У нас стоят системы, которые при пожаре сперва отключают замок, а потом открывают дверь. Но это сделано не из-за цены, а из-за того, что эта штука тянет дверь с такой силой, что выламывает и замок и дверь.
А если говорить про устройство из статьи, то в большинство современных считывателей оно просто не влезает и скрытого сбора не получится.
Скорее только те, кто карточку используют не попадаются. Там доступ именно по ЭЦП. Так-то ридер и к телефону подключить можно. Остальные варианты проще и доступнее. Ну и атака обычно рассчитана на тех, кто пользует приложение или MobilID
Я вам сейчас про нашу систему, которая есть. И она не очень помогает, даже с учётом ЭЦП. А не помогает она именно потому, что её упростили для удобства. Да, это не просто код из смс, это код который нужно подтвердить кодом. Это удобно. Но в плане мошенников - уязвимо точно так же, как код из смс
Если у вас мобильное приложение банка и вам нужно сделать перевод с подписью пин2, и вы хотите сделать это на телефоне, без компьютера - то что-то сосканировать или быть рядом с компом сложно. Я сейчас про повседневное использование. Поэтому и получился разброс от ЭЦП до "смс кодов". В оправдание - раньше Европа не сталкивалась с таким количеством финансового мошенничества. Может чуть позже что-то придумают. Но сейчас, то что существует - реально удобно. Просто надо быть внимательнее.
Ну в плане онлайн услуг это сложнее сделать. Поэтому упрощают. Вот я и писал, что надёжнее карта в ридере. Там, как раз, авторизация идёт именно по эцп. Но с учётом того, что даже в мобильном банке перевод нужно подтверждать с помощью пин2 - люди выбирают удобство в плане делегирования этих функций приложению на телефоне. Отсюда и мой первоначальный посыл на тему, что ID карта нифига не помогает в реальной жизни.
Только обычно достаточно одного личного кода. Который тоже пытаются узнать во время звонка и сразу вводят на сайте. После чего пользователя просят подтвердить действие своим пином1 или пином2
Я же говорю, разводят человека, что бы он ввёл. Не важно откуда запрос, если вы ввели личный код для входа, то приложение уведомит вас об этом и попросит подтвердить пином. Самый безопасный способ это карта в ридере. Всё остальное так упростили, что похоже на смс от банка 🤣
Сама ЭЦП хранится на ID карте. Для нее есть пинкоды.
Но вы можете делегировать право подписи официальному приложению и задать там свои пинкоды или мобильному оператору со специальной симкартой.
Если подписать документ ID картой через ридер, то вам нужны: карта в ридере, личный код и пины.
Если через приложение, то личный код, код проверки и пины.
Если через мобильный, то личный код, номер телефона, код проверки и пины. Как-то так.
Код проверки показывает приложение, куда вы хотите войти, вам нужно сравнить его и подписать введя нужный пинкод. Когда мошенники авторизуются на сайте им нужно чтобы вы ввели пинкод, на это и разводят. Но в самом начале они и личного кода не знают, а выпытывают во время звонка. Ну её готова была Европа к набегу таких деятелей
Прошу простить, но выше я уже писал про ID карту и личный код, а так же, про варианты подписи. В текущей реальности с ID картой мошеннику нужно от вас 2 вещи: 1. Личный код и чтобы вы подтвердили пин и судя по новостям и суммам - это так же просто делается, как и код из смс.
Ну так ответ то был на то, что не могут заменить телефон ID картами. В плане удобства - нужен инет. В плане мошенничества - ничем от телефона не отличается.
Я выше писал про способы подписи и входа. Один из них это MobilID. Там реально используется симка. Но проблема, которую я имел ввиду, в том, что вся это безопасность идёт лесом, когда люди сами вводят пины, при звонке мошенников.
Там вопрос в том, что для входа нужен пин1 - 4 символа, а для подписи на более важные вещи пин2 - 8 и более символов. Плюс там сертификаты ЭЦП. В РФ пытались в свое время сделать единую карту Петербуржца - жаль проект не взлетел.
Я больше 7 лет не был в РФ, мой российский номер давно не активен. Но это не помешало кому-то оформить на меня кредит в микрозаймах года три назад. Я до сих пор разбираюсь с судебным приставом и судами, что не брал 15к рублей на карту, что мне не принадлежала никогда.
У меня там была рублевая и евровая карта. Евровую я оставлял жене в Европе, а сам рублёвой платил в РФ. Но евровая была в Gpay. И как-то не смущало банк то, что я мог оплатить почти одновременно в РФ и Европе. Даже если в РФ оплата была евровой картой через Gpay.
У нас стоят системы, которые при пожаре сперва отключают замок, а потом открывают дверь. Но это сделано не из-за цены, а из-за того, что эта штука тянет дверь с такой силой, что выламывает и замок и дверь.
А если говорить про устройство из статьи, то в большинство современных считывателей оно просто не влезает и скрытого сбора не получится.
Ну если вы тут собираетесь теории заговора обсуждать, то не со мной.
Скорее только те, кто карточку используют не попадаются. Там доступ именно по ЭЦП. Так-то ридер и к телефону подключить можно. Остальные варианты проще и доступнее. Ну и атака обычно рассчитана на тех, кто пользует приложение или MobilID
Я вам сейчас про нашу систему, которая есть. И она не очень помогает, даже с учётом ЭЦП. А не помогает она именно потому, что её упростили для удобства. Да, это не просто код из смс, это код который нужно подтвердить кодом. Это удобно. Но в плане мошенников - уязвимо точно так же, как код из смс
Если у вас мобильное приложение банка и вам нужно сделать перевод с подписью пин2, и вы хотите сделать это на телефоне, без компьютера - то что-то сосканировать или быть рядом с компом сложно. Я сейчас про повседневное использование. Поэтому и получился разброс от ЭЦП до "смс кодов". В оправдание - раньше Европа не сталкивалась с таким количеством финансового мошенничества. Может чуть позже что-то придумают. Но сейчас, то что существует - реально удобно. Просто надо быть внимательнее.
Ну в плане онлайн услуг это сложнее сделать. Поэтому упрощают. Вот я и писал, что надёжнее карта в ридере. Там, как раз, авторизация идёт именно по эцп. Но с учётом того, что даже в мобильном банке перевод нужно подтверждать с помощью пин2 - люди выбирают удобство в плане делегирования этих функций приложению на телефоне. Отсюда и мой первоначальный посыл на тему, что ID карта нифига не помогает в реальной жизни.
Примерно так: https://youtu.be/9DUxWGy2Ci4?si=d4WxSG-AfuZvX5mW
Только обычно достаточно одного личного кода. Который тоже пытаются узнать во время звонка и сразу вводят на сайте. После чего пользователя просят подтвердить действие своим пином1 или пином2
Я же говорю, разводят человека, что бы он ввёл. Не важно откуда запрос, если вы ввели личный код для входа, то приложение уведомит вас об этом и попросит подтвердить пином. Самый безопасный способ это карта в ридере. Всё остальное так упростили, что похоже на смс от банка 🤣
Сама ЭЦП хранится на ID карте. Для нее есть пинкоды.
Но вы можете делегировать право подписи официальному приложению и задать там свои пинкоды или мобильному оператору со специальной симкартой.
Если подписать документ ID картой через ридер, то вам нужны: карта в ридере, личный код и пины.
Если через приложение, то личный код, код проверки и пины.
Если через мобильный, то личный код, номер телефона, код проверки и пины. Как-то так.
Код проверки показывает приложение, куда вы хотите войти, вам нужно сравнить его и подписать введя нужный пинкод. Когда мошенники авторизуются на сайте им нужно чтобы вы ввели пинкод, на это и разводят. Но в самом начале они и личного кода не знают, а выпытывают во время звонка. Ну её готова была Европа к набегу таких деятелей
https://habr.com/ru/articles/888708/comments/#comment_28016322
По ссылке более подробно, если что-то будет не понятно - попытаюсь объяснить
Я не считаю вас за кого-то, я виду, что пишет ТГ при авторизации
Прошу простить, но выше я уже писал про ID карту и личный код, а так же, про варианты подписи. В текущей реальности с ID картой мошеннику нужно от вас 2 вещи: 1. Личный код и чтобы вы подтвердили пин и судя по новостям и суммам - это так же просто делается, как и код из смс.
Ну так ответ то был на то, что не могут заменить телефон ID картами. В плане удобства - нужен инет. В плане мошенничества - ничем от телефона не отличается.
Я выше писал про способы подписи и входа. Один из них это MobilID. Там реально используется симка. Но проблема, которую я имел ввиду, в том, что вся это безопасность идёт лесом, когда люди сами вводят пины, при звонке мошенников.
Там вопрос в том, что для входа нужен пин1 - 4 символа, а для подписи на более важные вещи пин2 - 8 и более символов. Плюс там сертификаты ЭЦП. В РФ пытались в свое время сделать единую карту Петербуржца - жаль проект не взлетел.
Поверьте, с ID картами тоже не все так хорошо. В плане мошенничества.
У ТГ есть ссылка прислать смс, вместо ТГ...
А где эти регуляторы есть, когда народ обчищают?
Я больше 7 лет не был в РФ, мой российский номер давно не активен. Но это не помешало кому-то оформить на меня кредит в микрозаймах года три назад. Я до сих пор разбираюсь с судебным приставом и судами, что не брал 15к рублей на карту, что мне не принадлежала никогда.
У меня был прикол с бывшим Тинкофф Банком.
У меня там была рублевая и евровая карта. Евровую я оставлял жене в Европе, а сам рублёвой платил в РФ. Но евровая была в Gpay. И как-то не смущало банк то, что я мог оплатить почти одновременно в РФ и Европе. Даже если в РФ оплата была евровой картой через Gpay.
И страны в ЛК я не указывал.
Если помните, был такой Рокет банк.
По его евровой карте снимал и оплачивал за день свыше 10к евро. Никаких вопросов не возникло.
Сейчас у меня европейский банк, в конце прошлого года покупали машину за наличку. Снимали больше 10к евро - вопросов не возникло.
Так что не нужно про любую страну...