Комментарии 121
Вроде не первый раз уже что-то взламывают, дублируя симки. Двухфакторная авторизация по мобиле после этого уже не выглядит средством, заслуживающим доверия
Мне кажется, надо просто «более правильно готовить» эту двухфакторную авторизацию.
Недавно сменил SIM карту, номер остался тот же. Но каким-то образом Альфа-банк это дело «спалил» и отказался пускать меня в «Альфа-клик» (а пускает туда только по коду из SMS) пока я не приду в отделение банка с паспортом и не подтвержу, что сменил SIM-карту.
Недавно сменил SIM карту, номер остался тот же. Но каким-то образом Альфа-банк это дело «спалил» и отказался пускать меня в «Альфа-клик» (а пускает туда только по коду из SMS) пока я не приду в отделение банка с паспортом и не подтвержу, что сменил SIM-карту.
Да, в альфе меня это привлекает, хотя много где люди пишут, правда нецензурно, «зачем?!».
У Альфы и Сбера договорённость с операторами на этот счёт. Если MSIN абонента меняется, то интернет-банк временно превращается в тыкву.
Ещё, как минимум, у Сбера есть настройка, которая предотвращает появление текста SMS в шлюзах типа мегафоновского SMS+ — авторизационные SMS приходят только на абонентский терминал с SIM-картой, через веб их не достать.
У Яндекс-Денег всё печальнее — проверки на смену MSIN нет, в SMS+ пароли видны.
Ещё, как минимум, у Сбера есть настройка, которая предотвращает появление текста SMS в шлюзах типа мегафоновского SMS+ — авторизационные SMS приходят только на абонентский терминал с SIM-картой, через веб их не достать.
У Яндекс-Денег всё печальнее — проверки на смену MSIN нет, в SMS+ пароли видны.
НЛО прилетело и опубликовало эту надпись здесь
В чем у Тинькова это заключается? Я недавно менял симку, Альфа сообщила об этом, Тиньков — нет.
НЛО прилетело и опубликовало эту надпись здесь
Месяц назад менял симку, с новой симкой смски с уведомлениями продолжали ходить, а вот войти в интернет-банк не удалось. Узнал про это уже по факту, когда не смог войти, никаких уведомлений не было.
у меня обратная ситуация была. Альфа промолчала, а Тиньков превратился в тыкву.
И в Русском стандарте еще тоже
НЛО прилетело и опубликовало эту надпись здесь
Вам не кажется, что проблема вовсе не техническая в данном случае?
Ещё, как минимум, у Сбера есть настройка, которая предотвращает появление текста SMS в шлюзах типа мегафоновского SMS+ — авторизационные SMS приходят только на абонентский терминал с SIM-картой, через веб их не достать.
Для этого действительно необходима отдельная договоренность с оператором?
В условиях аналогичной услуги у МТС (SMS Pro) сказано следующее:
Услуга SMS Pro действует для входящих SMS с номеров абонентов международных и российских операторов мобильной связи, кроме SMS с коротких номеров (номер до 7 цифр), альфанумерик (буквенно-символьное изображение) и сообщений от сервисных услуг МТС.
Сбер рассылает SMS с номера 900, насколько я помню, так что для него это по умолчанию не работает, без отдельных договоров.
Думаю, у Мегафона аналогично это работает.
Знаю историю когда купили сим карту новую, и на этот номер по сегодняшний день приходят смс уведомления от сбера, так помимо уведомлений функция мобильный банк работает. Человек уже не первый год оплачивает мобильный за чужой счет…
Дайте человеку почитать примечание 2 к статье 158 УК РФ, чтобы знал, что «мошенничество, совершенное с причинением значительного ущерба гражданину» — это всего 2500 рублей. При том, что средний ARPU в России — рублей четыреста, а таскание мелочи из кармана длится «не первый год», этот лимит «человек» давно перешёл.
Лучше вернуть присвоенное и придти в банк, кося под честного дурака — пока жертва не заметила и не пошла в полицию. Раскрыть такое дело, даже если телефон оформлен на подставное лицо — дело одного дня (за год оставлено слишком много следов круга знакомств в операторском биллинге) — а возможность легко заработать «палку» по серьёзной статье при минимуме усилий полицию дико обрадует.
Лучше вернуть присвоенное и придти в банк, кося под честного дурака — пока жертва не заметила и не пошла в полицию. Раскрыть такое дело, даже если телефон оформлен на подставное лицо — дело одного дня (за год оставлено слишком много следов круга знакомств в операторском биллинге) — а возможность легко заработать «палку» по серьёзной статье при минимуме усилий полицию дико обрадует.
Что значит каким то образом?) У вас симкарта регистрируется в сотовой сети по своему ID. (кстати ключ шифрования трафика этот ID + ID вышки плюс какой то там рандом. ) Естественно что при привязке вашего номера телефона привязка идет не по телефону а еще и к ID симки, с которой шла регистрация. Нельзя поменять симку, не меняя ее ID.
Другое дело… что… у кого есть доступ к проверке этого?
Другое дело… что… у кого есть доступ к проверке этого?
Ну вообще сейчас любой может узнать IMSI симки. Например через сайт smsc.ru/hlr/
А так, если иметь доступ в ss7 сеть, то это будет ещё и почти бесплатно и договариваться с операторами не надо.
А так, если иметь доступ в ss7 сеть, то это будет ещё и почти бесплатно и договариваться с операторами не надо.
Если при этом стоит мобильный клиент, то в апи иммется доступ ко всем тех данным симкарты
А у знакомой знакомого Сбер провёл транзакцию по симке, заблокированной 5 лет назад, когда был потерян телефон. Деньги так и не вернули.
А Альфа палит смену симки всегда, и молодцы.
А Альфа палит смену симки всегда, и молодцы.
Оператора не меняли? Только симку?
Недавно как раз после смены сим-карты общался с саппортом альфы, чтобы они приняли новую симку.
После стандартных основных вопросов о имени и дате рождения (может еще каких вопросов) мне начали задавать вопросы для подтверждения что я не верблюд.
Так вот — вопросы были такими: «где была совершена последняя операция с картой?» и «на какой номер карты (4 последние цифры) вы получаете смски?». На ВСЕ эти вопросы я ответил… глядя на смски, пришедшие на новую сим-карту… Т.е. вся эта секьюрность при смени сим-карты насмарку.
После стандартных основных вопросов о имени и дате рождения (может еще каких вопросов) мне начали задавать вопросы для подтверждения что я не верблюд.
Так вот — вопросы были такими: «где была совершена последняя операция с картой?» и «на какой номер карты (4 последние цифры) вы получаете смски?». На ВСЕ эти вопросы я ответил… глядя на смски, пришедшие на новую сим-карту… Т.е. вся эта секьюрность при смени сим-карты насмарку.
если есть приложения на Android то теоретически можно сравнить по ICCID и IMSI.
если использовался интернет-банк и Вы использовали крупных операторов то они по договору могут отправлять MSSESID с номером абонента в виде заголовка.
если использовался интернет-банк и Вы использовали крупных операторов то они по договору могут отправлять MSSESID с номером абонента в виде заголовка.
Симкарту можно клонировать. Фактически, симкарта это номер IMSI и зашифрованное число Ki. Подробнее о клонировании можно прочитать здесь. Так вот, смена симкарты меняет эти параметры, а вот клонированную симку не спалит даже оператор
Только авторизация получилась фактически однофакторная через телефон, поскольку знание пароля не обязательно.
Когда я говорил что это не является панацеей для онлайн-банкинга в своей теме про банкинг-вирусы, супермегаэксперты кричали что это есть самое надеждное что только может быть. =)
Перевыпустить СИМку мог только офис оператора, все действия у них логируются, известно какой сотрудник перевыпустил.
Он должен был проверить паспорт владельца.
Он должен был проверить паспорт владельца.
Злоумышленник мог обратиться с поддельной нотариальной доверенностью
Насколько я помню, у сотрудника не отображается изображения скана прошлого паспорта.
Соответственно, возможно использование дубликатов «на данные с базы». Какие степени защиты на такого рода «доках» воспроизведены не знаю, но лично я в офисах операторов нормального оборудования для проверки паспортов не видел (ультрафиолетовая лампочка с лупою в наше сложное время уже не адекватна задаче)
Соответственно, возможно использование дубликатов «на данные с базы». Какие степени защиты на такого рода «доках» воспроизведены не знаю, но лично я в офисах операторов нормального оборудования для проверки паспортов не видел (ультрафиолетовая лампочка с лупою в наше сложное время уже не адекватна задаче)
Изображение неважно, паспортные данные хотя бы, предъявление документа.
Подделка паспорта — это отдельная история.
Подделка паспорта — это отдельная история.
В случае хищения крупных сумм это очень, очень релевантная история.
Данные для «левого дубликата паспорта» берутся достаточно легко из множества «гулящих» баз. Паспорт без проверки степеней защиты (ну или хотя бы сличения фото с «референсом») настолько же надежный способ идентификации клиента, как и «мами клинусь, насяльникэ!»
Данные для «левого дубликата паспорта» берутся достаточно легко из множества «гулящих» баз. Паспорт без проверки степеней защиты (ну или хотя бы сличения фото с «референсом») настолько же надежный способ идентификации клиента, как и «мами клинусь, насяльникэ!»
Я не говорил что нерелевантная, я говорил что отдельная (отдельная большая история), мой комментарий не касался случая, когда оператору предъявили паспорт, пусть и поддельный. Возможно это требовало уточнения.
Он должен был проверить паспорт владельца.
Вы уверены, что именно должен?
Расскажу про свою ситуацию. В 2005-ом году я купил СИМ-карту одного из операторов большой тройки. Не знаю почему, но никакого документа у меня не потребовали. Я пользовался этой симкой, пока не потерял ее вместе с телефоном в 2008-ом. Пришел в офис оператора, рассказал эту историю. Меня попросили назвать несколько номеров, по которым я звонил в последнее время, после чего переоформили симку на меня. Как оказалось, все это время симка была оформлена на какого-то левого человека.
Если этот метод все еще работает, то при должном старании практически любую симку можно переоформить на себя.
То, что агенты операторов или продавцы в ларьках, с лотков — нарушают правила — не значит что правил нет.
У меня 5 или 6 знакомых работали в 2002-2004 в магазинах сотовой связи, и уже тогда были обязаны регистрировать на паспорт конкретного человека, другое дело что это нарушалось сплошь и рядом, в т.ч. регали на себя, на знакомых, на левых — потому что тогда было модно при подключении одной симки давать другую с бонусными минутами, или просто бонусные минуты.
Не далее как в декабре мой друг хотел сделать сюрприз — подарить только вышедший 5S на новый год своей подруге. Но чтобы получить микросимку нужно было тащить её в офис. Чтобы этого не делать — пришёл в офис и присел на уши продавцам. Они сначала отнекивались, потому что это на самом деле связано с уголовкой (этот топик — хороший пример), но поддались на уговоры, т.к. он сказал даты, суммы и счёт пополнения (а пополнялось со счёта его телефона). Но это всё же нарушение и если бы вскрылось — парней бы уволили тут же.
У меня 5 или 6 знакомых работали в 2002-2004 в магазинах сотовой связи, и уже тогда были обязаны регистрировать на паспорт конкретного человека, другое дело что это нарушалось сплошь и рядом, в т.ч. регали на себя, на знакомых, на левых — потому что тогда было модно при подключении одной симки давать другую с бонусными минутами, или просто бонусные минуты.
Не далее как в декабре мой друг хотел сделать сюрприз — подарить только вышедший 5S на новый год своей подруге. Но чтобы получить микросимку нужно было тащить её в офис. Чтобы этого не делать — пришёл в офис и присел на уши продавцам. Они сначала отнекивались, потому что это на самом деле связано с уголовкой (этот топик — хороший пример), но поддались на уговоры, т.к. он сказал даты, суммы и счёт пополнения (а пополнялось со счёта его телефона). Но это всё же нарушение и если бы вскрылось — парней бы уволили тут же.
ОК, но что делать операторам, если у них до сих пор есть множество клиентов, у которых данные заполнены неправильно? Мне, например, было бы очень неприятно, если бы пришлось менять номер.
У меня 5 или 6 знакомых работали в 2002-2004 в магазинах сотовой связи,
Я работал там как раз в это время — с 2002го по 2007й. Всё, что вы написали — правда. Во-первых платили не плохо: около 100 рублей с контракта, что в то время для обычного консультанта-студента были очень хорошие деньги, тем более в бум расцвета мобильной связи, где 30-40 контрактов в день было нормой.
И да, работодатель чётко обозначил правила: подключайте как хотите, но все косяки на вас, вплоть до уголовки, если номер где-то засветится. Да, подключал знакомых без паспорта, но чтобы выдумать паспортные данные — не доходило до такого, хотя конкуренты не стеснялись и этого. Короче бардак был в то время полный. И всем советую, у кого давнишний номер, непонять где оформленный — легализовать его.
У моего друга было украдено с киви кошелька порядка 80 тыс рублей подобным образом. Насколько он успел разобраться — технология такая: злоумышленник находит паспортные данные владельца сим-карты, звонит оператору и просит перевыпустить симку (вероятно не без применения социальной инженерии). На удивление операторы (в нашем случае это был Мегафон) практикуют такие вещи. Так же существует отдельная услуга, запрещающая перевыпуск симкарты без личного присутствия владельца номера, но по-умолчанию она отключена. Ну а дальше, когда есть симка, смена пароля — это лишь вопрос времени.
Мне, в свое время, сотрудник службы поддержки черно-желтого оператора по телефону продиктовал PUK для симки, зарегистрированной на третье лицо, попросив назвать только ФИО и телефонный номер.
а чем закончилась история с другом?
Зато мне Мегафон отказывается заменить симку на usim. Потому что симка куплена в переходе и оформлена от балды. Хотя я прихожу в офис с рабочей сим-картой, могу назвать все платежи и все совершенные звони и все прочие подробности. Но меня вежливо посылают.
И правильно делают. Владелец — не вы, независимо от того, что она у вас находится.
Никогда не понимал этой логики. Допустим, вы не владелец. Но у вас на руках работающая (!) сим-карта. Что изменится от того, что вместо одной работающей сим-карты вам дадут другую?
(меня этот вопрос интересует в части корпоративных сим-карт — без доверенности нельзя поменять сим-карту одного стандарта на другой)
(меня этот вопрос интересует в части корпоративных сим-карт — без доверенности нельзя поменять сим-карту одного стандарта на другой)
Допустим, вы не владелец. Но у вас на руках работающая (!) сим-карта
По-хорошему, оператор должен ее заблокировать после этого, с последующей разблокировкой настоящим владельцем.
Логика проста: процедура замены сим-карты подразумевает блокировку старой и выдачу новой (не важно, на руках она у вас или нет). Юридически они не имеют права этого сделать без заявления владельца.
Юридически? Дайте ссылку на соответствующую статью, пожалуйста. Это в ФЗ О связи такое?
А при чём тут ФЗ «О связи»? У вас был договор с оператором, или не у вас, если не у вас, то при какой вы тут кухне, извините?
Вы сказали, что юридически одну работающую сим-карту нельзя заменить на другую работающую сим-карту (ну, или, если добавить промежуточные шаги — нельзя заблокировать работающую карту, которую принесли в салон оператору, а потом выдать новую карту, взамен заблокированной). Вот я и интересуюсь — что значит «юридически». Если это прописано в стандартном договоре оператора, то что мешает этот стандартный договор оператору изменить (если ни в одном законе такого ограничения нет)?
Кстати, в Условиях оказания услуг связи МТС говорится об обратном тому, что говорите вы:
Да, тут есть приписка про Абонентское оборудование. Но тем не менее, рабочая SIM-карта авторизует пользователя.
Кстати, в Условиях оказания услуг связи МТС говорится об обратном тому, что говорите вы:
Действия, направленные на получение Услуг, совершенные с Абонентским оборудованием, с включенной в него SIM-картой Абонента, считаются совершенными от имени и в интересах Абонента.
Да, тут есть приписка про Абонентское оборудование. Но тем не менее, рабочая SIM-карта авторизует пользователя.
Нифига не авторизует она пользователя. Его авторизует паспорт, и документы, его замещающие (автомобильные права, расписки от юрлиц, и т.д.).
Поймите, что симка — просто ключ к услугам. И юридически имеет силу только договор. Договор может быть изменён, но только при обоюдном согласии сторон (если не прописано иное), а одной стороны в этом деле просто нет.
Поймите, что симка — просто ключ к услугам. И юридически имеет силу только договор. Договор может быть изменён, но только при обоюдном согласии сторон (если не прописано иное), а одной стороны в этом деле просто нет.
Судя по всему, ни к какому выводу, к сожалению, мы не придем.
Почему нельзя заменить одну работающую сим-карту на другую — нельзя, а, например, пароль доступа к Личному кабинету — можно, так и останется для меня загадкой. По закону — никаких ограничений на это нет. Они есть по каким-то внутренним процедурам операторов. В чем их логика — не ясно.
Почему нельзя заменить одну работающую сим-карту на другую — нельзя, а, например, пароль доступа к Личному кабинету — можно, так и останется для меня загадкой. По закону — никаких ограничений на это нет. Они есть по каким-то внутренним процедурам операторов. В чем их логика — не ясно.
Нет, совсем не правильно делают. На лицо отсутствие логики.
За каким фигом злоумышленнику менять рабочую симку на новую? У злоумышленника на руках был только айфон 5с и лень было обрезать старую симку? Его не устроил 3г интернет на старой симке и он решил поменять на симку с 4г, чтобы попробовать 4г?
Где логика?
За каким фигом злоумышленнику менять рабочую симку на новую? У злоумышленника на руках был только айфон 5с и лень было обрезать старую симку? Его не устроил 3г интернет на старой симке и он решил поменять на симку с 4г, чтобы попробовать 4г?
Где логика?
выше ответил.
Мне повезло — в такой же ситуации симку перевыпустили на месте за 5 минут. Хотя за 10 лет владения ей я никогда не появлялся в офисах мегафона и со стороны совершенно левый человек у которого просто есть симка. Вообще стена безопасности там так резко обрушилась с неприступной до нулевой — сначала мне рассказали что ничего нельзя сделать без владельца сим-карты, я пытался рассказать про то что знаю все платежи и номера и сервис гид и что угодно, но нет. А потом резко раз и… давайте паспорт… какой у вас номер? (продиктовал). Ну всё, вот вам новый микросим. 0_о я мог вообще назвать чей угодно номер. Так конечно не дело, но вообще я за то чтобы при большом наборе доказательств сим можно было переоформить. Ну введя дополнительные ограничения — например отключить номер на несколько дней что бы у владельца был шанс.
Пароль аккаунта был изменен через перехват SMS-сообщения с кодом на смену пароля.
ШТОА?
У меня возникает смутное чувство, что киви в данном случае — только один из сервисов, который подвергается подобной атаке.
Сравнительно недавно приходили смс-ки от вебмани и почему-то от uslugi.tatarstan.ru
Отголоски здесь otvet.mail.ru/question/164708875
и здесь forum.webmoney.ru/index.php?/topic/30101-
Злоумышленники с помощью сервисов рассылки сообщений генерируют смс-трафик и каким-то образом получают доступ к 2фа
Либо копированием симки, либо MitM (в вопросе не разбираюсь, не бейте)
Атаки направленные (как в этом случае была долбёжка определенного номера), возможно сперва какие-то «ковровые бомбометания»
Если вам в последнее время приходили похожие смс-ки с кодами на известные или неизвестные вам сервисы — следует задуматься.
Сравнительно недавно приходили смс-ки от вебмани и почему-то от uslugi.tatarstan.ru
Отголоски здесь otvet.mail.ru/question/164708875
и здесь forum.webmoney.ru/index.php?/topic/30101-
Злоумышленники с помощью сервисов рассылки сообщений генерируют смс-трафик и каким-то образом получают доступ к 2фа
Либо копированием симки, либо MitM (в вопросе не разбираюсь, не бейте)
Атаки направленные (как в этом случае была долбёжка определенного номера), возможно сперва какие-то «ковровые бомбометания»
Если вам в последнее время приходили похожие смс-ки с кодами на известные или неизвестные вам сервисы — следует задуматься.
С одной стороны, банки справедливо оставляют ответственность за безопасность сим-карты за сотовым оператором.
С другой стороны, у банков есть техническая возможность поставить еще один рубеж защиты уже на «своей территории», и требовать дополнительных действий от клиента при обнаружении смены сим-карты.
С другой стороны, у банков есть техническая возможность поставить еще один рубеж защиты уже на «своей территории», и требовать дополнительных действий от клиента при обнаружении смены сим-карты.
Так претензии, я так понимаю, должны быть больше к оператору, а не к Киви.
Как уже написали выше, QIWI мог бы следить за MSIN… Но это же QIWI)
Симки симками, но также должна быть системы отката транзакций, отслеживания назначений, контроля больших переводов, большой суммы переводов за небольшой отрезок времени, оперативного реагирования на обращение владельца и т.п.
Интересно посмотреть, как развернется эта история дальше.
Интересно посмотреть, как развернется эта история дальше.
Верно. Это же преступление, выдать новую симку чужому лицу. Ответственность на человеке из офиса ОПСОСа.
Но у киви то же нет проверки на смену MSIN. А хотелось бы, для больших сумм.
Но у киви то же нет проверки на смену MSIN. А хотелось бы, для больших сумм.
А поддержка webmoney говорит, что у них давно есть защита на смену симки
Честно говоря, немного странно хранить такие значительные суммы на QIWI-кошельке. При том, что для входа нужен только доступ к телефону. QIWI давно позиционирует себя как платежный провайдер, а не как сейф. Тут все стороны нафейлили, что в итоге привело к такому результату. Нельзя винить кого-то одного (провайдер, киви, владелец счета), но информация для людей, хранящих там сбережения, определенно, полезная.
Кошелёк для пожертвований, вот и «накапало», просто не вывели вовремя. Не специально же там хранили.
Странно, что на кошельке общественной организации вообще задерживаются такие суммы. Если деньги — на дело, то они должны расходоваться, а не храниться «до лучших времен». А если сумма запланирована как «буфер», то пусть перечисляется на хранение в более надежные места.
А у юрлиц там разве обычный кошелек с полным доступом?
У того же яндекса к примеру никакого кошелька в таких случаях нет, деньги автоматом переводятся на расчетный счет, больше их никуда и никак не вывести.
У того же яндекса к примеру никакого кошелька в таких случаях нет, деньги автоматом переводятся на расчетный счет, больше их никуда и никак не вывести.
Существует много схем, позволяющих делать смену симки без присутствия абонента. Я как-то разбирал один случай, когда у знакомой так симку угнали. Чаще всего этим занимаются банально сотрудники офисов. Так что не доверяйте важные данные авторизации по номеру телефона.
У меня увели 14 тысяч рублей несколько дней назад подобным образом, но без подделки сим-карты. Киви-кошелек привязан к мегафоновскому номеру.
Технология в случае мегафона оказалась где-то даже проще:
1. Подобрали пароль от сервис-гида. Это 6 цифр, я их не знал, хранил в 1Password. Такой пароль создает сам Сервис-Гид по умолчанию. Либо узнали пароль другим способом. Но вариант того, что я сам его скомпрометировал — исключаю. Я получил единственное сообщение о том, что произведен вход в Сервис-Гид мегафона. Но вовремя отреагировать не смог, телефон был не под рукой.
2. В Сервис-Гиде отключили приём смс для моего номера (есть такая услуга)
3. Подключили услугу UMS (приём смс на сайте Мегафона)
4. Сменили пароль на киви, получив все смс через сайт, перевели деньги на другой киви-кошелек, потом вернули(!) и вывели на счёт Альфа-Банка(!!!)
5. Вернули услуги в Сервис-Гиде в исходное состояние.
На всё ушло 20 минут.
Поддержка Киви отправляет в правоохранительные органы, никаких ответов по существу она не даёт. Работать они намерены только по решению суда.
Поддержка Мегафона очень сожалеет, хотя проблема именно у них.
Поддержка Альфа-Банка сделала вид, что записала параметры произведенной транзакции, но по-моему им это не очень интересно, потому что моими контактами они даже не поинтересовались.
Поэтому рекомендую пока что сменить пароль в Сервис-Гиде на максимально сложный (20 цифр) и не хранить существенных сумм на киви.
Технология в случае мегафона оказалась где-то даже проще:
1. Подобрали пароль от сервис-гида. Это 6 цифр, я их не знал, хранил в 1Password. Такой пароль создает сам Сервис-Гид по умолчанию. Либо узнали пароль другим способом. Но вариант того, что я сам его скомпрометировал — исключаю. Я получил единственное сообщение о том, что произведен вход в Сервис-Гид мегафона. Но вовремя отреагировать не смог, телефон был не под рукой.
2. В Сервис-Гиде отключили приём смс для моего номера (есть такая услуга)
3. Подключили услугу UMS (приём смс на сайте Мегафона)
4. Сменили пароль на киви, получив все смс через сайт, перевели деньги на другой киви-кошелек, потом вернули(!) и вывели на счёт Альфа-Банка(!!!)
5. Вернули услуги в Сервис-Гиде в исходное состояние.
На всё ушло 20 минут.
Поддержка Киви отправляет в правоохранительные органы, никаких ответов по существу она не даёт. Работать они намерены только по решению суда.
Поддержка Мегафона очень сожалеет, хотя проблема именно у них.
Поддержка Альфа-Банка сделала вид, что записала параметры произведенной транзакции, но по-моему им это не очень интересно, потому что моими контактами они даже не поинтересовались.
Поэтому рекомендую пока что сменить пароль в Сервис-Гиде на максимально сложный (20 цифр) и не хранить существенных сумм на киви.
А это не может быть что-нибудь вроде приложений под телефон с правами доступа на чтение SMS?
Вариант: пришла смс от Сервис-гида, считали пароль, запомнили, переслали на сервер. Когда-нибудь воспользовались.
Вариант: пришла смс от Сервис-гида, считали пароль, запомнили, переслали на сервер. Когда-нибудь воспользовались.
Нет, потому что в Сервис-гиде зафиксированы все факты подключения услуг и подольский айпишник, с которого это сделано. О сути услуги UMS мне рассказала поддержка Мегафона, сам об этом не знал.
Телефон с этим номером — айфон, неджейлбрейканый.
Сервис-гидом на этом номере я не пользовался года два, поэтому вероятность перехвата исчезающе мала.
6 символьный пароль, состоящий всего из трёх разных цифр подобрать довльно легко. Тут вопрос опять к Мегафону — почему не отследили попытки подбора.
Телефон с этим номером — айфон, неджейлбрейканый.
Сервис-гидом на этом номере я не пользовался года два, поэтому вероятность перехвата исчезающе мала.
6 символьный пароль, состоящий всего из трёх разных цифр подобрать довльно легко. Тут вопрос опять к Мегафону — почему не отследили попытки подбора.
Попытался сейчас сменить пароль на не шестисимвольный (точнее, не шестицифровой).
USSD-код *105*01# не работает. *105*00# генерирует только шестициферные комбинации.
Функция смены пароля работает только в вебинтерфейсе, пароль допускается сменить на другой цифровой, до 26 знаков.
МегаФону незачот :(
USSD-код *105*01# не работает. *105*00# генерирует только шестициферные комбинации.
Функция смены пароля работает только в вебинтерфейсе, пароль допускается сменить на другой цифровой, до 26 знаков.
МегаФону незачот :(
при этом интересно, что SMS от Сбербанка в UMS или SMS+ не отображаются. А вот SMS от Яндекс.Денег — только в путь.
Я так понимаю, мегафоновский Сервис-Гид это что-типа мтсовской ИССА? Зачем вообще заранее генерировать пароль и где-то его хранить? Разве не лучше получать одноразовый пароль по SMS непосредственно в момент входа в систему?
Хорошо, хоть в webmoney можно заблокироваться по звонку. Посидел как-то «удачно» в интернет-кафешке, на след. утро получил несколько SMS с кодами. Позвонил в суппорт — заблочили, пока пароль не поменял. И сказали, что лучше вообще поставить Enum и забыть про ОПСОСов.
Такая же история. У меня были одновременно подключены оба способа подтверждения операций, и через e-num и через смс (с ними все же удобнее, быстрее). Хорошо что успел тут же зайти на сайт настроек безопасности, переключить только на e-num. Толковую вообще штуку вебмани придумали, безопаснее по-моему вообще нет ничего в наших платежках и интернет-банкингах.
а как же лимиты на вывод? Служба безопасности киви? Взять так вот и вывести полмиллиона? Да мне мой банк за любую транзакцию 15к+ звонит!
Не знаю, может быть на самом деле это и бессмысленно, но я бы на их месте оперативно попытался бы перевести деньги на другой счет, когда было ясно, что кто-то активно пытается взломать аккаунт. По крайней мере это позволило бы отсрочить происшествие, и в это время можно было попытаться либо самостоятельно вывести средства, либо достучаться до службы поддержки.
Я писал про то, что с двухфакторной аутентификацией будут проблемы еще в ноябре.
Двухфакторная авторизация бывает разная, можно же через google auntificator делать
Вернули деньги
rosuznik.org/news/495
rosuznik.org/news/495
А у Билайн или МТС есть услуга похожая на мегафоновский смс+?
Ну если вы не можете подробнее рассказать о действиях злоумышленников, то это сделаю я. Как мы знаем, счет киви кошелька, это номер мобильного телефона. По интернет базам собирается информация на этот номер, вплоть до данных паспорта. Заблаговременно покупается пустая болванка симки, куда впоследствии будет перепривязываться угоняемый номер. Далее звоним оператору и под предлогом потери симки/etc, просим восстановить номер на новую симку. Для убедительности называем полное имя/дату рождения/адрес/данные паспорта, которые мы взяли из интернет баз и они соответственно совпадут с данными, которые были указаны в контракте.
Вообще все это происходит из-за халатности операторов.
Вообще все это происходит из-за халатности операторов.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
С QIWI-Кошелька Росузника сняли пол-миллиона рублей