Комментарии 169
n+1. Проверять мыло и пароли на сайтах типа haveIbeenpwned?
Баян, но всеже:
Однажды к гуру прищел ученик и сказал:
- Учитель, посмотри какой я придумал сложный пароль, никто не сможет его подобрать!
- этот пароль плохой.
- но почему?
- Потому что он есть в интернете.
Через какоето время ученик опять приходит и шговорит:
-Теперь мой пароль точно хороший я проверил его нет в интернете.
- теперь есть; Отвечает учитель.
Зря вы так - совет дельный. Просто скачайте базу хешей и проверяйте локально.
Вот скачать локально базу действительно дельный совет. Потому как появление фейковыйх сайтов типа haveIbeenpwned, которые буду в выдаче выше оргинала, ИМХО,дело времени.При условии что подобные улуги будут востребваны в будущем.
Так там же логин/почта проверяется.
Или что-то уже изменилось?
такого рода сервисы имхо сами собирают инфу от желающих проверить, и пополняют базу реальных адресов
Что лучше для безопасности:
Госуслуги: быть зарегистрированным или нет?
Госуслуги: выпустить ЭЦП самому или нет?
Налоговая: быть зарегистрированным или нет?
Налоговая: выпустить ЭЦП самому или нет?
Налоговая: Какие заявления (желательно со ссылкой на форму и номер) желательно им написать что бы заблокировать все действия с ЭЦП? Вообще все действия которые могут применить мошенники кроме "Явился лично с паспортом"?
Как делается пункт 4?
А там есть такая возможность?
Есть конечно - без ЭЦП даже 3-НДФЛ (например, для получения налогового вычета) на сайте налоговой не подать.
А вот где "Настроить оповещение о выпуске ЭЦП в личном кабинете госуслуг" - не нашел.
Я и про возможность выпуска ЭЦП и про следствие. Может быть я не очень ясно выразился, но на сайте налоговой ЭЦП сделать можно, и после этого появляются те самые возможности по отправке деклараций. На сайте госуслуг может и нельзя - не знаю.
Да, без посещения. Я слышал, что для этого должна быть какая-то "проверенная" запись на госуслугах и, соответственно, не у всех такая возможность есть.
Отозвать сертификат подписи можно, новую сделать тоже можно.
Но насколько эту ЭЦП можно использовать для мошеннических действий - сказать не берусь, она вроде бы только для отправки в налоговую документов, не связанных с предпринимательской деятельностью: 3-НДФЛ отправить, распорядиться переплатой, сообщить о наличии имущества... Ну т.е. создать проблем кому-то, наверное, можно, подав от его имени некорректную декларацию или соощить об имуществе, которого нет. Но как злоумышленник может с этого получить выгоду - не совсем понятно.
"Настроить оповещение о выпуске ЭЦП в личном кабинете госуслуг"
хм, что-то тоже не нашёл. Проследите чтобы стояла галка в Профиль->Безопасность->Оповещение на электронную почту. Оповещения о выпуске ЭЦП должны приходить. С такими настройками я получал ЭЦП в Такскоме, и сразу же после моего посещения, пришло письмо из госуслуг что я получил ЭЦП
Итак, резюме к статье:
чтобы «простому крестьянину» в один момент не лишиться всего, нужно всего лишь соблюдать 90 простых правил и быть изощрённым экспертом в информационной безопасности.
Мило, очень мило, но тут есть одна проблема: тот, кто сможет соблюсти эти 90 правил уже как бы не совсем «крестьянин» и далеко не такой «простой». :)
А что делать всем остальным?
Смотрите: у нас есть десятки векторов угроз (и при этом постоянно появляются новые) какие-то вы закрыли, какие-то — нет. При таком положении вещей, рано или поздно, так или иначе, вы всё равно можете «попасть». Проблема тут не в том, что вы «попадёте», а в том, что речь идёт о нанесении вам неприемлемого (по размеру и последствиям) ущерба.
И если речь идёт об «айтишниках», то ещё можно надеяться на какой-то уровень защиты, но когда мы говорим о массе населения — то никто из «нормальных» людей даже не будет читать эту статью (не говоря о том, чтобы что-то делать для своей защиты).
Вот что то не могу понять отчего защищает этот пин код. Только оттого что симку не переставить в другой мобильник? Почему это на 90% важно?
Насколько я помню, некоторые банки отслеживают изменение IMEI. Есть вот такая инфа аж из 2016-о: «… Для борьбы с этим представители Минкомсвязи и Центробанка хотят запрашивать данные о смене абонентом SIM-карты. Эксперты считают, что это необходимая мера, повышающая безопасность клиентов. …»
Не исключаю про IMEI, но ни разу такого не слышал. А то, на что вы ссылку дали - это не про IMEI, это про IMSI. Он меняется, когда абонент (или злоумышленник) получает у оператора другую сим-карту, привязанную к номеру абонента.
Кстати насчёт замены СМС на пуш спорно. СМС намного надёжнее в плане доставки, если вы находитесь в местах с не идеальной связью или за границей, где из-за диких тарифов интернет большинство отключает (смс тоже не дёшево, но терпимо). Т. е. следуя данному совету мы существенно повышаем вероятность вовремя не узнать о попытке взлома.
Пункт 36 мне больше нравится в формулировке "Что-то не так? Блокируйте карту. Я схожу в своё отделение".
Чем push лучше СМС?
Push вводиться сам, смс я ввожу ручками, т.е удаленно не сделать.
Не знаю, насколько устарела вот такая информация: "Таким образом, Apple не только предупреждает о незащищенности канала передачи между APNs-сервером и приложением пользователя, но и берет обязательство с разработчика не передавать через push-уведомления персональную или конфиденциальную информацию, в том числе транзакционную информацию, к которой коды подтверждения операции, безусловно, относятся.", статья 18 года и я продолжаю ей доверять и считать, что на андроидах всё примерно так же.
Сейчас уже только сертификаты и оконечное шифрование, хотя редакция гайда тоже от 2018 года. Кстати, в действующей редакции Apple Developer Program License Agreement соотвествующий пункт 4 тоже присутствует на странице 49. Однако, сомнительно, что Apple не в курсе использования Push-уведомлений банками для доставки одноразовых кодов и сообщений и входе, балансе и др. Скорее всего, пункт этот, как и большая часть соглашения, присутствует, чтобы никто не предъявил претензий самой Apple.
В пин коде особого смысла нет, его легко восстановить.
Всем остальным запомнить простую заповедь, начавшуюся с цыган: если тебе предлагают что-то, что ты сам не просил - это мошенники.
Большая часть советов не поможет, если кто-то захочет все выяснить простым термокриптоанализом, что не такая уж редкость. Особенно, если этим захочет заняться кто-то из структур, потому что у нас неправовое государство… Отобрать смарт и пытками заставить его разблокировать — уже не кажется чем-то из ряда вон, увы (((
Может проще выполнить один пункт?
1. Не хранить деньги на карточке
Не пользоваться смартфоном
Не пользоваться телефоном (лучше исключить даже стационарный)
И кто ты после этого?
Можно не хранить, но если по карте разрешен овердрафт - разница вообще не велика. Если не разрешен - теховер никто не отменял (но тут вариантоа, конечно, меньше), а примеры 4-6 и 8 на имеющиеся карты вообще не завязаны. Хотя, конечно, какую-то часть векторов атаки при отсутствии денег на картсчете (и отсутствии кредитного лимита по карте) удастся закрыть.
Если сим карта внезапно отключилась
84
Позвонить моб.оператору и выяснить причины отключения
Очень любопытный совет. Из моего субъективного опыта последние 100% случаев (3 случая за 13 лет) сим карта отключалась по причине неисправности оной. Звонить можно было только 112.
Еще можно отдельно телефон для звонков и СМС и отдельно смартфон.
Не давать в руки телефон малознакомым людям
попросите прохожего, таксиста, охранника, полицейского дать вам телефон.Или это дискриминация людей на себя, как умного, и всех остальных, как лохов?
В объяснении первого пункта раскрывается смысл. Не давать телефон бесконтрольно, типа "Звони, я попозже зайду, заберу", чтобы не поставили шпиона или вирус.
Полицейский:
«Вы имеете право хранить молчание. Всё, что вы скажете, может и будет использовано против вас в суде. Ваш адвокат может присутствовать при допросе. Если вы не можете оплатить услуги адвоката, он будет предоставлен вам государством. Вы понимаете свои права?»
Меня жена иногда спрашивает - "Ты машину закрыл?"
Я отвечаю - " Чего там брать-то?"
Смысл в том, что если взять нечего, то и нет почти проблем. Мошенникам Вы не интересны.
Кстати, "27 Пометить как НЕ спам номера телефонов моб.оператора и банков, которыми вы пользуетесь" - практически не реально. У них огромный пул номеров, и каждый раз звонят с разных. Я как-то что-то выяснял по телефону, так по каким-то вещам у них регламент, что ОНИ САМИ должны позвонить (вроде как я доступ к онлайн банку восстанавливал, после того как система посчитала что я что-то плохое делаю, а я сделал много попыток взять кредит, но не завершал, а смотрел какие суммы платежа получатся при разных вариантах). А у меня был антиспам включён - так я не сразу понял, почему не звонят, потом увидел в спаме попытки звонков. Пришлось опять звонить и повторно объяснять, отключать антиспам и ждать звонка...
Пин-код на симку есть смысл ставить только если И на разблокировке телефона есть код. Иначе нашедший телефон просто не станет вынимать симку и прямо на нём всё сделает.
CVV на карте можно тупо паяльником срезать. Главное потом не забыть - это может доставить (и более вероятно) проблем.
Меня жена иногда спрашивает — «Ты машину закрыл?»Интересны. Оформят кредит и выведут кредитные деньги.
Я отвечаю — " Чего там брать-то?"
Смысл в том, что если взять нечего, то и нет почти проблем. Мошенникам Вы не интересны.
CVV на карте можно тупо паяльником срезать.Формально делает карту недействительной, заметят — должны изьять.
Формально делает карту недействительной, заметят — должны изьять
Так я никому и не показываю. Как и советуют. Банкоматы и терминалы пока не умеют такое распознать.
Гугл пей или аналоги позволяют реквизиты карты не использовать, а их собственные «реквизиты» создаются под каждый платеж в общем и целом одноразово, поэтому утечка тоже не грозит.
1)Грозит. Московское метро предлагало акцию месяц за рубль. Естественно с услугой автопродления если платишь картой или через опсоса. НО я оплатил через google pay. Подумал раз в условиях не указано автопродление при оплате через google pay да и как оно 2-й раз деньги спишет, то я в безопасности. Однако нет, деньги списали. Правда потом вернуть смог.
2)Я крайне недоволен стоковыми прошивками андроида, а прошивая что-то стороннее гугл пытается заблокировать google pay. Так что возможно скоро от него придётся отказаться, хотя да, удобно. Но носить 2 смартфона менее удобно.
В некоторых банках есть возможность изменить CVV на свой, или установить динамиченский CVV, он действует только час, доступен только в банковском приложении. Пользуюсь, удобно. Даже если где то сохранил данный карточки - платеж не пройдет.
Платеж и без cvc/cvv может проходить. Более того, при сохранении данных карты сохранять cvc/cvv нельзя по правилам платежной системы. То есть если вы где-то привязали карту и используете ее при последующих оплатах, то либо cvc/cvv после первого платежа не используется, либо вводится каждый раз (что бывает, но реже).
Я CVV всегда заклеиваю черной изолентой. Держится отлично, в банкоматах не застревает
cvc2 либо стереть,либо заклеить кусочком изоленты. Есть схемы когда под терминалом на кассах в магазинах стоит камера и снимает обратную сторону карты, фиксируя время оплаты и распознавая cvc2 код.
#91 Уезжайте из страны, где для спокойной жизни необходимы эти 90 правил.
В другой стране будут свои N правил — часть такие же (телефон), часть отличающиеся (местные банки/операторы/законы). От все этих правил можно на Марс разве что улететь.
По крайне мере, в других странах имеется zero liability: если вы стали жертвой мошенников, то это проблема банка, а не ваша.
Во-первых, здесь речь ведётся не только о безопасности банковских карт.
Во-вторых, аналог zero liability есть и нормально работает и в российском законодательстве.
Вот 2 примера из жизни:
Работодатель за океаном выпустил для меня (на моё имя) visa paycash (тогда не было ограничений на пополнение), обо мне зная буквально "как зовут" и город/страну. Т.е. указал дату рождения не мою. Я чудно снимал деньги в банкомате, натыкался на лимит укр банков(?) в 300 баксов в день, с учётом комсы укр банков (Приват и Надра) - 200-290 из банкомата. Закончилось тем, что в Болгарии, где я не был никогда, сняли 300 евро, в сумме тогда 420+баксов (тут вставить картинку "а что, так можно было?"). Чисто случайно я это обнаружил в день снятия или на следующий - мне посоветовали побежать в банкомат сделать попытку снятия (чтоб показать, где я), прислал фотки паспорта (там справили дату рождения, вроде бы). Чуть больше месяца разбирательства - карту перевыпустили, деньги - вернули. Думаю, скиммер в банкомате Надра был (на жд вокзале был банкомат, заряженный нужными купюрами), хотя и не факт. Вот это - "zero liability", хотя могли придолбаться буквально ко всему.
"Классика жанра" - у знакомых тухнет симка в телефоне (восстановили у оператора), в Приват звонят, авторизуются голосом (скорее всего, утечка данных, которую Приват не признает никогда), на аудиозаписи называя фамилию неправильно (!) - фамилия на украинском отличается от русского написания, плюс западные украинцы на русском обычно не общаются - т.е. банк облажался в явном виде. Оформляют голосом перевод кредитных средств на другую карту (есть такая услуга)... Понятно, что банк занимает позицию "сами виноваты, разгласили..." (в эпоху соц сетей шедевр "девичья фамилия" - отдельный перл). Но далее всё забористо совсем: менты ловят мошенников, они признаются, их сажают. Приват стоит на своём - активно пытаясь выбить деньги, звоня всем родственникам и на работу. Судятся с Приватом. Выигрывают. Приват национализируется. Приват подаёт апеляцию, снова судятся, Приват снова проигрывает... Короче, сменилось 2 президента, пока это закончилось. Годы, нервы и деньги на авдоката. И я не уверен, что "уже там всё" - кажется, Приватом до сих пор чел пользоваться не может. Сумма, правда, чуть больше была - около 1-2K$ в гривне (там майдан как раз был), на момент разборок в суде оно превращалось и в менее 500$.
Почему не стоит держать деньги "на карте" - встречал простое объяснение:
если крадут кредитные деньги - это "деньги банка", и банк будет с этим разбираться. А вот "ваши" - то Вам и разбираться, и попробуйте испольнить решение суда в Вашу пользу.
CVV обычно соскабливаю ключами, ножом или "что под руку попало" - никогда никаких проблем в супермаркетах не было. Если с картой что - прихожу в Приват ногами - "где-то я пролюбил карту", "карту схавал банкомат" - дают новую (бесплатно), забывал пин-код - меняй хоть в отделении, хоть через приват24. А вот Ощадбанк - забыли пин - перевыпустим карту, конечно за деньги.
Приложения банков в телефон не ставлю - тоже есть случаи, когда у людей крали деньги с украденных смартов (и не возвращал банк такое). Да, ходить на сайт с 5" телефона - неудобно, да ещё пароли вводить. Но браузер - единственный вектор атаки (если не считать камер наблюдения).
Не знаю, как в РФ с "порталом ГосУслуг" - в Украине умудрились через "Дию", требующую только новую id-карту, и официально не работающую с обычным паспортом, оформить кредит на чела без "дии" и с паспортом-книжкой. Так что "башку в песок" может закончится печально.
Мир меняется, и уже не просто "лох не мамонт"(с) Мавроди, уже целые поколения оказываются не готовы к жизни в новых реалиях. А те, кто думают, что готовы - тоже нередко занимают место лоха.
Касательно "работодателя за океаном" - там, "за океаном", платёжные карты могут выпускать едва ли не все подряд - сотовые операторы, магазины и так далее. За Украину не в курсе, но в РФ это могут делать только банки. В чём-то оно лучше, в чём-то хуже.
Встречный вопрос: в один прекрасный день Вы обнаруживаете, что баланс Вашей карты равен нулю. Куда и как Вы будете обращаться, если "работодатель выпустил карту, зная только имя и фамилию"?
если крадут кредитные деньги - это "деньги банка", и банк будет с этим разбираться. А вот "ваши" - то Вам и разбираться
Тоже слышал такое объяснение. Полный бред.
Объясню почему: совершая платёж по карте, Вы даёте банку распоряжение перевести такую-то сумму такой-то торговой точке. В случае дебетовой карты это будут Ваши деньги, лежащие на счёте в банке; в случае кредитки - это денежные средства, которые банк выдаёт Вам в кредит.
Законным путём такое распоряжение можете давать только Вы - это явно предусмотрено в договоре на выпуск и обслуживание платёжной карты.
Соответственно, если распоряжение даёте Вы - банк его исполняет, а взятые в кредит денежные средства (в случае платежа кредиткой) придётся вернуть в установленном порядке. А вот если распоряжение дал кто-то другой - то у него такого права нет и банк не имеет права исполнять его, вне зависимости от того, кредитная это карта или дебетовая.
В итоге всё разбирательство сводится к тому, что держатель карты говорит: "я не давал такого распоряжения, банк не имел права переводить деньги". А банк говорит - "нет, это держатель карты сам совершил операцию".
Если суд принимает сторону держателя карты - банк обязан аннулировать операцию и вернуть денежные средства, вне зависимости от того, Ваши они или взяты в кредит. А если суд принимает сторону банка - то операция считается Вашей и Вы несёте за неё полную ответственность. Так что кредитная там карта или дебетовая - разницы нет.
Возможно, эта байка пошла как раз из-за океана, у них там представления о картах, счетах и прочем очень сильно отличаются от принятых на пространстве бывшего СССР.
За Украину не в курсе, но в РФ это могут делать только банки.
Не совсем - еще могут небанковские кредитные организации. Связной-кукуруза, Озон и тому подобные карты как раз такие. У них есть ряд нюансов: например, по умолчанию обычно нет картсчета (т.е. нельзя перевести деньги на карту банковским переводом по реквизитам счета), и средства на карте не застрахованы АСВ.
Хорошо, не делайте ничего.
Я пришлю вам реквизиты, чтобы вы переписали свою квартиру на меня. И номер карточки, куда пришлите все ваши деньги. Чтобы сразу, без промежуточной возни. Всё равно ведь "ресурснозатратно".
у меня так и сделано. Периодические проверки занесены в календарь. Каждую неделю приходит напоминалка. Потратить в субботу 5 минут времени ничего не стоит
Сложилось впечатление что судя по статье 2 самые большие дыры это:
сим карта
госуслуги
А скоро еще "оплату лицом" подвезут кстати, вот это по моему будет всем дыркам дыра.
Есть мнение, что оформление запрета на регистрацию сделок с недвижимостью без личного присутствия никак не влияет на мошенничество с помощью ЭЦП. Запрет не дает регистрировать сделки по доверенности. ЭЦП же приравнивается к собственноручной подписи, поэтому если за вас выпустили ЭЦП, этот запрет не сработает.
Если не секрет, как для гуглпэй сделать обязательную разблокировку для любой оплаты, даже на 1 рупь ? В настройках его такого нет...
Не нашел в настройках, но как я помню, при первой настройке можно поставить установку "разблокировать экран для оплаты".
Можно попробовать переустановить.
Установите автоблокировку экрана смартфона не менее 30 сек
если телефон украдут, он успеет заблокироваться
Это называется «не более, чем через 30 сек», а ещё точнее «не позднее, чем через».
Но уж точно не «не менее».
Я бы еще добавил - "Регулярно навещать и созваниваться с родителями" - тогда они меньше себя накручивают ("сын/дочь не звонит? а вдруг что-то случилось?!") и меньше шансов что попадутся на удочку в стиле "мама я сбил человека"
много отличных советов, некоторые из списка уже давно стоят по умолчанию (особенно в большинстве банков и госучреждениях), другая часть - здравый смысл, а остальное - просто паранойя которая вам принесет больше неудобств чем пользы (напр. лимит переводов с карты - когда вам понадобиться сделать большой перевод сразу же начнете себя проклинать и тд). Да и вообще что бы взломать кого-то сейчас нужно много усилий и месяцы работы с аккаунтами человека, данными и вообще соц инжерению надо подключать, очень малый шанс что разные сервисы не затригерят взлом... если у вас вынесли какую-то сумму а вы не возглавляете список Форбс что бы за вами охотились многие, то скорее всего это не русские хацкеры а ваша жена которая захотела себе новую кофточку или кто-то из близких кто имеет физический доступ к вашым устройствам.
После пункта №17 можно не читать дальше. Это абсолютно нереально. Когда у тебя сотни регистраций на разных сайтах, то либо сохраняешь разные пароли, либо используешь везде один и вся безопасность идет лесом.
можно записывать в ворд док и хранить на сьемнике, или просто на физической карточке и в сейф :) (а еще проводить жертвоприношения богам криптографии что бы их задобрить)
Если не ошибаюсь, с 95 Хрома FIDO/U2F перестаёт работать, только FIDO2/WebAuth. Надо будет проверить. Наверно, пробегусь, когда Фейсбук сменит (или нет) название. Не исключено, что и ещё что-то поменяют тогда. Хотя, скорее всего, там обратную совместимость должны оставить на довольно длительное время. Впрочем, не разбирался подробно и не уверен достаточно, стоит ли беспокоиться.
PC - KeePassXC
iPhone - Strongbox
Android - Keepass2Android
Синхронизация шифрованной базы в идеале через свой Nextсloud - но думаю можно и через тот же google drive
Откройте для себя мир менеджеров паролей. И кроме мастер пароля, не нужно будет нечего запоминать.
Не пользоваться новыми сервисами. Усмирить свою "современность", "продвинутость", и жажду новых знаний. Вспомнить, что прогресс - не всегда благо, а вернуться обратно психологически тяжело, воспринимается как "каменный век"(весьма условно, но лично знаю, что для некоторых людей весь двадцатый век - каменный). Помнить, что прогресс обязательно вас заставит пользоваться всем, это вопрос времени. Есть жизнь без Facebook(я знаю, о чём пишу, меня заблокировали достаточно давно, и всё нормально). Сопротивляться до последнего. Иначе выходит, что с точки зрения "завтра", вы уже прямо сейчас троглодит. А пароли текли, текут и будут течь, ничего с этим не сделать. Соблюдать 90+ правил нереально.
Нет слова "ксерить". Есть слово "копировать". Извините.
п. 2 - оператор сливает данные и кто-то использует кодовое слово.
Как по мне это хуже чем если его нет.
Если я правильно помню, раньше по умолчанию были разрешены действия с недвижимостью без личного присутствия. Примерно год назад это по умолчанию запретили после многочисленных случаев мошенничества.
возможен аналогичный запрет на онлайн кредиты?
такого пока нет, но подвижки есть https://www.vbr.ru/banki/novosti/2021/08/24/zapretit-onlainkrediti/
12) Оформить в вашем банке получение подтверждений банковских операций через push, а не через sms
Какой в этом смысл? Ведь таким образом двухфакторная авторизация превратится в однофакторную. Если в смарте будет троян (или смарт попадет не в те руки), то он и пуши перехватит. Также перевод на пуши не означает, что банк не пошлет коды через смс, если посчитает нужным, т.е. этот смс-канал остается действующим. И самое главное - в случае пушей нет третьего независимого лица (оператора связи), которое может подтвердить, либо опровергнут передачу смсок с кодами и пр.
Так что лучше отдельный кнопочный телефон от нормального производителя с возможностью запаролить доступ к смскам.
Отключение дистанционного восстановления пароля и пр, а также установка прочих ограничений - это не панацея, это часто лишь вводит в заблуждение. Какой смысл во всём этом, если банк позволяет через смс изменить способ аутентификации?
Еще очень многие не понимают (для меня это также было шоком), что при компрометации карты вы рискуете не только средствами на карте, а всеми деньгами на всех счетах. Это и фишинг и полный доступ в личный кабинет через банкомат (с помощью карты). Основная опасность - привязка злоумышленниками своего смартфона (изменение способа аутентификации с полным перехватом управления) через перехват одной единственной смс. Надо обязательно разобраться, позволяет ли это ваш банк.
Так что телефон для смс должен быть отдельным кнопочным и... лучше пусть запароленым лежит дома. Таскать его всегда с собой вместе с картами - это дополнительные риски. Кстати, родные (особенно дети) также не должны знать пароль к телефону.
Ставить приложение на свой основной смартфон - тоже не очень хорошая затея. В идеале смартфон должен быть отдельным и предпочтительно айфон. Понятно, что это не всегда возможно, но по крайней мере не надо на основной смартфон бесконтрольно ставить софт.
Если входить в л/к через десктоп, то... никакой винды, тем более не с игрового компа. В идеале - отдельный комп на линуксе. В крайнем случае в виртуальной машине.
В браузере, используемом для банковских операций, не должно быть установлено никаких расширений. Перед авторизацией необходимо проверять доменнное имя сертификат сайта.
Обязательно читать текст смс-ок с кодом, сопоставляя, соответствует ли ваша операция тексту.
ЗЫ
Вообще ситуация удручающая. Особенно когда видишь в л/к предложение онлайн-кредита на много миллионов в пару кликов за пару минут и понимаешь, что для этого достаточно одной смс-ки...
А когда придёшь в офис, то будь добр, предоставь кучу документов
Смысл в том, что sms это просто дыра, можно выпустить симку с вашим номером, есть такие сервисы даже в даркнете. Симка появляется типа как в роуминге где нибудь в африке на левом мелком операторе.
А чтоб пуш перехватить надо само устройство у вас похитить.
Несколько месяцев я изучал тему интернет мошенничества с целью собрать наиболее полный список действий
Вот по этому?!!
№20. Может, все-таки "не более" ?
Основная проблема списка в целом: всякие мошенники действуют незаконно, а противодействовать им хотелось бы только законно. А как известно административные проблемы либо не имеют технических решений, либо они не очень эффективны.
Дополнительные советы.
1. Если боитесь потерять телефон — не носите с собой телефон с «основной» сим-картой, на которую заведены важные сервисы, пусть он дома полежит.
2. Разделите интернет и привязки к сервисам на разные симки. На «интернетную» пин-код даже вреден, как раз лучше чтобы интернет поднимался автоматом при перезагрузке телефона.
3. Не пользуйтесь никакой биометрией. Тем более на телефоне.
4. Не привязывайте к телефону слишком многого (услуги, оплата и т.д.). Это неразумно и рискованно. Не кладите все яйца в одну корзину.
5. Не храните на счете телефона и карте больших сумм денег в принципе. Это сильно снизит риски. Используйте виртуальные карты для разовых платежей по возможности.
Комментарии к исходному списку напишу отдельно.
1. Пин-код обязательно только на основную симку (к которой привязаны важные гос.сервисы и банки), которую и так лучше держать дома.
2. Сомнительно, кодовое слово легко подслушать и потом заблокировать вам симку им же.
8. Сомнительно, антивирус на телефон полезен только если вы регулярно ставите новый софт на телефон или посещаете с основного телефона откровенно сомнительные сайты. Софт на основном телефоне я предлагаю вообще менять не часто (после обкатки), про сайты с основного телефона я думаю вы тоже поняли. Если прямо вот очень надо — используйте для этого отдельный телефон со своей «прочей» симкой.
13. не надо хранить на счете оператора много денег, в идеале должен быть оплачен текущий тариф (обычно месячный) и 10% сверху. про карту тоже самое — не храните больше месячной зарплаты.
14. не ставьте автопополнение счета в принципе, лучше вообще никогда
19. это сильно увеличивает риск утери и кражи, сомнительный совет
25. а как это сделать-то? особенно без рута, который не рекомендован в 58.
27. нереально, увы, проверено на личном опыте (дошел аж до блокировки) на красном банке.
30. вредно, лучше пароль
32. сомнительная польза, лучше уж пароль на телефон в целом
35. а что взамен-то? push уведомления тоже не всегда надежны
43. опять вопрос — а как запрещать без рута-то?
45 и 46 противоречат друг другу. в идеале не надо вообще пользоваться пиратским.
47. зачем если есть 28? для пущей надежности что-ли? ставьте обновления чаще.
52. сомнительно. а чем съемные носители лучше-то? надежность у них обычно даже хуже именно потому что они съемные.
57. не понял как данные в облаке зависят от кражи телефона?
58. спорный совет. кому-то действительно нельзя давать никаких прав, но знающему человеку это поможет защитить себя сильнее.
63. в идеале не надо пользоваться аккаунтами в сомнительных соцсетях (тех, которые вымогают перс. данные и потом торгуют ими), включая вк и фб. но при этом иметь сами аккаунты можно, чтобы исключить регистрацию «двойников».
65. сомнительная практика регулярной смены паролей, люди склонны в таком случае упрощать пароли и пинкоды, тем более их надо будет запоминать много
25. В 9 андроиде можно убрать ненужное (будут ли потом запускаться приложения - вопрос открытый)
35. Смс банк - переводы денег по команде из смс для телефонов бещ браузера и приложений. Альтернатива - приложение или вебсайт.
43. См 25.
58. Если загрузчик будет разлочен, это открывает возможности к лёгкой модификации прошивки (но заморачиваться этим будут разве что спецслужбы)
58 — закрытый загрузчик это не панацея, фактически производители ставят ультиматум: либо доверяешь нам 100% и мы тебе много чего запретим, или мы умываем руки и помогать тебе не будем. любой ультиматум — это плохо с точки зрения безопасности.
эх, похоже тут статью целую писать надо в ответ, не знаю интересно только будет кому?
Доступа в интернет лишить нельзя, увы, почему-то разрабы андроида считают, что оно должно быть вообще у всего без спроса (наверное чтобы рекламу не мешали показывать запретом).
Спасибо за обширный лист комментарий и за то что внимательно прочитали статью. Некоторые пункты я поправил. Однако с некоторыми не согласен и вот почему:
1.Симку, привязанную к банковским аккаунтам, дома лучше не держать.. В случае её компрометации вы этого не заметите и не сможете быстро реагировать
2.Согласен, возможно стоит изменить этот пункт
8.Не согласен. Новые приложения люди будут ставить всегда. Не всегда есть возможность и время проверять эти приложения. Антивирус хорошо справляется с проверкой + это удобно
13.Согласен, но данный пункт как дополнительная степень защиты. В разделе примеры есть кейс, когда украли деньги как раз "благодаря" этой услуге
14.От части согласен
19.Вы хотели сказать что это усугубляет положение дел при утере или краже смартфона. Но тут я тоже пожалуй не соглашусь. И вот почему. Ваш телефон всегда при вас, а это значит вы видите когда отключилась сим-карта. Если телефон лежит в сейфе, то жулики сделают дупликат сим-карты и вы об этом даже не узнаете
25.На последних андроидах делается довольно просто. Про эпл и более ранние версии андроида не могу сказать
27.Хм, странно. У меня от банка всё чисто. И от оператора тоже. Попробуйте в офисе моб.оператора и банка написать отказ от рекламных и промо смс.
30.Дополнил данный пункт
32.Не согласен. Воры могут украсть ваш телефон разблокированным, либо разблокировать если это сделать просто
35.Имелось в виду управление банковскими операциями через смс
43.Просто не давайте разрешение. В последних андроидах делается легко
45-46.Не вижу противоречий. Смысл пунктов такой что на сайтах с халявой водится много вирусов. Если вам супер нужен такой контент, будте очень внимательны
47.Да, дублирование. Но лишним не будет. Не каждый будет ставить себе антивирус на ПК
52.Пожалуй не соглашусь. Съёмный носитель не будет затронут например в случае вирусов-шифровальщиков
57.Воруют телефон, открывают всё что можно открыть, в т.ч. доступ к файлам на облачных хранилищах. Во-вторых, в даркнете встречаются объявление о взломе аккаунтов с почтой
58.Имелось в виду чтобы не разлочили загрузчик и не устанавливали себе кастомные прошивки
63.Хорошее пояснение см в п.62
65.Не согласен что это сомнительно. Это защищает от периодических утечек. В разделе примеры есть несколько кейсов, которые подпадают под этот пункт
8,47 — антивирус сам по себе может быть источником проблем, так что его надо применять осторожно: для не разбирающихся в софте и его источниках он крайне желателен, для разбирающихся — опционален, тем более сейчас много всего проверяется автоматически (софт из того же GP, например).
25,43 — если это так легко, подскажите как убрать разрешение на интернет и другие разрешения у встроенных программ и программ от гугла? я не смог найти способа, кроме как через рут права.
27 — я имел ввиду ситуацию, что банк каждый раз звонит с рекламой «кредитов» с разных номеров, а если их заблокировать, то не пройдет важный звонок, и можно получить блокировку счета
32 — а в чем несогласие-то? я просто за пароль — он гораздо надежнее и универсальнее; дополнительно вешаете bluetooth маячок на автоблокировку при потере контакта, чтобы не вырвали из рук в разблокированном состоянии.
57 — так не надо держать на телефоне токены (пароли) для доступа в облако, тогда и проблемы не будет, это касается и гугл-аккаунта, привязать его можно, но из аккаунта лучше выйти.
58 — извечный спор, кто-то не доверяет гуглу (производителю) и считает заблокированный телефон не безопасным, кто-то наоборот, истина наверное посередине… я лично за рутование, потому что я верю себе больше, чем гуглу, но я никому не навязываю эту точку зрения.
63 — я вообще про выкладывание какой-либо информации в соцсети, а вы про ограничение доступа к уже выложенной; я вот не верю соцсетям вообще и их настройкам приватности тоже, поэтому просто рекомендую не выкладывать ничего, что не хотелось бы видеть потом публичным.
65 — ну будут придумывать одинаковые пароли и/или слабо отличающиеся, еще неизвестно что хуже с точки зрения безопасности
p.s. очень похоже что у нас с вами разные модели угроз просто, поэтому я предлагаю несколько другие решения и подходы, ваши тоже в целом правильные, но вот лично мне не подходят, поэтому я делюсь своими; ну а совсем единых быть не может, паранойя у каждого своя :)
38 Не давайте ксерить или фоткать свой паспорт нигде кроме как в отделениях банков и гос.структур. Не отсылайте сканы документов по эл.почте
Т.е. в командировках живём под мостом, а не в гостинице?
А в остальных 40% что делать?
Т.е. Вы приехали в уже оплаченный отель, в 23:55. Девочке на ресепшене велено ксерить все паспорта, звать управляющего бесполезно, он "уже уехал". Разворачиваетесь, теряете деньги за отель и идёте искать в ночи другой? Да, у Вас есть пять минут до полуночи, чтоб забучить другой отель на тот же самый день. Ну и цены в последний момент, сами понимаете, какие будут.
Это ни разу не ответ на мой вопрос
У меня украли так данные карты в Хорватии. Просто покрутил туда-сюда. А там, видать, камера была над чуваком. Никто не ксерил карту.
А как?
Подключите оповещения о запросах вашей кредитной истории
Посоветуйте, как это сделать?
я пользуюсь ЛК большого зелёного банка, там есть платная услуга "Уведомления по кредитной истории"
Добавлю, что в других БКИ такая платная услуга также как правило есть (посчитал, прикинул, не пользуюсь, поскольку там у меня не самая актуальная информация по банку, в котором уже нет карт). Полный список своих БКИ узнаю периодически на Госуслугах и бесплатно получаю кредитный отчёт два раза в год. Там все запросы видны. Но если такая периодичность не устраивает, то уведомления в приложении - выход. Не помню точно, но, вроде в упомянутом банке в каких-то случаях срок уведомления 20 минут, в каких-то - до 72 часов. Присылают СМС о наличии уведомления, подробности в приложении. Это если подробности интересны. Не слишком дорого выходит.
37: И не вводите данные карты
47: Можно установить расширение https://addons.mozilla.org/firefox/addon/351419/
Ещё можно переехать в страну, где с мошенничеством таких серьёзных проблем нет. Имхо, это проще, чем так параноить.
Скимминг, как я понимаю, не актуален для карт с чипом и тем более для бесконтактных карт?
Установите автоблокировку экрана смартфона не менее 30 сек
Полагаю имелось в виду не более 30 сек, иначе совет выглядит странным.
На счет паролей и кодовых слов, на мой взгляд наша память слишком не надежна для их хранения, особенно в состоянии стресса их будет трудно вспомнить. Лучше все же в обычный блокнот их записать. Либо проводить учения раз в месяц)
n+2
Проверять правила пересылки писем из своего почтового ящика. Порой мошенники настраивают зеркалирование вашей переписки с вытекающими.
Интересно. А можно подробнее?
Можно еще добавить пункт о покупке телефона эного бренда , где производителя не ставит вирусного софта. Думаю это не пункт а, рекомендация по поиску фирмы.
Рассказывали, что парень ушёл в армию, оставив телефон дома (м.б. взял другой). Вернувшись через год, обнаружил, что обслуживание остановлено за неактивностью, номер перепродан. Парень огрёб проблем с интернет-банками. Не знаю, насколько это правдоподобно, ведь, по идее, можно сходить лично в банк. Но говорили на полном серьёзе.
Спасибо за такой исчерпывающий гайд
"Не храните на компьютере очень важные файлы" наверное лучше заменить "Очень важные файлы храните на компьютере в зашифрованном виде. При этом обязательно делайте резервные копии на сменные носители".
Установить кодовое слово в офисе вашего моб.оператора
Дальше можно не читать...
Поясните пожалуйста почему
Никакая информация, которая используется, хранится и передается открытым текстом (в том числе третьим лицам) не должна использоваться для идентификации. Для кодового слова (а также "секретных" вопросов) часто используют легкодоступную информацию (например, кличка животного), оно доступно операторам и попадает в сливы вместе с остальными данными (в отличие от паролей, которые хотя бы захешированы). Не понятно, от чего именно хочет защитить себя автор, какие обязательства и последствия наступают у оператора после создания кодового слова. Если я просто его забуду, меня отправят в офис или достаточно будет назвать любые другие открытые данные (типа номера паспорта)? Короче, ответов больше чем вопросов. Вкупе с остальными спорными пунктами, а также их количеством, у меня возникают большие сомнения в компетентности автора касаемо рассматриваемых вопросов.
Нафантазировал идею для защиты паспортов от ксерокопирования. Можно сделать специальную обложку закрывающую часть основного разворота паспорта +с непрозрачными откидными клапанами, закрывающими не всегда нужную информацию. Чтобы для того чтобы её отксерить пришлось дополнительно такой лист клапана отогнуть наружу. На свободном пространстве у корешка можно разместить окошко со стопкой вставленных в него полосок бумаги. Чтобы было на чём написать кому и когда отдал паспорт для копирования. Для некоторого морального удовлетворения если потом найдёшь ксерокопию своего паспорта в интернете, чтобы хотя бы знать, откуда она утекла. Когда паспорт возвращают просто вытащить верхнюю полоску бумаги из стопки (на которой надпись) и выбросить.
Признаю что идея так себе, не взлетит. Параноикам носить с собой заранее подготовленные ксерокопии наверное проще. На них же можно ручкой писать кому отдаёшь в руки. Вряд ли такую обложку захотят себе приобрести больше сотни человек.
Я давно стираю CVV/CVC чем то острым, это удобнее чем выжигать, плюс лимиты на операции и уведомления. И ношу в заднем кармане штанов не парясь, хоть они и бесконтактные. Пока работал Apple Pay вообще не носил карты, лежали дома в закрываемом ящике стола.
Пока работал Apple Pay вообще не носил картыТолько если телефон, внезапно, долбанется или разрядится — даже чебурек не купить будет и за такси не заплатить
В отпуск я брал карты на случай форс-мажора. А в обычной жизни на работе я бы по пропуску поел, такси мне в городе не нужно, без покупки еды тоже можно обойтись день. Я ещё и наличку с собой не ношу. А телефон у меня всегда заряжен. У каждого свои кейсы.
Над расширением 110 пункта какое-то время думаю. Хочется написать чеклист сервисов для ручной проверки связи с целью ухода с симкарты/перехода на другую симку. И совсем мечта: автоматическая служба а-ля как по куки связи сверяет или igetpwnd
Самый полный чек-лист для защиты от мошенников