Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 90
Включите двухфакторную авторизацию. vk.com/page-59800369_47885415
Тогда будет восстановление через email, а не телефон.
А email возьмите Google тоже с двухфакторной.
Тогда будет восстановление через email, а не телефон.
А email возьмите Google тоже с двухфакторной.
Для захода во ВК нужно:
— пароль
— код с СМС или Google Authenticator.
Для восстановления нужно:
— доступ от почты
Такие данные тяжело получить одновременно.
С другой стороны, я везде включил двухфакторку и отключил мобильный банк.
— пароль
— код с СМС или Google Authenticator.
Для восстановления нужно:
— доступ от почты
Такие данные тяжело получить одновременно.
С другой стороны, я везде включил двухфакторку и отключил мобильный банк.
Это не так, если к странице привязан номер телефона то когда приходит письмо для восстановления пароля на email после перехода по ссылке и установления нового пароля требуется принятие SMS на привязанный номер.
От меня точно так же уезжала моя страница, был привязан неиспользуемый номер. Всё это случилось буквально на днях, благо есть знакомые в силовых структурах и мы уже через несколько дней нанесли визит вежливости туда, откуда безобразничали.
Служба поддержки ВКонтакте оказалась просто замечательной и за сутки переписки мне отвязали старый номер от страницы и привязали текущий, на который кстати, как оказалось, когда-то в прошлом уже ТОЖЕ была зарегистрирована чья-то страница.
ps. и, кстати, писал я в службу поддержки со страницы друга, в качестве подтверждения приложил фото паспорта крупным планом, плюс своё фото на фоне этой страницы с вопросом, плюс скриншот и данные для входа в личный кабинет билайна где так же значились мои ФИО. Вообщем был очень приятно удивлён тем что кто-то там, на другой стороне, уделил время на ответы в моё обращение (которое передавали на уровень выше как я понял из того что там другой агент отметился).
От меня точно так же уезжала моя страница, был привязан неиспользуемый номер. Всё это случилось буквально на днях, благо есть знакомые в силовых структурах и мы уже через несколько дней нанесли визит вежливости туда, откуда безобразничали.
Служба поддержки ВКонтакте оказалась просто замечательной и за сутки переписки мне отвязали старый номер от страницы и привязали текущий, на который кстати, как оказалось, когда-то в прошлом уже ТОЖЕ была зарегистрирована чья-то страница.
ps. и, кстати, писал я в службу поддержки со страницы друга, в качестве подтверждения приложил фото паспорта крупным планом, плюс своё фото на фоне этой страницы с вопросом, плюс скриншот и данные для входа в личный кабинет билайна где так же значились мои ФИО. Вообщем был очень приятно удивлён тем что кто-то там, на другой стороне, уделил время на ответы в моё обращение (которое передавали на уровень выше как я понял из того что там другой агент отметился).
Спасибо, жаль наводку не дали в службе поддержки. Однако настроить двухфакторную авторизацию через Google Authenticator я не смог — вконтакте не хочет принимать коды из него после сканирования штрихкода.
двухфакторную аутентификацию можно обойти при наличии симки. когда запрашивает код, можно нажать «Проблемы с получением кода» и далее выбрать резервный вариант проверки — отправку СМС на привязанный номер.
Очень всё поспешно. Дождались бы результатов следствия. Если это действительно дубликат сим-карты, то установить будет не сложно. Оператор установит где, кем и когда был выдан данный дубликат, а далее уже будет вопрос к оператору/центру выдачи. Они и будут отвечать/компенсировать. Единственное, скорее всего придётся судится.
Надо посмотреть на Банки.ру, сколько подобных случаев было и чем всё это заканчивалось. Что касается не финансовых аккаунтов, то e-mail тоже не вершина надёжности, мои и моих товарищей взламывали. Теперь у меня стоят сложные пороли, вопросы с двухфакторной аутентификацией.
Надо посмотреть на Банки.ру, сколько подобных случаев было и чем всё это заканчивалось. Что касается не финансовых аккаунтов, то e-mail тоже не вершина надёжности, мои и моих товарищей взламывали. Теперь у меня стоят сложные пороли, вопросы с двухфакторной аутентификацией.
Вспомнился случай: На новый год покупал маме телефон в МТС. Я сказал, что у ней уже есть номер и симка от МТС, но она full-size, в новый телефон не войдет. Мне сказали — проблем нет, спросили её ФИО, номер и выдали новую микро-сим (со старым номером). Никаких документов я не показывал.
Они в МТС странные.
В КрымНашем купил симку вообще без паспорта. Так и валяется нераспечатанной — не пригодилась.
Зато, на материке отказались подключать на корпоративный договор новый номер без распечатанного на лазерном принтере приказа о назначении генерального директора, хотя оный гендир (я), стоял перед ними с паспортом, печатью и рукописным приказом (потому что лазерного принтера с собой не ношу, а приказ, как внутренний документ компании, имеет форму, устанавливаемую руководителем субъекта экономической деятельности, т.е. мной, а значит, его можно писать хоть карандашом на туалетной бумаге).
Потом, конечно, я добился от компании извинений и признания их действий неправомерными. Но осадочек остался :)
В КрымНашем купил симку вообще без паспорта. Так и валяется нераспечатанной — не пригодилась.
Зато, на материке отказались подключать на корпоративный договор новый номер без распечатанного на лазерном принтере приказа о назначении генерального директора, хотя оный гендир (я), стоял перед ними с паспортом, печатью и рукописным приказом (потому что лазерного принтера с собой не ношу, а приказ, как внутренний документ компании, имеет форму, устанавливаемую руководителем субъекта экономической деятельности, т.е. мной, а значит, его можно писать хоть карандашом на туалетной бумаге).
Потом, конечно, я добился от компании извинений и признания их действий неправомерными. Но осадочек остался :)
А как можно установить какие-топорядки, если до написания приказа как бы и не являетесь директором? После — да, можете распоряжаться а ДО приказа — под вопросом.
До этого приказа может быть еще приказ — организация не первый день существует. Это скорее приказ о продлении полномочий. Зачем МТС этот приказ, который по сути Филькина грамота — уже другой вопрос. Есть же ЕГРЮЛ, который не подделаешь, и выписку оттуда любой может получить за минуту.
«Приказа о назначении ген. дира» вообще в природе быть не может. Может быть решение учредителей или учредителя о назначении на должность генерального директора — полномочия на выбор исполнительного органа могут принадлежать только владельцам. Ни текущий, ни бывший директор не может назначить себя или кого-либо ещё на свою должность.
При активации дубликата изменяется ICCID сим карты и вроде IMSI (который доступен по HLR https://smsc.ru/testhlr/) запросу.
Некоторые банки проверяют также и некий код, перед отправкой смс, и, если был активирован дубликат, просят подтвердить это.
Некоторые банки проверяют также и некий код, перед отправкой смс, и, если был активирован дубликат, просят подтвердить это.
Я тоже на это надеялся и года 4 назад в Альфабанке все так и было после смены симкарты разблокировал мобилтный банк через поддержку называя кодовое слово и еще какую-то информацию спрашивали. А неделю назад менял симкарту на том же номере и каких-то проблем или ограничений это не вызвало. Наверное в Альфабанке есть для этого какая-то дополнительная услуга.
платежи проводили? у альфы обычно вход в альфаклик не вызывает вопросов, а вот уже получить платежный код по смс — не получается.
Да, деньги приходят, уходят. Сообщения с одноразовыми паролями как приходили так и приходят. Никто ни о чем не спрашивает.
Много времени прошло? У меня как-то месяц на реакцию требовался. Операций напроводил, а потом через месяц какую-то заблокировали по причине смены симкарты.
Симкарту попросят активировать при получении смс-кода подтверждения, когда соберетесь сделать какой-нибудь перевод. По крайней мере у меня так было — менял симку в августе. Перед этим неделю успешно заходил в альфаклик с новой симкой.
То есть — если я правильно понимаю — нормальные организации и сервисы (а банки так особенно), использующие мобильную связь как дополнительный фактор аутентификации, по-хорошему должны каждый раз при каком-либо подтверждении со стороны пользователя делать HLR-запрос, проверяя IMSI? И при изменении оного блокировать операции? Если HLR-запрос решает проблему, то это просто отлично, осталось только донести до всех, что это делать надо, особенно пока сами ОпСоСы пока потакают мошенничеству.
ВК вообще очень параноидально относится к наличию номера телефона.
Когда появилось это требование, я полтора года не привязывал телефон и вводил капчу по мере необходимости.
Сейчас, к счастью, есть возможность привязать иностранную SIM.
Когда появилось это требование, я полтора года не привязывал телефон и вводил капчу по мере необходимости.
Сейчас, к счастью, есть возможность привязать иностранную SIM.
Если бы все было так просто, VK до сих пор не дает мне привязать мой текущий номер в США. Ответ техподдержки:
и:
Вероятнее всего, номер является виртуальным. Виртуальные номера привязывать нельзя.
и:
Значит, Ваш оператор наравне с настоящими (который у Вас) продают виртуальные, но с тем же префиксом. Из-за того, что нет возможности их различать, нам приходится блокировать весь префикс. К сожалению, с этим ничего не сделать.
Самое главное — я не очень понимаю, зачем им нужен номер телефона.
Который вполне может оказаться настоящим, но заброшенным, например.
Который вполне может оказаться настоящим, но заброшенным, например.
Более того, номер может быть выдан другому лицу совершенно легально, если давно не использовался. И новый владелец может неожиданно получить доступ к странице вконтакте.
Только если он будет знать реквизиты вашей страницы, т.е. охотится на номер телефона целенаправленно либо где-то случайно найдет привязку номер-логин.
Так я однажды и получил к новой симке бонусом страницу в вк — при регистрации нового аккаунта на этот номер вк сказал, что страница на него уже зарегана и предложил ее отвязать от этого номера, что я незамедлительно и сделал.
Пугает то, что не уверен в добросовестности всех людей, получающих к симкам аккаунты бонусом… Так параноиком и становишься
Пугает то, что не уверен в добросовестности всех людей, получающих к симкам аккаунты бонусом… Так параноиком и становишься
Им не столько нужно узнать ваш номер, сколько убедиться что вы — не спамер.
Номер отвязать можно, алгоритм следующий:
1) заводим новую страницу и привязываем к ней ваш телефонный номер
2) свежезаведённую станицу удаляем
будет предупреждение, что номер уже привязан, но это не страшно предложат подтвердить через смс
на этом всё, наслаждаемся капчей при вводе сообщений.
1) заводим новую страницу и привязываем к ней ваш телефонный номер
2) свежезаведённую станицу удаляем
будет предупреждение, что номер уже привязан, но это не страшно предложат подтвердить через смс
на этом всё, наслаждаемся капчей при вводе сообщений.
К новой привяжется, а от старой отвяжется?
да, проверено, перечитайте ответы саппорта в топике
Проверено — или перечитать ответы саппорта? Потому если проверено, то это ж нифигасебе какой баг, а если ответы саппорта в топике, то там про такое ни слова.
Проверено на практике, это работает.
Прочтите первый ответ саппорта:
Прочтите первый ответ саппорта:
Отвязать номер можно только путём полного удаления страницы, либо путём привязки другого номера. В чём вы здесь видите баг? Это использование двух стандартных позможностей — перепривязка номера к другой странце и удаление его при удалении страницы.
Привязка номера к другому аккаунту — это все же не привязка другого номера к аккаунту…
А удаление номера из первого аккаунта при удалении второго аккаунта — IMHO, самый настоящий баг.
А удаление номера из первого аккаунта при удалении второго аккаунта — IMHO, самый настоящий баг.
Вообще перед тем как писать, стоит попробовать хоть немного понять о чём вы пишете,
И с удалением новой страницы к которой вы перепривязали номер вместе с ней удаляется и он.
А удаление номера из первого аккаунта при удалении второго аккаунта — IMHO, самый настоящий баг.Номер из первого аккаунта удаляется когда вы перепривязываете его к новой странице, с подтверждением того, что вы владелец номера через sms замечу.
И с удалением новой страницы к которой вы перепривязали номер вместе с ней удаляется и он.
Попробовал создать новую учётку со своим номером.
Сообщают: «Этот номер уже привязан к другой учётной записи», и не дают создать.
Теперь пробую создать с другим номером, и потом привязать старый (это дадут сделать через сутки)
Сообщают: «Этот номер уже привязан к другой учётной записи», и не дают создать.
Теперь пробую создать с другим номером, и потом привязать старый (это дадут сделать через сутки)
Нужно больше факторов авторизации!
Хамство общения техподдержки просто потрясает.
После того, как VK отошёл к Mail.Ru Group техподдержка моментально скатилась до уровня «Нет потому, что нет. Не нравится, проваливайте.»
Я недавно поменял симку с мегафона на мтс с сохранением номера. Сбербанк замены симки не заметил. Значит через мобильный банк можно увести все деньги с карты. Надо отключать мобильный банк.
В нормальных странах нормальные банки используют для подтверждения платежей DisplayCard и прочие OTP-генераторы… Но только не в России…
Точнее в России оно тоже встречается, но очень у немногих банков, не продвигается самими банками и не пользуется спросом у клиентов.
Точнее в России оно тоже встречается, но очень у немногих банков, не продвигается самими банками и не пользуется спросом у клиентов.
Альфа потихоньку уже отказывается от смс в пользу USSD. Да и услуга альфа-ключ есть. Правда только для АйОС и Андроид
У ВТБ были некоторое время назад одноразовые пароли на бумаге — секьюрно, но крайне неудобно.Объясните, пожалуйста, что вам в них неудобно было. Я ими пользовался до победного конца, когда уже не заставили перейти на СМС. Они мне крайне нравились.
ОТР могут быть довольно неудобны.
Пользуюсь DisplayCard в европейском банке — все очень удобно.
У ВТБ были некоторое время назад одноразовые пароли на бумаге — секьюрно
Ничего секьюрного, их можно украсть (причем без кражи носителя, т.е. Вы даже об этом не узнаете). Примерно тоже самое, как некоторые банки предлагают «USB-ключи», которые на деле являются не токенами, а обычными флешками с ключевым файлом, который можно скопировать.
Вообще сейчас наблюдается движение как раз от хар\софт токенов в сторону СМСок, потому что это почти так же безопасно в общем случае, но существенно дешевле.
Это где? Не наблюдают такого движения. Ни в Европе, ни в России (в России тот же Авангард стал DisplayCard использовать для випов, а ВТБ24 предлагает OTP-генераторы для всех).
Пользуюсь OРП генераторами для критичных сервисов, регулярно имею проблему с аутентификацией. У части ОРП генераторов, проблемы решаются только службой поддержки!
Упереть карту с ОРП не сложнее чем флешку или бумажку с кодами.
Так что это все равно не панацея, от проблемы.
Упереть карту с ОРП не сложнее чем флешку или бумажку с кодами.
Так что это все равно не панацея, от проблемы.
их можно украсть (причем без кражи носителя, т. е. Вы даже об этом не узнаете)
Носитель — скреч-карта, напечатанная в автомате. Украсть без носителя можно разве что с банковского сервера, но если в банке есть жук, найдётся множество более простых способов изъять деньги.
Просто переписать. Причем карта даже не всегда скретч, иногда просто список кодов, распечатываемый в банкомате.
Конкретно у ВТБ были только скреч-карты. Наверное, существует способ переписать содержимое карты, не вскрывая защитные полосы, но IMHO тут требуется изъять карту на длительное время.
Если же говорите про некий другой банк, называйте его. (Например, у Росбанка коды действительно распечатываются на бумаге.)
Если же говорите про некий другой банк, называйте его. (Например, у Росбанка коды действительно распечатываются на бумаге.)
У ВТБ были некоторое время назад одноразовые пароли на бумаге
На скреч-картах, извините.
Ну хватит уже про нормальные страны и нормальные банки.
А что, ориентироваться на страны третьего мира что ли?
Можете исправить положение с банками? — исправляйте!
Можете создать правильный банк, с правильной безопасностью? — создавайте!
Можете пользовать услугами нормального банка? — пользуйтесь!
Можете рассказать о том, как проблема решена в вашем банке? — рассказывайте!
Но пожалуйста хватит, нормальных стран с нормальными банками!
Везде есть свои плюсы и свои минусы.
Можете создать правильный банк, с правильной безопасностью? — создавайте!
Можете пользовать услугами нормального банка? — пользуйтесь!
Можете рассказать о том, как проблема решена в вашем банке? — рассказывайте!
Но пожалуйста хватит, нормальных стран с нормальными банками!
Везде есть свои плюсы и свои минусы.
как преступники получают информацию о соответствии банковского аккаунта и номера телефона
либо трояном, либо кнопочкой «Не могу войти» в некоторых интернет-банках.
В таких постах хотелось бы больше полезной информации:
* какой оператор
* какой банк
* какие смартфоны, компьютеры и операционные системы использовались для входа в сервис в последнее время
* где указывался номер телефона в последний месяц (например, «перевести сдачу на телефон» в терминале)
* какие меры противодействия принимал пользователь
Тогда можно было бы сделать хоть какие-то выводы, и улучшить свою информационную безопасность (например, никогда не сообщать свой номер телефона сотрудникам салона связи «Развязной» при оплате жкх)
Мне не совсем понятно как преступники получают информацию о соответствии банковского аккаунта и номера телефонаЗаходим в свой «Сбербанк Онлайн» жмем перевод частному лицу по номеру телефона. Вбиваем туда любой номер, и узнаем как зовут владельца, если у него есть карты сбербанка с подключенным мобильным банком. Далее сообщаем этот номер «своему человеку» в отделе обслуживания сотового оператора. Он перевыпускает симку, вставляет ее в телефон и посылает СМС на номер 900 с желаемой суммой. При наличии на привязанной карте такой суммы, она зачисляется на баланс телефона. Далее мобильным переводом деньги уходят на QIWI/Яндекс и т.д. На один номер необходимо не более 10 минут.
ВК как и все экономит на техподдержке, тоже мне новость.
За двухфакторную аутентификацию спасибо.
За двухфакторную аутентификацию спасибо.
Немного о банках и сим-картах.
Недавно обнаружил в приложении Сбербанк-Онлайн под Android новую фичу: можно перевести деньги другому клиенту Сбербанка.
Выбрать адресата можно из телефонной книги аппарата.
Приложение выдаёт список со всеми контактами из телефонной книги и ставит значок Сбербанка около номеров которые привязаны к счёту в банке.
Т.е. получается, я могу узнать, кто из контактов моей записной книги пользуется услугами Сбербанка (и у кого их номер привязан к управлению счётом).
Задача мошенникам упрощается а разы…
Недавно обнаружил в приложении Сбербанк-Онлайн под Android новую фичу: можно перевести деньги другому клиенту Сбербанка.
Выбрать адресата можно из телефонной книги аппарата.
Приложение выдаёт список со всеми контактами из телефонной книги и ставит значок Сбербанка около номеров которые привязаны к счёту в банке.
Т.е. получается, я могу узнать, кто из контактов моей записной книги пользуется услугами Сбербанка (и у кого их номер привязан к управлению счётом).
Задача мошенникам упрощается а разы…
Это и так можно сделать: кнопка «перевод по номеру телефона» в сбер-онлайне. Нужен только номер телефона, а сбер сообщит имя, отчество, первую букву фамилии и последние 4 цифры номера карты.
Есть опция в личном кабинете Сбербанк-Онлайн — «Не отображать меня как клиента Сбербанк в чужих адресных книгах».
Я поступил проще:
Вопрос в службу поддержки ТЕЛЕ2
Новая схема мошенничества:
1) Любой сотрудник компании, имеющий доступ к серверам баз данных, делает выборку по таблицам с СМС сообщениям, где в условии выборки ставит «от кого — номер 900» и «текст СМС содержит слово БАЛАНС».
2) выборка обрабатывается, и сливаются все номера с паспортными данными абонентов, которые имеют большой баланс на картах с подключенным мобильным банком.
3) мошенник в фотошопе рисует липовую доверенность, заверенную липовым нотариусом
4) далее мошенник идет в центр обслуживания, где заявляет об утере СИМ. Ему ее восстанавливают. Т.к. ID сим-карты меняется, то реального владельца выбивает из сети, а мошенник, имея в руках номер жертвы, может воспользоваться мобильным банком, проходить двухфакторные авторизации на различных сервисах и т.д.
Вопрос: Как Вы обеспечиваете безопасность абонентов в данном случае? Как проверяется липовый бланк, и проверяется ли вообще? Сотрудник звонит в нотариус по номеру, который указан на липовом бланке, или же сам ищет контакты данной организации в интернете? Можно ли добавить в Личный Кабинет опцию, что мой номер могу восстановить только я и только по оригиналу паспорта? Прозванивается ли «утерянный» номер, прежде чем его ID перебьют в системе?
1) Любой сотрудник компании, имеющий доступ к серверам баз данных, делает выборку по таблицам с СМС сообщениям, где в условии выборки ставит «от кого — номер 900» и «текст СМС содержит слово БАЛАНС».
2) выборка обрабатывается, и сливаются все номера с паспортными данными абонентов, которые имеют большой баланс на картах с подключенным мобильным банком.
3) мошенник в фотошопе рисует липовую доверенность, заверенную липовым нотариусом
4) далее мошенник идет в центр обслуживания, где заявляет об утере СИМ. Ему ее восстанавливают. Т.к. ID сим-карты меняется, то реального владельца выбивает из сети, а мошенник, имея в руках номер жертвы, может воспользоваться мобильным банком, проходить двухфакторные авторизации на различных сервисах и т.д.
Вопрос: Как Вы обеспечиваете безопасность абонентов в данном случае? Как проверяется липовый бланк, и проверяется ли вообще? Сотрудник звонит в нотариус по номеру, который указан на липовом бланке, или же сам ищет контакты данной организации в интернете? Можно ли добавить в Личный Кабинет опцию, что мой номер могу восстановить только я и только по оригиналу паспорта? Прозванивается ли «утерянный» номер, прежде чем его ID перебьют в системе?
Ответ службы поддержки ТЕЛЕ2
Действительно, в последнее время отмечены случаи использования мошенниками поддельных доверенностей для получения доступа к номерам и сервисам абонентов. В частности, по поддельным доверенностям мошенникам удавалось получать дубликаты SIM-карт в центрах обслуживания мобильных операторов, что создавало условия для несанкционированного перевода средств с лицевого счета.
Для противодействия такого рода мошенничеству Tele2 разработала простой сервис, позволяющий абонентам обезопасить себя (доступен с 13.10.2015 г.).
Достаточно самостоятельно со своего номера телефона набрать команду *156*2# и для данного номера будет включен запрет на выполнение операций обслуживания по доверенности.
При необходимости отмены установленного запрета, владелец номера со своим паспортом может обратиться в любой из центров обслуживания Tele2.
Для противодействия такого рода мошенничеству Tele2 разработала простой сервис, позволяющий абонентам обезопасить себя (доступен с 13.10.2015 г.).
Достаточно самостоятельно со своего номера телефона набрать команду *156*2# и для данного номера будет включен запрет на выполнение операций обслуживания по доверенности.
При необходимости отмены установленного запрета, владелец номера со своим паспортом может обратиться в любой из центров обслуживания Tele2.
Итог:
Мы с разрабами уже все разрулили, сесурити на высоте, юзайте Теледрова.
Только что получил ответ от Билайн:
Добрый день! На данный момент мы закрыли возможность восстановление сим у наших дилеров и возможность сделать это по доверенности или пользователем. Сейчас согласно процедуре восстановление возможно только в офис владельца номера по паспорту, с написанием заявления.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Эм, но наша вина тут в чем? Мы выдаем эти сим-карты или что? (с) Вконтакте