала появляться. Как тогда, так и сейчас, основной вектор атак это человеческий фактор (соц. инженерия). Использование в качестве авторизации механизма, в котором потенциально задействованы тысячи и тысячи сотрудников салонов связи, это очень плохая идея. Тем более, что салоны и опсосы не связаны с банками вообще никак и не несут в случае чего никакой юридической ответственности (на самом деле несут, но это отдельная сложная тема).
сейчас установите на сим-карту пароль
Бесполезно, восстанавливается очень легко.
зайдите в офис своего мобильного оператора и заблокируйте переоформление сим-карты по доверенности
Полезно, но эффективность неопределенная. Юридически никаких последствий это действие не несет, бумагу вам, что такой запрет стоит никто не даст. Если попытаются поменять симку по левым документам (доверенность или справка 2п), могут просто "не заметить", что у вас там какой-то запрет стоит.
В целом согласен с автором, что защита совсем беда. Я бы даже сказал, что ее вообще нет. Ну, для сумм, которые жалко потерять. А если терять нечего, то сойдет и так.
Да даже фиг с ним, "перевыпуском симки" и 100500 сотрудников опсосов. Можно без всех этих заморочек — достаточно доступ в сеть SS7 получить в какой-нибудь Бурунди за пригоршню монгольских тугриков. Как говорится, "хорошую вещь SS не назовут".
На фоне фактов, описанных в статье, хуже всего новый "дизайн" банков. Вчера пытался дозвониться до Сбера. — Совсем недавно это удавлось сделать минут за 10. Теперь слышу: "я ваш голосовой помощник, если нужно заблокировать карту — скажите "блокировка карты", если стали жертвой мошенничества — скажите "мошенничество", если у вас другой вопрос — задайте его, я попытаюсь вам помочь." Говорю: "мне нужен оператор-человек" — Ответ: "к сожалению, все операторы заняты, попробуйте позвонить позже". Говорю: "я подожду". Но обрыв связи, короткие гудки. Так несколько раз.
PS ИМХО новый сайт Сбера стал неудобным. Сильно тормозит. Был нормальный сайт — зачем надо было менять?
Я ему сказал "хочу заблокировать карту отца" в надежде, что он не поймёт и соединит с оператором. А он мою начал блокировать. И отказаться никак нельзя, никакие слова не отменяли операцию, а блокировка шла секунды три. Через личный кабинет разблокировать нельзя, хотя такая кнопка есть, но она приводит к ошибке. Пришлось дозваниваться до человека.
Кстати, карту отца я смог отвязать от телефона, блокировать не стал. Отвязать можно просто назвав номер паспорта.
Говорите слово - жалоба, мне помогает, переводят на оператора без проблем. В чате так же помогает.
В моем случае Альфа-Банк, когда я обновил SIM-карту, заблокировал Альфа-Клик. Узнал я об этом через несколько дней, когда мне потребовались операции со счетами. После моего звонка в банк все заработало. Наверное в такой блокировке есть смысл...
А как застраховаться от ситуации, когда Альфа-Банк блокирует доступ в Альфа-Клик по заявлению неизвестного мне физического лица, которое просит исключить мобильный номер телефона из базы банка?
А у меня на этот номер завязан Альфа-Клик и другие сервисы. Этим номером я пользуюсь несколько лет, на него приходят СМС, с него звоню в банк и т.п.
Теперь мне нужно доказать, что я имею договор с оператором на этот номер, который достаточно отправить им на E-mail, чтобы актуализировать данные. Безопасно?
Получается, любой может прийти в банк, написать заявление, указать чужой номер и его удалят из базы, как минимум заблокируют доступы к сервисам.
Важный момент, этот номер был указан в банке как дополнительный, хотя я просил сделать его основным и его "делали основным"... но что-то пошло не так..
Мы никогда не будем чувствовать что наши деньги в безопасности. Можно закрутить гайки до безобразия и тогда появятся статьи "захотел сменить номер - потерял все деньги: оказалось что у меня поменялся рисунок пальца, тембр голоса, шрам на лице и т.п."
Безопасность это всегда баланс между удобством и защитой. Это как закапывать деньги на глубину 5м (очень безопасно), но каждый раз их откапывать когда идешь за хлебом - очень неудобно. Пример глупый, но сойдет.
Дубликат СИМ-карты - если Вы потеряли контроль над картой и кто-то сумел его сделать - Ваша ошибка. Зачем винить банк? Мне неизвестны случаи изготовления дубликатов "на расстоянии". Но не сильно и изучал этот вопрос. Это единственное за что надо переживать.
В любом случае у Вас всегда будет ключ к деньгам, который всегда могут "отобрать" грабители - СИМкарта, глаз, палец, голос, паспорт, телефон. Абсолютной защиты нет, но Вы можете себя перенести из категории "ща мы этого сделаем" в категорию "не, тут все сложно". Достаточно просто быть не как все. Заведите себе для СМС-банкинга старый кнопочный телефон и не светитие его всюду подряд, максимально усложните перевыпуск СИМ-карты даже для Вас самих. У меня знакомый даже для таких нужд СИМ-карту оформил за рубежом, где часто бывает. Это вообще топ, наверное. Тут даже не подберешься. Самому перевыпустить сложно (заблокировать легко) - думаю номер телефона который начинается не на +7 сразу отбрасывает Ваш аккаунт как "стрёмный сложняк".
Но не сильно и изучал этот вопрос.
Почитайте вот статью, поизучайте...
Хохма в том, что SIM как таковая не нужна, достаточно сказать в сеть "этот телефонный номер обслуживаю я, шлите мне все его данные. Какая ещё аутентификация? "У нас джентльменам верят на слово!"
"Ничего не понимаю, но осуждаю". Сим карта легко выпускается по поддельным документам (доверенность или форма 2п). И сделать с этим почти ничего нельзя. Можно "запретить" перевыпуск по доверенности, но никаких юридических последствий для опсоса это не несет. Может поможет, а может нет. Есть простые проверенные временем средства для 2fa, которые раньше были довольно распространены. Почему сейчас этого нет даже в виде платной доп. услуги – большая загадка.
> глаз, палец, голос, паспорт, телефон
Ничего из перечисленного не должно быть средством для удаленной идентификации для критичных операций.
Основная проблема безопасности денег в самом их владельце, клиенте банка - можно накрутить 100500 степеней защиты, но если он сам сообщает код и/или переводит мошеннику деньги, то уже ничего не поможет
Вот тут подробно про это описано:
Даже СМС сообщать не нужно.
https://money.onliner.by/2021/10/28/moshenniki-oformili-kredit-na-dekretnicu
Мне сказали, что сотрудница банка заподозрила что-то, выхватила доверенность у мужчины, и тот убежал. Дабы предотвратить оформление кредита, я должна, как сказал «работник» по телефону, в личном кабинете в интернет-банкинге ввести номер своего паспорта. Мне все время повторяли: не беспокойтесь, вы же не предоставляете никакие данные, мы сейчас все проверим и предотвратим. Действительно, по телефону я не сообщала никакую личную информацию — ни карточные данные, ни паспортные.
На карточку Анастасии после этого пришли 3000 рублей. «Работник» по телефону сказал, что это пришли кредитные деньги и переживать не нужно, поскольку договор сейчас аннулируют. После этого деньги пропали — их перевели на неизвестный счет.
я попробовал повторить тот же фокус со Сбербанком. И Вы знаете что? Оказалось что эта же схема прекрасно работает и со Сбербанком тоже. Последовательность необходимых шагов для этого оказалась чуть-чуть длиннее чем в АльфеА подробнее? Восстановление пароля через сайт отсылает новый пароль на привязанную почту, что как бы второй фактор помимо СМС.
а если отключить смс для входа в альфа-клик, то все-равно можно будет восстановить пароль по смс?
Это я к чему — паспорт многие носят с собой и он может быть «утерян» вместе с телефоном. Впрочем пауза в сутки на смски от такого защищает.
У клиентки и ее сына ломали карты в один день, Тиньков и Сбер. Начали приходить СМСки с кодами. В обоих случаях им позвонили банки и сообщили о блокировке карт в этой связи. Карты перевыпущены, но вопросы остались. Предположу, что у обоих на телефонах завелся крот. Подтверждает мое правило: Никаких мобильных банковских приложений.
Господа банкиры, я все понимаю, удобство клиента - это очень важно, но Вам не кажется что безопасность клиента - это все-таки немного важнее?
Сложность в том, что не все клиенты банков разбираются в том, как это работает. Для многих даже СМС-подтверждение это уже сложно. А чтобы сделать безопаснее, придётся сделать сложнее. Поэтому банкиры выбрали такой путь, чтобы и более менее безопасно и всем доступно и понятно. Иначе клиентов у банка не будет.
Частично соглашусь про необходимость опциональности. На случай если моя карта незаметно от меня попадёт в чужие руки, злоумышленник сможет совершить довольно много бесконтактных покупок, не вводя ПИН-код карты. Из-за этого я был очень удивлен, когда в том же Сбербанке сказали, что карты без NFC они уже не выпускают. А лимит на покупку без ввода ПИН-кода стоит от 1000 рублей. А если я об этом узнаю только через сутки, то к этому времени на карте уже будет 0, и в приложении останутся лишь чеки о том, что человек покупал за мой счёт. Но даже если карта будет без NFC и я каждый раз буду вводить пин-код, не исключено, что кто-то в магазине его подсмотрит и опубликует. Опять же это чаще касается тех, у кого на карте много денег.
Спасибо за статью! Мотивирует задуматься о безопастности своих счетов.
История от меня, про ВТБ:
Заказал дебетовую карту с доставкой: курьер привёз в незапечатанном конверте = мог видеть/сфотографировать карту. Плюс не именная.
Заказывают новую, именную. Но это только в физическом отделении. И по телефону сразу сказали, что в отделении смогут закрыт и уничтожить первую карту.
Прихожу получать: девушка из обычного шкафа достаёт стопку карт без каких-то конвертов, ищет мою и отдаёт мне. Без взяких кодов. Ничего.
На вопросы в стиле "Как же так?! Теоретически любой работник офиса может сфотографировать любую карту. А если мои миллионы утекут?" получаю ответ: "Да что вы! Мы же - Работники банка! Зачем нам так рисковать своей работой?" Первую закрыли и разрезали там же.
Вот сижу и думаю: может и вторую туда же? В топку?
В принципе это около нормальная практика, если не одно но. С некоторых пор номера карт превратились в данные для входа в интернет-банк. Номер карты это почти публичная информация, его можно засветить не только в банке, но и в любом магазине например. Поэтому проблема здесь не в том, что карты без конвертов, а в том, что по какой-то невероятной причине по номеру карты стало возможным логиниться в интернет-банк.
вариантов было немного:
украдут карту — потратят максимум тысячи 2 (там больше нет) и выбор магазинов не очень большой где не нужен пин
к ней украдут телефон — потратят максимум тысячи 2 (там больше нет)
телефон будет незаблокирован — потратят максимум тысячи 2 (там больше нет).
а схему использую следующую — есть счёт, к нему доступ только через интернет банк, есть второй счёт к нему привязана карта. Если что-то внезапное там лежит 2 тысячи. Остальное предварительно перевести с «закрытого» счёта. Приложениями от банка не пользуюсь — лишняя дырка. Интернет банк логин и пароль я и сам не знаю — они записаны в спец. программе.
Путь по которому меня можно лишить средств — только если я подхвачу какой-то специфичный вирус, но я сижу за сильным фаерволом со всякими no-script и adblock.
Если у меня стукнет совсем паранойя, я банковские данные выведу в отдельный файл и буду туда заходить только со специально сделанной виртуалки на каких-либо никсах.
Восстановят логин/пароль по номеру телефона и карты, затем попросят у банка кредит на карту от вашего имени, наивный банк выдаст 300-500 тысяч. Дальше эти деньги выведут, а вам оставят задолженность. И если вы не успели сообщить в банк о краже до момента выдачи кредита - опаньки.
Логин восстановят — если знают ключевое слово
То есть в кабинет не попадают
Тут соглашусь, что менее безопасная система, но нужно пройти вот эти 2 шага, что по отдельности более-менее легко, а суммарно разве что используя какие-то большие данные. И вот тут печалит меня только одно, что у банка нет услуги одноразовых карт.
И снова про безопасность банков и СМС