Комментарии 12
Можно я подскажу представителям Минцифр и прочих сподручных РКНа, обслуживающих интересы разного лобби, в том числе и телефонного, что есть ещё и телефонное мошенничество, когда мошенники выкупают целые пулы телефонных номеров, а в интернете можно найти большое количество списков мошеннических телефонов, обновляемых ежедневно. Это вообще кого-то волнует?
"В случае с «Госуслугами» злоумышленники могут перезвонить после вызова врача на дом, представившись сотрудниками поликлиники" - каким образом моментально утекает инфа о вызове врача?
Жертвами таких схем, по данным оператора, стали 54 708 абонентов.
Серьезно? Люди верят во все это вот настолько?
Начали с представителя Билайна (с безымянного), а потом откуда-то взялись другие операторы и банки и представитель Минцифры. Т хотя в статье не указано это вообще и оператор и банк в одном лице. Только по Путину понятно - отчитываются
Меня несколько напугал случай, когда мой аккаунт в Telegram попытались взломать, причём код из SMS (или из уведомления Telegram) как будто узнали (остановила двухфакторная аутентификация). При этом попытка взлома была не случайной: я отказался продавать имя чата в Телеграм, и после этого была попытка взлома — выглядит так, будто могут взломать произвольный аккаунт. Хотя я на всякий случай поменял смартфон (вдруг всё же взломали?), но, всё же, больше опасаюсь, что доставка кодов восстановления доступа ненадёжна (допустим, кто-то продаёт к ним доступ), и аккаунты могут быть взломаны, какие бы мы меры предосторожности ни пременяли.
SMS-сообщения можно перехватывать, также перехватывать и перенаправлять можно звонки целиком. Мировая телефонная сеть своя и уязвимости у неё тоже свои, информация об этом есть в открытом доступе. Учитывая что у мошенников зачастую не малые ресурсы - легко могу поверить в то, что они купили нужные доступы и занимаются подобным.
Вообще аутентификация по телефону - очень сомнительное, но общепринятое дело.
SMS не является надежным средством для двухфакторной аутентификации. Как по техническим причинам, так и из-за человеческого фактора (могут перевыпустить симку "по доверенности"). Поэтому лучше везде, где это возможно, переводить двухфакторку на другие каналы. Или добавлять еще какой-нибудь способ.
В том то и дело что в случаи с гос.услугами усилить свою защиту простому человеку очень затруднительно.
Да, вы правы. В том и дело, что эта проблема существует прямо сейчас. С одной стороны, SMS не является надежным средством. С другой стороны, с SMS, если и слезают, то очень медленно.
Но есть и хорошие новости. Понятие "простого человека" меняется каждый год - уровень компьютерной грамотности продолжает расти. Есть изменения и со стороны сайтов. Все больше сайтов вводят TOTP (Time-based one-time password) в качестве 2FA. Даже на госуслугах появилось подтверждение входа через TOTP. Кроме того, прогресс не стоит на месте: ведущие IT компании (Google, Apple, Samsung, Amazon и Microsoft) стали пушить новый протокол - passkeys. Вход на сайт становится возможен без регистрации пароля и СМС.
На том же авито совершенно спокойно продают фермы сим карт (варианты названия прокси-фермы и т.д.), прям раздолье для мошенников.
Россиян стали чаще обманывать для взлома WhatsApp и Telegram