Яндекс.Труселяузер с расширением Adguard убивает бизнес, или будьте осторожны с CSS классами, содержащими слово "informer".
4 месяца назад мы внедрили на сайт систему срочного информирования заказчиков. Каждые 10 минут клиент обращался к серверу, проверяя наличие оповещений, и при новом сообщении клиенту выскакивало окно с оповещением. Ничто не предвещало беды, но в поддержку посыпались десятки жалоб на "фантомное окно, которое невозможно закрыть". Начался глубокий анализ. Сначала грешили на кеш. Переименовали скрипты, в контроллер добавили десяток проверок на наличие контента, большинство логики переехало с JS в контроллер, сам JS переписывался раз 5, но проблема продолжалась.
В общем БЛА БЛА БЛА, факт в том, расширение Adguard косило все элементы, в которых был класс, содержащий слово "informer". При этом расширение сообщало, что "Заблокированных элементов: 0"…
1) Любой сотрудник компании, имеющий доступ к серверам баз данных, делает выборку по таблицам с СМС сообщениям, где в условии выборки ставит «от кого — номер 900» и «текст СМС содержит слово БАЛАНС».
2) выборка обрабатывается, и сливаются все номера с паспортными данными абонентов, которые имеют большой баланс на картах с подключенным мобильным банком.
3) мошенник в фотошопе рисует липовую доверенность, заверенную липовым нотариусом
4) далее мошенник идет в центр обслуживания, где заявляет об утере СИМ. Ему ее восстанавливают. Т.к. ID сим-карты меняется, то реального владельца выбивает из сети, а мошенник, имея в руках номер жертвы, может воспользоваться мобильным банком, проходить двухфакторные авторизации на различных сервисах и т.д.
Вопрос: Как Вы обеспечиваете безопасность абонентов в данном случае? Как проверяется липовый бланк, и проверяется ли вообще? Сотрудник звонит в нотариус по номеру, который указан на липовом бланке, или же сам ищет контакты данной организации в интернете? Можно ли добавить в Личный Кабинет опцию, что мой номер могу восстановить только я и только по оригиналу паспорта? Прозванивается ли «утерянный» номер, прежде чем его ID перебьют в системе?
Ответ службы поддержки ТЕЛЕ2
Действительно, в последнее время отмечены случаи использования мошенниками поддельных доверенностей для получения доступа к номерам и сервисам абонентов. В частности, по поддельным доверенностям мошенникам удавалось получать дубликаты SIM-карт в центрах обслуживания мобильных операторов, что создавало условия для несанкционированного перевода средств с лицевого счета.
Для противодействия такого рода мошенничеству Tele2 разработала простой сервис, позволяющий абонентам обезопасить себя (доступен с 13.10.2015 г.).
Достаточно самостоятельно со своего номера телефона набрать команду *156*2# и для данного номера будет включен запрет на выполнение операций обслуживания по доверенности.
При необходимости отмены установленного запрета, владелец номера со своим паспортом может обратиться в любой из центров обслуживания Tele2.
Итог:
Мы с разрабами уже все разрулили, сесурити на высоте, юзайте Теледрова.
Большинство фреймворков платные для коммерческого использования. Потом решили использовать NHibernate — тихий ужас. Кривой, маппинг надо писать в ручную… Спецификация скудная, на русском мало чего есть. А тут сгенерировал, читай msdn да шлепай запросы.
4 месяца назад мы внедрили на сайт систему срочного информирования заказчиков. Каждые 10 минут клиент обращался к серверу, проверяя наличие оповещений, и при новом сообщении клиенту выскакивало окно с оповещением. Ничто не предвещало беды, но в поддержку посыпались десятки жалоб на "фантомное окно, которое невозможно закрыть". Начался глубокий анализ. Сначала грешили на кеш. Переименовали скрипты, в контроллер добавили десяток проверок на наличие контента, большинство логики переехало с JS в контроллер, сам JS переписывался раз 5, но проблема продолжалась.
В общем БЛА БЛА БЛА, факт в том, расширение Adguard косило все элементы, в которых был класс, содержащий слово "informer". При этом расширение сообщало, что "Заблокированных элементов: 0"…
4 месяца, Карл!
1) Любой сотрудник компании, имеющий доступ к серверам баз данных, делает выборку по таблицам с СМС сообщениям, где в условии выборки ставит «от кого — номер 900» и «текст СМС содержит слово БАЛАНС».
2) выборка обрабатывается, и сливаются все номера с паспортными данными абонентов, которые имеют большой баланс на картах с подключенным мобильным банком.
3) мошенник в фотошопе рисует липовую доверенность, заверенную липовым нотариусом
4) далее мошенник идет в центр обслуживания, где заявляет об утере СИМ. Ему ее восстанавливают. Т.к. ID сим-карты меняется, то реального владельца выбивает из сети, а мошенник, имея в руках номер жертвы, может воспользоваться мобильным банком, проходить двухфакторные авторизации на различных сервисах и т.д.
Вопрос: Как Вы обеспечиваете безопасность абонентов в данном случае? Как проверяется липовый бланк, и проверяется ли вообще? Сотрудник звонит в нотариус по номеру, который указан на липовом бланке, или же сам ищет контакты данной организации в интернете? Можно ли добавить в Личный Кабинет опцию, что мой номер могу восстановить только я и только по оригиналу паспорта? Прозванивается ли «утерянный» номер, прежде чем его ID перебьют в системе?
Для противодействия такого рода мошенничеству Tele2 разработала простой сервис, позволяющий абонентам обезопасить себя (доступен с 13.10.2015 г.).
Достаточно самостоятельно со своего номера телефона набрать команду *156*2# и для данного номера будет включен запрет на выполнение операций обслуживания по доверенности.
При необходимости отмены установленного запрета, владелец номера со своим паспортом может обратиться в любой из центров обслуживания Tele2.