Эта история звучит мерзко, но не сказал бы, что неожиданно. На мой взгляд, всё это - неизбежное следствие нормализации в обществе сначала феминизма, а поттом и кронапаники.
Здесь я уже не уверен, что проще — искать по форумам или долбить сайт. Зависит от знаний атакующего aka уже утекшей информации, целей атакующего (взломать конкретный аккаунт или любой из 1000) и агрессивности настроек условного fail2ban на сервере. Хотя в целом не важно, что сложнее, оба метода могут рабоать.
Вариант: «Ваш любимый фильм» — ответ «тангенциальный»
Контрольные вопросы (как правило, в большинстве случаев) — явная дыра в безопасности. Фактически ответ на такой вопрос представляет собой альтренативный пароль, который, скорее всего, будет словарным + большинство админов не считает нужным даже хешировать базу этих ответов, не то что солить.
Особенно весело это выглядит в сочетании с (не очень разумными, на самом деле, тоже) «правилами безопасности паролей»: Мы заставим вас ввести пароль из минимум 12 сиволов, содержащий большие и маленькие буквы, цифры и спецсимволы (последнее — отдельный вид граблей замедленного действия в процессе всевозможного экоранирования параметров, однажды у таких админов какая-нибудь звёздочка в пароле не будет правильно заэкранирована и обрушит SQL-запрос). Но при этом предложим вам выбрать контрольный вопрос вида «как звали вашу первую собаку», ответ на который позвоялет сбросить пароль, и у 90% пользователей этот ответ будет из словаря в 1000 слов длинной.
Использовать нал и BTC. Серьёзно. Банки уже давно, всё меньше скрываясь, превращаются из средства сохранения денег в инструмент власти сначала для конроля, а потом для отъёма наших денег.
И банки совершенно не собираются сейчас усиливать безопасность наших аккаунтов, им это не надо. Наоборот, им нужно, чтобы уязвимости были, чтобы можно было прикрыться типа «ваш аккаунт был взломан через sms», если родина прикажет спереть деньги. Пока нужно. И пусть лучше наши деньги не долежат в банках до того момента, как уже станет не нужно.
Да мне кажется, они уже даже не скрывают особо, что их цель при требовании телефона — не «защита клиента», а наоборот, облегчение для спецслужб доступа к аккаунту клиента и облегчение идентификации этого клиента, если он будет слишком откровенно высказываться на злободневные темы.
Знание номера или реального IP-адреса не защитит вас от органов правопорядка.
Не могу с этим полностью согласиться. В случае платной аренды номера у клиент появляется дополнительная точка отказа — неанонимность денежного перевода. Админам сайта известен номер. Владелец номера, если он не хочет, чтобы крайним назначли его, хранит логи аренды и платежей за неё. После этого в банке выясняется отправитель перевода.
Да, теоретически анонимные методы оплаты существуют. Но я сомневаюсь, что админы сайтов с арендой номеров позвоялют их использовать, поскольку в таком случае крайними назначат уже их.
Да, ещё бывают сайты, где номера вроде как показываются бесплатно и без регистрации. Не знаю, как это работает и показывают ли там вообще реальные sms или это пустышка. Но такие номера легко банить отправителям sms: на сайте с номерами нет регистрации, админ сайта с требованием номера может легко забрать список номеров. (И поэтому я подозреваю, что скорее пустышка.)
Даже если истинно анонимные методы регистрации по телефону существуют, они достаточно малоизвестны, и большая часть клиентов всё равно до них не дойдёт, потеряет на каком-то этапе анонимность и попадётся в лапы товарищу майору.
Эта история звучит мерзко, но не сказал бы, что неожиданно. На мой взгляд, всё это - неизбежное следствие нормализации в обществе сначала феминизма, а поттом и кронапаники.
Особенно весело это выглядит в сочетании с (не очень разумными, на самом деле, тоже) «правилами безопасности паролей»: Мы заставим вас ввести пароль из минимум 12 сиволов, содержащий большие и маленькие буквы, цифры и спецсимволы (последнее — отдельный вид граблей замедленного действия в процессе всевозможного экоранирования параметров, однажды у таких админов какая-нибудь звёздочка в пароле не будет правильно заэкранирована и обрушит SQL-запрос). Но при этом предложим вам выбрать контрольный вопрос вида «как звали вашу первую собаку», ответ на который позвоялет сбросить пароль, и у 90% пользователей этот ответ будет из словаря в 1000 слов длинной.
И банки совершенно не собираются сейчас усиливать безопасность наших аккаунтов, им это не надо. Наоборот, им нужно, чтобы уязвимости были, чтобы можно было прикрыться типа «ваш аккаунт был взломан через sms», если родина прикажет спереть деньги. Пока нужно. И пусть лучше наши деньги не долежат в банках до того момента, как уже станет не нужно.
Да, теоретически анонимные методы оплаты существуют. Но я сомневаюсь, что админы сайтов с арендой номеров позвоялют их использовать, поскольку в таком случае крайними назначат уже их.
Да, ещё бывают сайты, где номера вроде как показываются бесплатно и без регистрации. Не знаю, как это работает и показывают ли там вообще реальные sms или это пустышка. Но такие номера легко банить отправителям sms: на сайте с номерами нет регистрации, админ сайта с требованием номера может легко забрать список номеров. (И поэтому я подозреваю, что скорее пустышка.)
Даже если истинно анонимные методы регистрации по телефону существуют, они достаточно малоизвестны, и большая часть клиентов всё равно до них не дойдёт, потеряет на каком-то этапе анонимность и попадётся в лапы товарищу майору.