Комментарии 32
Для создания одноразовых паролей на стороне клинета есть специально под это созданный TOTP например.
Главный вопрос тут законодательно запретить 2FA по СМС(что само по себе кривой и небезопасный костыль), равно как напрямую запретить требовать номер телефона при заключении договора, а не разгребать все новые и новые негативные последствия применения кривого костыля.
Этих бесплатных ботов для в телеге как навоза за баней. Указываешь номер телефона и пошел поток смс на 20 минут.
А телефон могут взять из телеграма, по умолчанию номер телефона известен всем контактам, надо менять настройки конфиденциальности.
для начала надо перестать везде пихать привязку к номеру телефона для авторизации
Большинство сервисов явно предпочитают в де-факто-комплаенс — подстраховаться в ущерб пользователю. Тот же Т-Банк давным-давно понимающе кивает про time based OTP, но воз и ныне там. Зато тот факт, что каждая транзакция (с указанием баланса причём) летает по SMS в открытом виде никого особо не смущает, какая там банковская тайна, вы о чём, все свои. И что-то мне подсказывает, что если бы не позиция регулятора (-ов) альтернативы уже были бы на практике.
А зачем бороться? Если только в том плане, что раздражают такого вида смски, а так их можно просто сразу удалить и забыть.
Ну и, возможно, все это не с целью отправить вам код, а потом его выпытывать, а с целью понимания где что у человека есть.
Читал, что подобные атаки были с целью маскировки реальной смски вида "ваш пароль на личный кабинет в таком-то банке изменен".
Не совсем безобидные
Если таких смс много, а телефон не самый новый, то устройство вполне начнёт подвисать и жрать батарейку
Начальник как-то послал разводилу из службы поддержки банка, так телефоном было сложно пользоваться и он за пару часов потерял около 40% заряда.
Но как минимум возникает главный вопрос - почему многие сервисы не делают выдержку времени на запросы восстановления/регистрации и где ограничение на количество попыток.
У вас на скриншотах все сервисы разные. То есть задержка времени для одного пользователя ничего не даст.
А вот как от этого защититься - для начала надо перестать везде пихать привязку к номеру телефона для авторизации. Это ненадежно (бо номер в любой момент могут отобрать) и позволяет вытворять то что описано в статье.
Ну как я в конце писал, что везде требуют сейчас принудительно телефон. Не почту, именно телефон, отсюда все проблемы.
для начала надо перестать везде пихать привязку к номеру телефона для авторизации
Большинство сервисов явно предпочитают в де-факто-комплаенс — подстраховаться в ущерб пользователю. Тот же Т-Банк давным-давно понимающе кивает про time based OTP, но воз и ныне там. Зато тот факт, что каждая транзакция (с указанием баланса причём) летает по SMS в открытом виде никого особо не смущает, какая там банковская тайна, вы о чём, все свои. И что-то мне подсказывает, что если бы не позиция регулятора (-ов) альтернативы уже были бы на практике.
Для создания одноразовых паролей на стороне клинета есть специально под это созданный TOTP например.
Главный вопрос тут законодательно запретить 2FA по СМС(что само по себе кривой и небезопасный костыль), равно как напрямую запретить требовать номер телефона при заключении договора, а не разгребать все новые и новые негативные последствия применения кривого костыля.
Этих бесплатных ботов для в телеге как навоза за баней. Указываешь номер телефона и пошел поток смс на 20 минут.
А телефон могут взять из телеграма, по умолчанию номер телефона известен всем контактам, надо менять настройки конфиденциальности.
Тем более, хорошая мысль по поводу телеги. Надо будет родственникам скинуть инструкцию по настройкам конфиденциальности.
Кому и сколько раз(кому по цепочке) сольют ваш телефон сами админы телеграма при этом непредсказуемо.
Уже на этапе создания аккаунта в этом, мягко скажем не совсем этичном месседжере "Телеграм" вы уже согласились на полный деанон перед сервисом(по российскому законодатетельству сотовая связь привязана к паспортным данным, причем с января 2025 года, включая дальнейшее пополнение счета за услуги сотовой связи).
К слову Паша Дуров, не так давно, будучи взят за мягкие места французкими "начальниками" задним числом публично признал очевидное - что по "обоснованным запросам правоохранительных органов"(т.е., как я это понимаю в практических реалиях, всем у кого есть некоторые деньги и админресурс, что две стороны одной медали в практически любой стране), телеграмом сливаются все данные любого аккаунта, а заодно, для примера, раскрыл статистику сотрудничества по солнечной Бразилии и другим наиболее некоррупированым юрисдикциям. Типа французкий "гражданин начальник" сейчас по беспределу Паше Дурову дело шьет(ха-ха).
Потерявши голову по волосам не плачут(народная мудрость). Иллюзия безопасности еще хуже явного осознания ее отсуствия.
В практическом плане сейчас есть много альтернативных этичных меседжеров Jami например.
Сама ситуация
Первый раз это произошло 9 июля. На номер девушки (ещё тогда не жены) стали приходить СМСки с кодами подтверждений от различных сервисов и стали названивать номера от роботов, диктующих код подтверждения.
[скрины]
Опять начал расспросы
— тут как-то нелогично про опять. )
А не может быть это сбоем сервиса, который эти СМСки рассылает?
Из практики: много народу попалось на собственной лени и невнимательности. Надо например человеку зайти в web.whatsapp на компе, так что люди делают? Правильно, пишут в Ямблере "веб Вацап". И попадают на левый ресурс с помощью которого зловреды получают доступ к WA пользователя, а иногда и к телу целиком. И начинается карнавал спама во все щели. Или приходит Вам сообщение в телегу от "босса" с требованием срочно прочитать какой-то документ из вложения. Вы его конечно бежите открывать, босс ведь прислал. Но происходит странное, вложение не открывается а люди из вашего списка контактов начинают отправлять деньги Вам на какие-то странные номера карт. А всё потому, что лень было в профиль к "боссу" заглянуть и обнаружить, что у босса почему-то в профиле номера телефона нет. Будьте бдительны.
Или приходит Вам сообщение в телегу от "босса" с требованием срочно прочитать какой-то документ из вложения. Вы его конечно бежите открывать, босс ведь прислал. Но происходит странное, вложение не открывается а люди из вашего списка контактов начинают отправлять деньги Вам на какие-то странные номера карт.
А как это работает? Даже на не рутовом телефоне так легко просто можно словить дрянь всякую?
Очень даже запросто. Ломается телега, которая выдает зловреду список контактов и данные профиля. Зловред создаёт профиль-близнец твоего акка (только без номера телефона) и начинает рассылать от твоего имени по твоему списку контактов либо копии себя либо клянчит денег. Очень частая проблема в последнее время.
У жены лучше спросить нет ли у нее "доброжелателей" которые могут захотеть устроить такую карусель. Как уже сказали, таких ботов тьма и за долю малую они могут месяц заваливать смсками и звонками. И защиты какой то внятной от этого нет.
Обычно это целенаправленный смс-бомбинг. Скорее всего, кому-то просто не понравилось что-то. Кто-то кому-то нагрубил, послал и т.п.
Был давний случай, когда некто оставлял объявления под дворниками машин в стиле "куплю ваше авто", а в один прекрасный день этот телефон разрывался от звонков и смс.
Было такое . Давно правда во времена пандемии , подозреваю после дискуссий с антиваксерами . Слишком уж совпало по времени .
Делал - ничего . Отключил уведомления в службе смс , а ночью у меня по расписанию телефон на режиме "не беспокоить". Так, что проблем не было.
Не стал жаловаться и вообще сообщать об инциденте на форумах, пабликах. Может поэтому уроды сдулись через денек, другой .
Блин, у меня то же самое! Только после разговора с про-ваксёрами. Бедные разозлились, что я выздоровел без эксперементальной жыжы. А они и до неё, с ней боялись заразиться, и всё равно в итоге переболели, при чём не раз. И при этом всё это время мне давали свои добрые советы как о здоровье заботиться, рассказывая мне про страшную - не для них - ковидлу.
Как вариант попробовать завести два номера (оба новые) один для всяких сервисов и второй для общения. И не указывать номер для сервисов в соц.сетях. А в сервисах не указывать номер для общения.
В самсунговском телефоне в настройках спама сообщений "блокировать неизвестные номера".
На звонки тоже запрет приема с неизвестных.
Это неудобно для человека с деятельностью нацеленной на общение с открытым кругом контактов, но для простого обывателя это выход. Для курьеров, наверное, можно завести либо второй номер, либо временно открывать прием неизвестных в момент ожидания.
вообще спамят и подписывают все 8-800 и call-in номера тк там отгружают в crm да оттуда сбрасывают резервы на последнию очередь спам-извещения запуская его когда нужно выполнить какие-то объёмы ... возможно до10ого какой-то расчётный период ... они потом ждут что позвонишь говоря отписать - смотрят реакцию и поэтому отпишут только через пару месяцев с повторными отзванияваниями
для юмора
Просто описываю ситуацию, которая случилась с женой, в которой я бессилен, да и решения данной "проблемы" я не вижу.
наткнулся недавно на комменты-диалог:
— андроид же лучше
— объясни моей жене что не айфон
— не можешь управлять женой - вот и терпи теперь
кто-то принуждает чтобы ушли в самолётик и он подняв приём на этот номер смог/пытался получить эти смс - возможно кто-то в районе ближайшей к вам бс
А что делать?
Необычная ситуация.
раньше когда боролись со списаниями с разных сервисов оператор предлагал сообщать чтобы они уже разрулили все отмены да запреты
В прошлом году у меня была очень интересная ситуация. Подключил себе для работы сим-карту МТСа, и в приложении оператора я увидел некорректный подсчет интернет трафика. Я в чате написал им об этой проблеме, долго выносил им мозг, так сотрудник поддержки устроил на меня такую же атаку через СМС. Это произошло именно в момент переписки с ним во время требования создать техническую заявку. Можно, конечно, подумать о совпадении, но! Через примерно полчаса я решил опять обратиться в поддержку с претензией к предыдущему сотруднику о СМС атаке, так мне опять во время переписки начали слать СМС о попытках создать кабинеты в разных сервисах. Совпадение?
Как «достать абонента»