Им не лень, им до вас нет никакого дела. И до всех ваших соседей. Как и любой крупной организации с неповоротливой бюрократией. Плюс или минус 800 человек для них это вообще ни о чем. Увы и ах.
В принципе это около нормальная практика, если не одно но. С некоторых пор номера карт превратились в данные для входа в интернет-банк. Номер карты это почти публичная информация, его можно засветить не только в банке, но и в любом магазине например. Поэтому проблема здесь не в том, что карты без конвертов, а в том, что по какой-то невероятной причине по номеру карты стало возможным логиниться в интернет-банк.
"Ничего не понимаю, но осуждаю". Сим карта легко выпускается по поддельным документам (доверенность или форма 2п). И сделать с этим почти ничего нельзя. Можно "запретить" перевыпуск по доверенности, но никаких юридических последствий для опсоса это не несет. Может поможет, а может нет. Есть простые проверенные временем средства для 2fa, которые раньше были довольно распространены. Почему сейчас этого нет даже в виде платной доп. услуги – большая загадка.
> глаз, палец, голос, паспорт, телефон
Ничего из перечисленного не должно быть средством для удаленной идентификации для критичных операций.
Неприятная ситуация, но не критичная. Деньги то у вас не украли. Если у вас там какой-то недоброжелатель, который сделает это повторно, ну тогда видимо придется завести отдельный номер для банка.
По какому, остальному? Вот здесь и на других ресурсах про такое пишут неоднократно, я сам лично сталкивался. Судебные дела есть и они в публичном доступе. Если у 9 бабушек украдут по 10 тыс, а у одного человека 500 тыс – стоит или нет на эту проблему обращать внимание? Вы говорите про "процент кражи денег" – не понятно о чем идет речь, кол-во случаев или кол-во денег? И если последнее – кто и где это считает? По истеричным комментариям это посчитать невозможно. Вообще для меня интереснее даже сам факт наличия такой уязвимости, в том числе как иллюстрация того, насколько банкам плевать на безопасность.
upd. Забыл еще важный момент. Если такой "редкий" случай все же случается, вернуть деньги очень сложно, судебные дела могут длиться годами. Потому что опсос никак с банком не связан и по сути ни за что не отвечает.
Когда-то давно, вероятно так и было. По крайней мере, входа по номеру карты точно не было. Потом пришли маркетологи и все стало сильно упрощаться. Но даже без этого, если рассматривать смс только как способ подтверждения операций, все равно это не очень хорошо.
Честно говоря, появление таких статей на хабре немного удивляет. Вроде как люди работают с данными и должны понимать базовые основы безопасности. Но в любом случае спасибо автору, что еще раз поднимает эту тему.
Проблема, о которой идет речь в статье, была очевидна еще лет 10 назад, когда эта свистопляска с смс только начала появляться. Как тогда, так и сейчас, основной вектор атак это человеческий фактор (соц. инженерия). Использование в качестве авторизации механизма, в котором потенциально задействованы тысячи и тысячи сотрудников салонов связи, это очень плохая идея. Тем более, что салоны и опсосы не связаны с банками вообще никак и не несут в случае чего никакой юридической ответственности (на самом деле несут, но это отдельная сложная тема).
сейчас установите на сим-карту пароль
Бесполезно, восстанавливается очень легко.
зайдите в офис своего мобильного оператора и заблокируйте переоформление сим-карты по доверенности
Полезно, но эффективность неопределенная. Юридически никаких последствий это действие не несет, бумагу вам, что такой запрет стоит никто не даст. Если попытаются поменять симку по левым документам (доверенность или справка 2п), могут просто "не заметить", что у вас там какой-то запрет стоит.
В целом согласен с автором, что защита совсем беда. Я бы даже сказал, что ее вообще нет. Ну, для сумм, которые жалко потерять. А если терять нечего, то сойдет и так.
Подмена симки отчасти это и есть социнженерия. Нужно договориться с оператором в салоне связи. С учетом того, сколько этих операторов по всей стране – не сильно сложная задача.
Откуда данные про то, что процент подмены симки мал? На деле это гадание на кофейной гуще. Такие случаи происходят, а статистику никто не ведет. Тем более, что нужно считать не только кол-во случаев, но и кол-во украденных средств. Кодовое слово утекает прекрасно вместе с остальными данными.
Звонок ничего не решает, для подтверждения смены сим требуется публичная информация (например номер паспорта). Сейчас некоторые банки вроде начинают требовать подтверждать смену сим в офисе, но раньше этого не было совсем.
Ну это уже демагогия. Тогда можно порассуждать об умирании русской деревни и спасении сел с парой жителей. А также, за чей счет этот банкет организовать.
Я возможно ошибся с терминами. Имелась в виду любая IP телефония через мобильного оператора. Если у вас можно звонить с улицы, то получить 3g нет никаких проблем просто с помощью внешней антенны. С правильным подходом и 4g возможно. Думаю и для gsm звонков актуально то же самое, но я такое не пробовал.
Вы кажется не поняли мой комментарий от слова совсем) Речь шла о том, что связи нормальной нет по той же причине, что и удобств, которые являются обыденностью в городе. И на мой взгляд странно ждать, что она везде будет хорошая.
Если посмотреть на это с другой стороны, то в селе в целом жизнь сложнее и дороже. Канализации нет, водопровода часто тоже нет. Хорошо если есть газ, иначе еще и дрова каждый день таскай в дом. Все делай сам и главное – обслуживай. Странно, что люди не просят скважину на каждом участке раскопать за счет государства. Сейчас SIP сделать можно наверное уже почти везде. Обычную связь, ну не сложнее чем все остальное (канализацию и водопровод).
Вангую, в Судаке бы вас кондражка хватила. Феодосия на его фоне просто рай на Земле.
звоните оператору, называете фио, вам выдают puk для сброса pin
Им не лень, им до вас нет никакого дела. И до всех ваших соседей. Как и любой крупной организации с неповоротливой бюрократией. Плюс или минус 800 человек для них это вообще ни о чем. Увы и ах.
В принципе это около нормальная практика, если не одно но. С некоторых пор номера карт превратились в данные для входа в интернет-банк. Номер карты это почти публичная информация, его можно засветить не только в банке, но и в любом магазине например. Поэтому проблема здесь не в том, что карты без конвертов, а в том, что по какой-то невероятной причине по номеру карты стало возможным логиниться в интернет-банк.
"Ничего не понимаю, но осуждаю". Сим карта легко выпускается по поддельным документам (доверенность или форма 2п). И сделать с этим почти ничего нельзя. Можно "запретить" перевыпуск по доверенности, но никаких юридических последствий для опсоса это не несет. Может поможет, а может нет. Есть простые проверенные временем средства для 2fa, которые раньше были довольно распространены. Почему сейчас этого нет даже в виде платной доп. услуги – большая загадка.
> глаз, палец, голос, паспорт, телефон
Ничего из перечисленного не должно быть средством для удаленной идентификации для критичных операций.
Неприятная ситуация, но не критичная. Деньги то у вас не украли. Если у вас там какой-то недоброжелатель, который сделает это повторно, ну тогда видимо придется завести отдельный номер для банка.
По какому, остальному? Вот здесь и на других ресурсах про такое пишут неоднократно, я сам лично сталкивался. Судебные дела есть и они в публичном доступе. Если у 9 бабушек украдут по 10 тыс, а у одного человека 500 тыс – стоит или нет на эту проблему обращать внимание? Вы говорите про "процент кражи денег" – не понятно о чем идет речь, кол-во случаев или кол-во денег? И если последнее – кто и где это считает? По истеричным комментариям это посчитать невозможно. Вообще для меня интереснее даже сам факт наличия такой уязвимости, в том числе как иллюстрация того, насколько банкам плевать на безопасность.
upd. Забыл еще важный момент. Если такой "редкий" случай все же случается, вернуть деньги очень сложно, судебные дела могут длиться годами. Потому что опсос никак с банком не связан и по сути ни за что не отвечает.
Когда-то давно, вероятно так и было. По крайней мере, входа по номеру карты точно не было. Потом пришли маркетологи и все стало сильно упрощаться. Но даже без этого, если рассматривать смс только как способ подтверждения операций, все равно это не очень хорошо.
Честно говоря, появление таких статей на хабре немного удивляет. Вроде как люди работают с данными и должны понимать базовые основы безопасности. Но в любом случае спасибо автору, что еще раз поднимает эту тему.
Проблема, о которой идет речь в статье, была очевидна еще лет 10 назад, когда эта свистопляска с смс только начала появляться. Как тогда, так и сейчас, основной вектор атак это человеческий фактор (соц. инженерия). Использование в качестве авторизации механизма, в котором потенциально задействованы тысячи и тысячи сотрудников салонов связи, это очень плохая идея. Тем более, что салоны и опсосы не связаны с банками вообще никак и не несут в случае чего никакой юридической ответственности (на самом деле несут, но это отдельная сложная тема).
Бесполезно, восстанавливается очень легко.
Полезно, но эффективность неопределенная. Юридически никаких последствий это действие не несет, бумагу вам, что такой запрет стоит никто не даст. Если попытаются поменять симку по левым документам (доверенность или справка 2п), могут просто "не заметить", что у вас там какой-то запрет стоит.
В целом согласен с автором, что защита совсем беда. Я бы даже сказал, что ее вообще нет. Ну, для сумм, которые жалко потерять. А если терять нечего, то сойдет и так.
Подмена симки отчасти это и есть социнженерия. Нужно договориться с оператором в салоне связи. С учетом того, сколько этих операторов по всей стране – не сильно сложная задача.
Откуда данные про то, что процент подмены симки мал? На деле это гадание на кофейной гуще. Такие случаи происходят, а статистику никто не ведет. Тем более, что нужно считать не только кол-во случаев, но и кол-во украденных средств. Кодовое слово утекает прекрасно вместе с остальными данными.
Звонок ничего не решает, для подтверждения смены сим требуется публичная информация (например номер паспорта). Сейчас некоторые банки вроде начинают требовать подтверждать смену сим в офисе, но раньше этого не было совсем.
Ну это уже демагогия. Тогда можно порассуждать об умирании русской деревни и спасении сел с парой жителей. А также, за чей счет этот банкет организовать.
Я возможно ошибся с терминами. Имелась в виду любая IP телефония через мобильного оператора. Если у вас можно звонить с улицы, то получить 3g нет никаких проблем просто с помощью внешней антенны. С правильным подходом и 4g возможно. Думаю и для gsm звонков актуально то же самое, но я такое не пробовал.
Вы кажется не поняли мой комментарий от слова совсем) Речь шла о том, что связи нормальной нет по той же причине, что и удобств, которые являются обыденностью в городе. И на мой взгляд странно ждать, что она везде будет хорошая.
Если посмотреть на это с другой стороны, то в селе в целом жизнь сложнее и дороже. Канализации нет, водопровода часто тоже нет. Хорошо если есть газ, иначе еще и дрова каждый день таскай в дом. Все делай сам и главное – обслуживай. Странно, что люди не просят скважину на каждом участке раскопать за счет государства. Сейчас SIP сделать можно наверное уже почти везде. Обычную связь, ну не сложнее чем все остальное (канализацию и водопровод).
через puk, через оператора
Он сбрасывается элементарно
УКЭП в сим карте – вот это конечно полная жесть. Как до этого додумались вообще?
Пин на сим сбрасывается элементарно.