Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 111
Ну т.е. TOTP обещают пока не трогать, и на том спасибо... А то уже морально приготовился ставить Max в виртуальную машину Bluestacks (и пусть он, установленный там в гордом одиночестве, что угодно сливает, если найдёт что :)
Ну т.е. TOTP обещают пока не трогать, и на том спасибо...
Но, вообще говоря, с точки зрения мошенника уболтать что код из SMS сказать, что из TOTP генератора, что из MAX-а -- разница, я думаю, небольшая. Так что ждем следующей серии изменений.
Ну мы же понимаем, что мошенники - это повод... А KPI по внедрению Макса в массы и без того полпроцента населения, которые в курсе про TOTP и настроили его, вполне выполнится.
мошенника уболтать что код из SMS сказать, что из TOTP генератора, что из MAX-а -- разница
Уж если квартиру за 100+кк продать могут уговорить....
TOTP обычно сам под паролем. Так что до него добраться не так то просто.
Max в виртуальную машину Bluestacks
Он не работает в эмуляторах (обнаруживает эмуляцию). Так же, как не работают и многие банковские приложения.
Ну будем решать проблемы по мере их возникновения. Может, оно и обходится. С кастомной прошивкой и рутом банковские приложения тоже сходу не хотят работать, но после нехитрых манипуляций начинают. Отдельная физическая трубка, вечно лежащая на зарядке с удалённым доступом (не таскать же с собой), - тоже вариант, хотя, конечно, головной боли больше.
Пока же пользую TOTP для Госуслуг и предпочитаю Макс вообще не заводить. В т.ч. потому, что предвижу сценарий "ага, раз на Ваш номер зарегистрирован Макс - теперь все уведомления шлём только в него и никуда больше", а оно мне надо?
Может, оно и обходится
Если бы обходилось, проблем бы не было.
Отдельная физическая трубка, вечно лежащая на зарядке с удалённым доступом (не таскать же с собой)
Если без Макса никак, то оптимальный вариант.
Если бы обходилось, проблем бы не было.
Проверил, поставил Макс под BLuestacks.
Самое смешное, что даже если бы я его на физический телефон хотел установить - пришлось бы плясать с бубном :) "This app is not available for any of your devices" в Google Play (к Гугл-аккаунту три физ. девайса привязаны, кроме виртуалки). Ну а Рустора и Хуавея у меня, само собой, нет.
Ну ОК, нашёл APK (на сайте ссылка запрятана, но есть). Установился, запустился, на запуске не ругается. Но регистрироваться не стал, у меня левых номеров (не на меня зарегистрированных) нет, а свой засвечивать в Максе, пока есть такая возможность, не хочу. Так что, может, в процессе / после регистрации будут ошибки, тут не знаю.
Если без Макса никак
Пока-то легко обхожусь, а вот без Госуслуг никак, так что если СМС для десктопа и TOTP уберут следующим этапом - придётся это чудо заводить. Хотя есть ещё вариант с ЭЦП, но с ним свои сложности (потребный для российской ЭЦП софт тоже держу в виртуалке, а авторизация через Госуслуги без вариантов нужна на основном рабочем ноуте). Посмотрим...
на запуске не ругается
Он и не ругается, он просто не будет нормально работать (перманентно сбрасывать соединение и т.п.).
Самое смешное, что даже если бы я его на физический телефон хотел установить - пришлось бы плясать с бубном :) "This app is not available for any of your devices" в Google Play (к Гугл-аккаунту три физ. девайса привязаны, кроме виртуалки). Ну а Рустора и Хуавея у меня, само собой, нет.
Ну ОК, нашёл APK (на сайте ссылка запрятана, но есть).
Так может вам проще под VMWare поднять виртуальную Винду, а туда поставить десктопный Макс? Такое он точно не способен определять.
Так может вам проще под VMWare поднять виртуальную Винду, а туда поставить десктопный Макс?
А у него есть полноценный десктопный клиент (как у Телеграма, а не привязаный к мобильному, как у Вотсапа)? Ну тогда вопрос вообще выеденного яйца не стóит. Виртуалок виндовых у меня достаточно, вот в ту самую, где сейчас ЭЦП и прочие сертификаты Минцифры настроены для госпорталов, ещё и Макс поставлю, если понадобится (надеюсь нет :)
P.S. Но это, кстати, подрывает логику "а СМС мы оставим для десктопных Госуслуг, вдруг у кого нет смартфона".
А у него есть полноценный десктопный клиент
Вроде есть, насчет полноценности не знаю, заявлен даже Линукс (причем аж deb, AppImage и RPM). Насчет привязан или нет - тоже не знаю, к сожалению.
полноценный десктопный клиен
Никакой он не полноценный. На линуксе это просто веб-приложение в кастрированном хромиуме. Глючит. Ссылки подключения к группе нормально не работают. В панели управления звуком он отображается как Chromium. До полноценности как у телеги еще далеко.
Почему вы боитесь MAX, а приложения Госуслуги не боитесь?
Ну а для десктопа пока доступны SMSки.
А при чём тут приложение Госуслуг?
Ну потому что только в него теперь нельзя зайти используя в качестве второго фактора код из СМС сообщения.
Если вы его не используете, то для вас на данный момент ничего не поменялось.
Речь, насколько я понимаю, и про мобильную версию сайта тоже.
Для меня в любом случае ничего пока не поменялось, у меня уже много лет как TOTP, с чего и началась эта ветка комментариев. Но если смотреть в будущее, то отключение TOTP и СМС даже для десктопной версии выглядит логичным продолжением (тут в соседней ветке говорят, что у Макса и самостоятельное десктопное приложение есть, так что логика "а как быть тем, у кого нет смартфонов" не сработает - с чего-то же Вы Госуслуги открываете, вот и ставьте туда Макс, мы его под все платформы наклепали). Это будет не смертельно, но неудобно, конечно.
Специально перед написанием прошлого комментария проверил -мобильная веб версия тоже работает через смс коды, возможно временно, но на данный момент у меня так.
Ну а веб версию Макса то чего бояться, она в браузерной песочнице
Ну а веб версию Макса то чего бояться, она в браузерной песочнице
Там ещё и веб-версия есть самостоятельная? Тем более проще будет.
Да в целом-то я Макса не боюсь, песочницу я ему создам в любом виде. Но от участия в этом цирке, "добровольно и с песнями" (с) пополняя статистику регистраций в Максе, пока такая возможность сохраняется, воздержусь.
То Гугло-сервера старые, то мошенники
Как страшно жить....
клоуны.
Тут работники в банках не могут людей убедить что те сливают свои деньги мошенникам, а они на чат-бота рассчитывают)) Если доблестное "ФСБ проводит спецоперацию", то свежеиспечённому "агенту" выдадут подробные инструкции что отвечать в том числе и чат-боту.
Почему вы решили, что там рассчитывают, что какие-то чат боты защитят людей от мошенничества? Им вообще пофиг на мошенников. Задача только в том чтобы все поставили мессенджер со встроенной прослушкой. За этим они и выкручивают населению руки. Какую они там пургу выдумали в качестве очередного оправдания вообще не играет никакой роли, зачем ее обсуждать?
Как, скажите, как можно передать такие коды третьим лицам?
Какой низкий уровень информационной грамотности должен быть?
Ладно другу, внуку сказать, что бы помог, но это…
Это глобальная вообще проблема?
PS: они может и ключи от дома отдадут, если красиво попросить…
Это глобальная вообще проблема? /риторика
Да. В Passkey авторизации внешним устройством, например, для ее рашения (чтобы соответствующий QR по каналам связи не имело смысла передавать) сделали proximity test через bluetooth.
Мне кажется зарубежом таких Ларисочек еще поискать надо…
А нет вспомнил пару случаев, но то иные разводки. там обычно просят мем-койн купить, прочий гербалайф, но тут речь о взаимодействии банк-клиент. Этот вектор мошенничества тоже глобально процветает? Или это только у нас банкиры из тюрьмы звонят?
В 14 году ездил в США, ночевал в гостинице Атланты и там сразу на ресепшене предупредили, «вам будут звонить ночью и просить номер кредитки, не говорите». И действительно ночью звонили на гостиничный телефон и настаивали что срочно нужен номер или выселим.
Так что проблема не новая и не чисто российская.
В комментариях двое ребят отличились, узрев о чем я:
Это Вы с примером, который четко показывает, что обучение/предупреждение — это очень важный фактор. Просто необходимо детям давать общие уроки о ПДД и прочих прелестях жизни.
И парень из Латвии, который рушит тезис воспитательных инициатив, так их испытания показали, что всё без толку.
Хотелось бы солидную статистику увидеть именно по этому вектору, где банк-клиент, а не звонки в час ночи)) Банки ночью не звонят.
Ну и вот еще тезис (о глобальности феномена): https://habr.com/ru/news/973760/comments/#comment_29212040
Много людей ловят на невнимательности, пока они заняты другими делами, находятся в дороге. Очень массовое явление.
У нас людей столетие выдрессировали, когда к ним обращается человек в погонах стоять по струнке, выполнять каждое слово и даже не пытаться что-то там думать. За столетие-то хотя бы должны же были быть результаты? Вот они.
Столетие? От жандармов в морду тоже прилетало за непочтительный вид. Так что не одно столетие.
Проблема не в том, что вытягиваются в струнку. Вообще в другом:
Мошенник, представляющийся человеком в погонах, говорит жертве: или ты сотрудничаешь или мы на тебя состряпаем дело. И жертва отлично понимает, что если человек в погонах, то ему состряпать фиктивное дело как два пальца. Т.е. жертва изначально не ждет законности от представителя власти и поэтому идет на "сотрудничество".
Вот что выработали в сознании людей - что власть никогда не защитит, а доставить проблем может легко.
Какой низкий уровень информационной грамотности должен быть?
Обычный нулевой уровень грамотности. Люди работающие в некоторой отрасли очень часто переоценивают знания людей, которые не работают в этой отрасли. Это вообще не только про it, так практически везде. Я в своей жизни наслушался такого, что мемуары писать можно)
Обычный нулевой уровень грамотности. Люди работающие в некоторой отрасли очень часто переоценивают знания людей, которые не работают в этой отрасли.
И поэтому ключ должен быть физическим. Желательно - и выглядеть как, как в Гарри Поттере. "Вот эта штуковина - ключ от того места, где твои деньги лежать". Максимально доходчиво.
И поэтому ключ должен быть физическим.
не спасает. проводили учения, несмотря на хардварный токен, все равно многие вводят доменный парол на левых ресуртах при тренировочном фишинге.
все равно многие вводят доменный парол на левых ресуртах при тренировочном фишинге.
Ну и пусть. Ключ и его протокол же защиту от фишинга предусматривает? Т.е. даже если пользователь в данном случае сдурил - сам механизм авторизации его частично спасет.
Не говоря у о том, что пароль должен быть не доменным, а от ключа. Очень хорошо - если ключ еще и локальную (дальше себя не отпускает) биометрию умеет.
Основы ПДД и такие вещи в школе надо преподавать
не помогает. при переключении на вагоне задач сбивается фокус, сам кликал. или читал на полном серьезе
Да, я по сути повторился.
Но судите сами: открыть письмо от принца из Африки и звонок из банка — это разные вещи.
Однако радует что вы проводили исследования, учения , жаль что результат негативный.
несмотря на хардварный токен, все равно многие вводят доменный парол на левых ресуртах при тренировочном фишинге.
А убрать доменные пароли, оставив только password-less аутентификацию? Технически сейчас это доступно.
Есть мнение, что не существовало вовсе никаких "бабушек-мультимиллионеров очень внушаемых", у кого уводили деньги, а был это инфоповод, повторяемый длительное время для оправдания в итоге массового загона в стойло периметр, легко наблюдаемый тварищ майором, чтоб ни в каких заморских не организовывались аки жители Непала не так давно: возможно поэтому и ускорились после сентября, а сейчас ещё и предновогодние KPI наверное.
Сильно уж в недоумение вводит, что живёт пенсионер откровенно нище (с точки зрения стороннего наблюдателя конечно), а у него оказывается было дофига миллионов.
Вдвойне недоумение от количества: весь год (как минимум) только подобные истории и слышно; будто чуть ли не каждый встречный пенсионер -- замаскированный богатей и одновременно легко внушаемый.
И Втройне, но это опыт субъективный, что трясутся над каждой копейкой ради детального объяснения её надобности. А вот на миллионах мышление отключается почему-то (якобы)
Но возможно и, допускаю, просто до последнего не хочется записывать людей в дураки, да ещё и массово.
Вряд ли. В Латвии тоже очень много денег уводят, при этом борются с этим через пень-колоду, еле-еле, и каждый год цифры растут.
Тут интересен вопрос, почему все эти массовые разводки пенсионеров-миллионеров и прочих долиных, вдруг стали такой громадной проблемой (ради которой нужно вводить тотальный контроль и ограничения) именно в последние пару лет. Онлайн-банки, переводы, SMS и все такое широко используются народом уже довольно много лет, но почему-то о повальном мошенничестве в этой области такого шума (и соответствующих последствий в виде ограниченй всего и вся) не было. Что,-собственно, случилось? Лет пять назад мошенников не было, или они были, но их власти старались не замечать?
Были, но не так качественно работали. Если раньше это были не очень организованные группы, в том числе на зонах, то сейчас это уже на промышленной основе работает - колл-центры, держатели сим-боксов, организаторы дропов и курьеров. Со своими методиками, KPI и эффективными менеджерами. И поток денег за бугор просто попер...
Поэтому государство и встрепенулось, понятно, что не из-за защиты пенсионеров. :)
Были, но не так качественно работали
Гидру государство почти десять лет качественно полноценно игнорировало. Куда уж более еще более организованная деятельность чем у гидры? Куда больше потери денег и больше проблем стране, чем от организованной наркоторговли?
Число активных пользователей самого популярного маркетплейса по торговле наркотиками в даркнете […] составляет 800 тысяч человек (по всей стране. — Ред.). Через […] ежедневно прячется 13,6 тысячи тайников-закладок с запрещенными веществами на сумму 227 миллионов рублей. С учетом динамики спроса на наркотики, это 5,9 миллиарда рублей в месяц и 64,9 миллиарда рублей в год»
А наркомания с тех пор (да с некоторыми заболеваниями, вроде вич), вообще не собирается уменьшаться, государству до этого дела никакого нет, одни слова. Государевы деятели и сами за бугор денег с ресурсами как посылали так и посылают. Тут конечно можно согласиться, что мошенники мимо их карманов, но сомнительно, что организация такого рода мошенничества проходила без участия высокопоставленных лиц. Игнорировать год - еще можно поверить, но телефонное мошенничество помню еще с нулевых, без смартфонов, уже тогда все были в курсе массовых обзвонов с выигрышами и "ваш сынодочь попал в ситуацию".
Имхо, здесь вопрос денег встал, что нужно с населения получать процент, а потом реализация отличных идей вроде "налога на болванки", "мошенники и надежные частные мессенджеры". С каждой навязанной государством дополнительной подписочной "услуги" олигархату уходит процент, компенсация их потерь за наш счет, эх. Идеальная схема, неотменяемая подписка, каждый должен быть со смартфоном, госуслугами и мессенджерской махинацией. Один процент на болванки, другой на запись и хранение данных, пять на покупку смартфона и техники, что-то на замедление интернета, да и на пресловутые защиты от мошенничества. И на организации всего этого цирка безопасных подписок кормится орава заинтересованных лиц, начиная с Михалкова и не заканчивая Усмановым с компанией. Любой чих оценивается. Дальше - больше.
До ковида не было массово онлайн-банков и прочих госуслуг. После ковида их насильно подключили всем пенсионерам и прочим хомякам. Кому надо, кому не надо, у кого нет никакого уровня грамотности пользоваться такой техникой, и с самыми примитивными, дешевыми средствами защиты, которые латают уже по факту такими способами.
Не знаю на счет массовости, но я знаю такого пенсионера (без дофига миллионов правда). Делает все, что по телефону незнакомая тетя скажет. И sberpay поставит и код продиктует. Пытается покупать типа лекарства по 15000р в интернете (сахар с водичкой). Спашиваешь - зачем? Почему? Молчит или говорит не знаю. Объяснять просто бесполезно. Как об стенку.
Знаю пенсионеров, которые так не делают и не будут. Таких больше.
живёт пенсионер откровенно нище (с точки зрения стороннего наблюдателя конечно), а у него оказывается было дофига миллионов
Крайне распространенная история у пожилых, ваши сомнения странны. Собирают "гробовые", "внучкАм", "на черный день" или просто "на всякий случай", ужимаясь в быту, но накапливая огромные суммы (что-то типа патологического накопительства). Лично таких знаю, да и историй в духе "умерла бабушка - а у нее на счетах миллион" знаю полно, и, опять же, лично, и понаслышке.
Большой простор для субъективности опыта, не спорю. Спасибо, что поделились своим опровергающим.
умерла бабушка - а у нее на счетах миллион
Такие истории и я знаю и обычно заявлялось о сумме не больше 10, что ещё как-то могу представить. Но теперь понимаю и повторюсь, субъективность опыта.
Увы, существуют. Сам не верил, пока пенсородственника не развели на то, чтобы перевести на безопасный счёт кучу лимонов... (facepalm) Откуда у них деньги? В конкретно этом случае - были деньги от продажи наследственной квартиры. В остальных случаях это накопления. Кто-то откладывал с пенсии, кто-то продал дачи-гаражи, кто-то квартиру сдавал. Они не тратят, они копят, а потом по спецзаданию ночами носят кэш в банкоматы. Это реально...
Откуда? Например квартиру полученную по очереди в центре Москвы 50 лет назад продать.
Не в сумме там дело, а в человеке который ими манипулирует на другой стороне трубки. В состоянии стресса мозг выключается и человек ищет подсказки что делать и просто выполняет их.
Когда на вас смачно опрожнилась птица, что вы скажите женщине которая подаст вам платочек?
Скрытый текст
В Аргентине это типичная разводка, тебе обливают и пока одни люди помогают тебе отмыться, другие уносят твои вещи.
До того как вы о ней узнаете, весь ваш предыдущий опыт будет играть на руку мошенникам.
Как, скажите, как можно передать такие коды третьим лицам?
Это происходит в состоянии дезориентации и растерянности, которую мошенники вызывают у жертвы с помощью методов социальной инженерии. Самая уязвимая группа - пожилые люди, с кнопочными телефонами.
Я как-то давно отправил очень сильно платное смс на номер. При этом я прекрасно был знаком с таким видом мошенничества в силу того что на тот момент работал в сфере обслуживания ПК и часто встречал такие истории. Тупо по запарке вечером мозг выключен был, были какие-то шаблонные действия, вход на вебстраницу, новое окно авторизации, мои данные, номер, всё так органично и ненавязчиво было вшито в портал, реально выглядело как будто это часть нового функционала для улучшения безопасности, я только минуты через 3 после отправки смс подумал, а какого собсно фига происходит. Насколько я разобрался, на пк что-то типа вируса было, оно ставило свой плагин в браузер, который на лету встраивал левый код в оригинальные вебстраницы популярных сайтов.
А что было тригером — вирус, как он инициировал (попросил вас открыть сайт чего-то там)?
Я же больше акцентирую момент со звонками из банка — когда фальшивый банкир просит продиктовать код. И понятно, что много неграмотных, но надо с этим делать что-то было еще вчера.
Не знаю, может потому что я тусуюст в рунете, но в итальянском сегменте и в новостях ихних я не слышу и намека на такие вектора атаки, когда звонят из банка и просят код.
Триггера не было, я как обычно зашёл на страницу, а там появилось дополнительное окно с новым функционалом на вид идеально подходящее по стилю, как будто штатный запрос подтверждения учётной записи. Процесс висел в фоне и ждал когда я сам попадусь на него.
В России для такого вида мошенничества сложились особенные удачные условия последние несколько лет. Люди занимающиеся таким видом мошенничества находятся в соседней стране, владеют языком, защищены от влияния правоохранительных органов, с ними никто не борется, даже наоборот, определённого рода протекция оказывается.
Сложно представить что например в Швейцарии стоят отдельные здания офисы с колцентрамм, в котором сидят мошенники обзванивающие пенсионеров итальянцев, при этом швейцарская полиция и другие швейцарские службы будет усиленно игнорировать это.
перед получением кода чат-бот задаст вопросы, которые помогут выявить злоумышленника. Если ответы вызовут подозрение — он не выдаст код и предупредит об опасности.
Тут что-то вообще непонятное написано. То есть пользователю еще и с ботом беседовать придется на каждое подтверждение входа, а ежели ответ боту не понравится, так он пользователю код не отдаст? Если да, то надо держаться от такого "подтверждения" подальше. Или он как-то (как?) собирается предотвращать копирование и пересылку кода куда-то еще?
А, спасибо, чуть понятнее. Но вопрос, на что срабатывает эта предупреждалка. Если это фича со стороны Госуслуг (условно, заход с нетипичного IP или какое-то другое событие триггерит отправку в мессенджер флага "тут что-то не так"), тогда непонятно, почему оно не встроено в сами Госуслуги. А если фича чисто самого Макса, видится просто бесполезной помехой.
То есть пользователю еще и с ботом беседовать придется на каждое подтверждение входа, а ежели ответ боту не понравится, так он пользователю код не отдаст?
Оно 'бот', судя по всему, только называется. Так - просто небольшой квест по прохождению вопросов 'а ты точно понимаешь, что делаешь?' Раза с третьего, поди, будешь не глядя проскакивать.
Раза с третьего, поди, будешь не глядя проскакивать.
Тогда смысла нет. Это способ выявить, что в данный момент человеку позвонили мошенники, и попросили его дать им код для авторизации на Госуслугах. Он зашел в "комнату авторизации", и чат-бот его спрашивает - "Вам сейчас звонят мошенники, и просят вас получить код для доступа, и сказать им. Правда ведь?" Человек отвечает - "Нет, не правда." А чат-бот говорит - "Врешь! Тебе мошенники звонят и просят код! Пошел нафик отсюда! Сейчас в милицию позвоню!". Если человек переубедит чат-бота, то получит код. Если нет, то пойдет нафик.
Тогда смысла нет.
Косвенные есть. Потом, на разборках спросят "вас же спрашивали, по чъей-то просьбе вы это вводите или сами захотели. И что это мошенники могут быть, напоминали?" и так далее. На результы решения "осозновал ли человек, что делает?", чисто теоретически, должно влиять.
Это как со всеми EULA - то что их никто не читает, не означает, что их соглосятся просто убрать.
@Это способ выявить, что в данный момент человеку позвонили мошенники, и попросили его дать им код для авторизации на Госуслугах.
Не логичнее ли было бы сделать тогда так, чтобы Госуслуги привязывались к "железу", на котором установлены, или на котором регулярно запускаются (в случае ПК версии). Разнобразные коды и пароли, которые можно продиктовать, это ведь очевидая дыра в безопасности. Помимо разнообразных ПИН-кодов и т.п. должен быть реальный "железный" ключ (в идеале карта-доступа). который владелец физически держит в руках при авторизации, и который удаленно по телефону никак не передашь мошеннику.
(в идеале карта-доступа).
В контексте Госуслуг - лучше не карта. А что-нибудь, что явно ассоциируется с официозом. Я обычно предлагаю форм фактор штампика мокрой печатьи. Которым можно и шмякнуть по бумаге. (Да я в курсе, что японцы обдумывают, как бы от таких отказаться, но на мой взгляд - зря).
@В контексте Госуслуг - лучше не карта. А что-нибудь, что явно ассоциируется с официозом.
У нас (в Эстонии), уже лет двадцать, это именно карта с чипом, фото и разными защитными графическими финтифлюшками (она же полный аналог российского внутреннего паспорта. Есть еще бумажный (необязательный паспорт) -- аналог российского загранпаспорта, который никакого доступа к банкам, местным госуслугам и т.п. не дает). Карта, и пин-коды к ней, выдается в МВД и никак ни с какими телефонами не связана. Вход куда-либо -- карта в специальном ридере и пин-код. На мой взгляд, это наиболее логичная система и непонятно почему в РФ так не делают. Вроде бы в РФ тоже есть какие-то usb-токены с цифровой подписью, через которые можно авторизоваться, но до широких народных масс это почему-то не дошло.
Вроде бы в РФ тоже есть какие-то usb-токены с цифровой подписью, через которые можно авторизоваться, но до широких народных масс это почему-то не дошло.
Рекламы мало
Была анти реклама некоторое время назад - когда ЭП выпускали как попало (а эти токены ее носителем и являются) и теперь остались плохие ассоциации.
Токены выглядят (да и являются, на мой взгляд) небоснованно дорогими.
А выдачу государственного электронного ИД государство несколько раз заваливало, пытаясь переложить расходы на посторонних лиц;
В РФ такое есть как раз в загранпаспорте - его даже можно использовать для генерации ЭЦП (и подтверждения личности в госуслугах, вроде бы) - просто подносим к телефону и те по NFC общаются.
Почему такое не сделать для внутреннего паспорта и того же входа в Госуслуги - не знаю, надо зайти - поднес к телефону паспорт и вжух...
Загранпаспорт даёт возможность зарегистрировать стандартную биометрию (это второй уровень из трёх возможных) в ЕБС, а уже потом через ЕБС куда-то можно входить / что-то делать. Сам по себе загранник тут только промежуточное звено (и слава Богу, т.к. биометрический загранник нужен без вариантов, а в ЕБС я попасть не мечтаю).
должен быть реальный "железный" ключ (в идеале карта-доступа). который владелец физически держит в руках при авторизации, и который удаленно по телефону никак не передашь мошеннику.
Есть Passkeys, в варианте с неизвлекаемыми ключами, в том числе для Android и iOS. Но таких пользователей тоже разводят, вынуждая привязать к своей учетке чужой девайс.
Но таких пользователей тоже разводят, вынуждая привязать к своей учетке чужой девайс.
Это как? Потому что чтобы добавить чужой девайс, нужно чтобы этот девайс был рядом с уже открытым залогиненым интерфейсом.
Ну а если ты в Госуслуге в чужом телефоне (т.е. мошенник вот буквально рядом стоит, он тебе телефон дал) логинишся и passkey на нем создаешь - то тебе ничего не поможет.
@Это способ выявить, что в данный момент человеку позвонили мошенники, и попросили его дать им код для авторизации на Госуслугах.
Человек либо внушаем и ограниченно дееспособен (например, в силу возраста), либо нет. Если уж его убедили, что ему звонят из ФСБ (Марса, от английской королевы) и он согласен все перевести и отдать невесть куда и кому, то такой квест от Max с Госуслугами он наверняка пройдет под чутким руководством мошенников.
будешь не глядя проскакивать.
Какая прелесть. Ну просто всякие глупые ничего незначащие вопросы(сколько мотоциклов на картиинке? как сильно обожаешь ...? а где Вы были в такое-то время?) пока у юзера все мысли про любимую справку с госуслуг, нелюбимый макс, и фантасмогорических бабушках-миллионерах-мошенниках.
Осталось (попросить старших партнеров) допилить touchID, faceID на распознование повышенного пульса,давления,потливости и вуаля.
Ну не зря же у этого мессенджера доступ к истории звонков и статусу есть.
Вот Max и скажет - а с кем же ты, зараза, минуту назад разговаривал (или даже разговариваешь прямо сейчас)? И их номер у меня в черном списке... давай-ка я над ними постебусь, а ты послушай пока на громкой связи, как они материться начнут... (ну помечтать-то можно?)
Преимущества кода в МАХ
Этот способ имеет дополнительную защиту от социальной инженерии — перед получением кода чат-бот задаст вопросы, которые помогут выявить злоумышленника. Если ответы вызовут подозрение — он не выдаст код и предупредит об опасности.
Это значит что в приложение МАХ встроена функция валидатора личности, в виде ИИ-агента (чат-бота).
Но ее можно и в приложение Госуслуг встроить. И как отдельное приложение сделать.
Или у разработчиков МАХ есть особая лицензия на чат-ботов, или какая-то сверхнадежная технология ИИ-психоанализа (с помощью социальной инженерии)?
Похоже, что как отменят TOTP я потеряю любую возможность заходить в наши Самые Лучшие Госуслуги.
Штош, ну значит таков путь.
я потеряю любую возможность
Вы сможете заходить через сайт с смс.
Связку "сайт+смс" не уберут, потому что тогда резко отвалятся все пенсионеры, у которых смартфона с максом нет.
А в приложении вполне могут оставить лишь макс, потому что если у человека стоит приложение, то грех ему ещё и макс не впарить.
Политика победила безопасность...
Один FIDO2 и никакие пароли никуда бы не утекли. С учётом что и max требует не самую древнюю ОС, то FIDO2 он уже наверняка поддерживает.
FIDO2 сам по себе не мешает привязать к одной учетке несколько девайсов - этот вопрос уровнем выше. Плюс там есть вариации, где ключи извлекаемые, а так же поддерживается синхронизация ключей между несколькими девайсами (удобно же). UX до сих пор отпугивает неподготовленных пользователей. Но мошенник убалтывает жертву добавить в учетку свой девайс и все мучения идут на смарку.
Я не спорю, это огромный шаг вперёд, по сравнению со всем остальным. Но одно дело внедрение в корпоративной среде, где вы можете многое контролировать. И совершенно иное - сервис уровня Госуслуг, который должен быть доступен самому широкому кругу граждан. Это сложная задача.
Но мошенник убалтывает жертву добавить в учетку свой девайс и все мучения идут на смарку.
Согласен, как-то не подумал об этом что действительно если сделать возможность добавления девайса достаточно простой, то это можно сделать.
UX до сих пор отпугивает неподготовленных пользователей
Я-бы сказал что, да, технология новая, но дальше зависит от того как её приподносят. К примеру недавно всем пользователям WhatsApp с номерами +7 пришло уведомление о возможности подключить Fido2 и я редко слышал чтобы кто-то отказывался.
По поводу интеграции, то завист от того как это представлено:
вот для примера
Дальше, я могу только порассуждать, если есть интерес подискутировать на эту тему, то можем продолжить.
Спасибо, не знал что госы поддерживает TOTP, отвязал себя и родственников от смс в пользу TOTP сейчас через мобильное приложение.
А точно смс отвязался? Даже через сайт нельзя зайти? Насколько я помню, полностью запретить смс нельзя было.
Да. Мак, Сафари, анонимный режим
скрин входа
Да. Мак, Сафари, анонимный режим
Я думаю не это спрашивали. А про то, нет ли какого-то пути позволяющего получить доступ к учетке, который через SMS проходит. Всякие восстановления пароля и так далее.
То что вход только по TOPT без смс уже плюс. По поводу восстановления пароля, я так понял, если его как-то и изменили посредством смс, то для подтверждения входа все-равно нужен будет TOPT - двухфактор же.
А если нажать "не могу подтвердить вход", оно там случаем не предложит смс отправить)?
Я вот наоборот не нашел, как подключить TOTP и оставить SMS. Там на выбор второго фактора стоят "радио"-кнопки.
Мне вот в голову не может придти правдоподобное объяснение почему topt менее надёжный и безопасный чем max.
totp (тот-пэ) и хотел написать в ранних комментах был ответ - оказалось в другой новости и чего-то не нашёлся ещё с сообщением о контролировании производителями ios&roid: те не надёжно
https://habr.com/ru/news/973700/#comment_29211520
Очевидно, что это плохая идея совмещать средство аутентификации в одном адресном пространстве с кучей потенциально уязвимого кода (были уже прецеденты, когда мессенджеры ломали через отправку сообщения).
Очевидно, что изобретать собственную криптографию и еще и не показывать ее никому для независимого аудита, это последнее, что нужно делать.
Но кого это волнует? Весь этот цирк не про безопасность.
были уже прецеденты, когда мессенджеры ломали через отправку сообщения
мессенджеры сша его партнёром - в том числе гугл и эпл
изобретать собственную криптографию и еще и не показывать ее никому для независимого аудита, это последнее, что нужно делать
а кто показывает гос-мессенджеры на аудит
Но кого это волнует? Весь этот цирк не про безопасность.
так франция заявляет что:
риск перехвата электронных сообщений растёт, из-за чего под угрозой оказывается конфиденциальность переписки, а число кибератак продолжает увеличиваться
не могут предоставить необходимый уровень защиты конфиденциальной переписки
с ростом кибератак увеличивается риск утечки конфиденциальной информации
от американских цифровых платформ, которые при необходимости могут их «использовать в своих интересах
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Минцифры: принято решение постепенно отказываться от подтверждения входа на «Госуслуги» через СМС из-за мошенничества