Comments 215
Это же готовая идея для бизнеса. Если все грамотно расписать, то не так уж сложно будет найти инвестиции, имхо.
Надо запустить виртуального оператора, который бы предоставлял «номера, которые нельзя украсть»
Во-первых, есть спрос (платежеспособный!) на SIM-карточки, которые никто не украдет.
Во-вторых, если поднять в СМИ шумиху, что мол карточки воруют направо и налево, то желающие перейти на такого оператора найдутся. И не мало.
В третьих, это в первую очередь сделают состоятельные люди, которые не хотят лишних рисков. Высокая плата за такой номер в данном случае — это страховка от внезапной потери своих средств.
В четвертых, можно таким клиентам продавать дополнительные услуги: собственно состоятельные клиенты приходят к вам сами.
Надо запустить виртуального оператора, который бы предоставлял «номера, которые нельзя украсть»
Во-первых, есть спрос (платежеспособный!) на SIM-карточки, которые никто не украдет.
Во-вторых, если поднять в СМИ шумиху, что мол карточки воруют направо и налево, то желающие перейти на такого оператора найдутся. И не мало.
В третьих, это в первую очередь сделают состоятельные люди, которые не хотят лишних рисков. Высокая плата за такой номер в данном случае — это страховка от внезапной потери своих средств.
В четвертых, можно таким клиентам продавать дополнительные услуги: собственно состоятельные клиенты приходят к вам сами.
Или если банки сами захотят решить проблему, то начнут активно предлагать карты со встроенными OTP-генераторами или, на худой конец, криптокалькуляторы.
В данный момент они как раз наоборот переходят на мобильную подтверждалку через смс :))))
У яндекс.Денег раньше были клевые карты генераторы мгновенных паролей, а теперь тоже смс.
Альфабанк для юрлиц, например, всех настойчиво агитирует переходить в их новую систему, где подтверждение через мобилу, в старой был криптоключ Alladin.
У яндекс.Денег раньше были клевые карты генераторы мгновенных паролей, а теперь тоже смс.
Альфабанк для юрлиц, например, всех настойчиво агитирует переходить в их новую систему, где подтверждение через мобилу, в старой был криптоключ Alladin.
Несколько раз менял симку у Мегафона (года еще 3 назад), всегда Альфа-клик блокировался, так как была замена сим-карты. Нужно было звонить в банк и подтверждать факт замены путем ответов на вопросы про последние транзакции и прочее.
И сюда продублирую: OTP у Яндекс.Денег тоже есть (в наших мобильных приложениях) — вместо смс можно использовать их.
Вот! Раньше у ВТБ24 были карты одноразовых кодов, которые нужно стирать. Было очень удобно, я легко входил в банк из любых труднодоступных мест, где нет сотовой связи, но есть интернет (в таком месте я провел почти полтора месяца), очень нравилась такая система. Потом, не так давно, их отменили и всех перевели на СМС-коды. Я долго сопротивлялся, экономил штрих-коды, но все-таки карты закончились, и пришлось подключать СМС. У меня телефон всегда где-то непонятно где, не всегда со связью, очень неудобно, в общем. Когда я пожаловался на такой насильный перевод оператору, когда последняя карта кончилась, она посмотрела на меня, как на идиота какого-то, и сказала, что все только облегченно вздыхали от такого перехода, а я единственный, кто жалуется.
Я вообще недоумеваю, как банки могли осуществить такой переход? Надо еще придумать что-нибудь более небезопасное, чем СМС-коды. Иногда мне хочется, чтобы zhovner работал в критичных к безопасности сферах бизнеса и ставил на место всех тех людей, которые считают, что телефон является лучшим решением двухфакторной аутентификации.
Причем, блин, одноразовые коды были, во-первых, компактные (обычная пластиковая карта), удобные, бесплатные и безопасные. Сейчас можно взять OTP-токен, но он платный и явно больше по размерам, чем карта.
Я вообще недоумеваю, как банки могли осуществить такой переход? Надо еще придумать что-нибудь более небезопасное, чем СМС-коды. Иногда мне хочется, чтобы zhovner работал в критичных к безопасности сферах бизнеса и ставил на место всех тех людей, которые считают, что телефон является лучшим решением двухфакторной аутентификации.
Причем, блин, одноразовые коды были, во-первых, компактные (обычная пластиковая карта), удобные, бесплатные и безопасные. Сейчас можно взять OTP-токен, но он платный и явно больше по размерам, чем карта.
У яндекса OTP токен был как кредитная карта. Такого же размера и толщины. Вообще не отличить. Экран на еинк, сверхплоский аккумулятор, кнопка.
Вот тут я его разобрал:
dihalt.ru/skaz-o-klyuchax.html
Офигенная вещь. Но сломался, через два года. На этот случай надо иметь аварийные коды.
Вот тут я его разобрал:
dihalt.ru/skaz-o-klyuchax.html
Офигенная вещь. Но сломался, через два года. На этот случай надо иметь аварийные коды.
В некоторых банках начинают вводить пуш-коды (Тинькофф и Райффайзен, по-моему). То есть код приходит в приложение.
Мне кажется, этот вариант убережет от данной проблемы. Или я не прав?
Мне кажется, этот вариант убережет от данной проблемы. Или я не прав?
возможно банки заботятся не о безопасности клиента, а о принципе «знай своего клиента»
Им нужен ваш сотовый телефон, чтобы знать, где он находится, чтобы присылать рекламные смски и предлагать кредиты.
Листок с одноразовыми паролями эти задачи не решает.
А еще смски доступны правоохранительным органам, меньше тратишь ресурсов на слив информации о потенциальных подозреваемых.
Им нужен ваш сотовый телефон, чтобы знать, где он находится, чтобы присылать рекламные смски и предлагать кредиты.
Листок с одноразовыми паролями эти задачи не решает.
А еще смски доступны правоохранительным органам, меньше тратишь ресурсов на слив информации о потенциальных подозреваемых.
Возникнет та же проблема.
Как пользователю убедиться, что виртуальный оператор не будет использовать данные?
Как пользователю убедиться, что виртуальный оператор не будет использовать данные?
Можно вернуться в прошлый век с картой с одноразовыми паролями, пару лет назад Авангард еще такие выдавал)
Этой весной Авангард мне такую выдал. И при подтверждении платежа в 3D-Secure я выбираю смс или одноразовый код с карты.
О! Отличный банк, похоже.
Радует практически всем. Интернет-банк считаю идеальным. Обслуживание бесплатно. SMS уведомления бесплатны. Мобильный банк бесплатный. К карте открывается настоящий «прямой» счёт (40817810*), а не структурированный картсчёт (СКС).
Исключительно в порядке придирок можно вспомнить разве что некоторые проблемы с оперативным или онлайн-пополнением счёта — очень мало банкоматов, нет партнёрства с QIWI / Yandex / WebMoney, а при перевода на карту (MasterCard Money Send или Visa Transfer) взымается комиссия.
Исключительно в порядке придирок можно вспомнить разве что некоторые проблемы с оперативным или онлайн-пополнением счёта — очень мало банкоматов, нет партнёрства с QIWI / Yandex / WebMoney, а при перевода на карту (MasterCard Money Send или Visa Transfer) взымается комиссия.
До сих пор выдаёт (а у меня до сих действует выданная 6 лет назад).
Кстати, ЯД выдаёт такие же в виде картинки на почту.
Кстати, ЯД выдаёт такие же в виде картинки на почту.
Вопрос немного не по посту
Тут недавно на на вокзале мне дали «бесплатную сим-карту». Ради интереса взял. Кто знает, как они на этом зарабатывают? Или это не мошенники, а действительно инициатива полосатого оператора? В комплекте шел незаполненный договор с печатью. Карта, вроде, новая, до сих пор работает. До активации стартового баланса было -5 рублей на счету, после — 5 рублей.
Предположу, что оператор своим дилерам даёт план, что нужно продать 100500 симок, а за каждую «активную» симку потом выплачивается неплохое(раз этим занимаются) вознаграждение. При этом, видимо, оператора не волнует, каким образом продаются его симки.
Оператора также не волнует, что симки могут использовать мошенники, чтобы «анонимно» выходить в интернет или выводить ворованные деньги.
Оператора также не волнует, что симки могут использовать мошенники, чтобы «анонимно» выходить в интернет или выводить ворованные деньги.
Есть версия, что номинальный владелец сим-карты переводит все внесённые средства на другой номер.
+1, мне тоже любопытно, в том числе — каким чудом эти симки работают без паспортных данных.
Личный кабинет не работает, кстати. «Контракт не зарегистрирован».
лучше зарегистрируйте на себя, если планируете пользоваться этой симкой
Исключительно для прайваси брал — регистрировать одноразовые аккаунты во всяких контактиках и прочих ресурсах, неоправданно требующих номер телефона.
на тех, кто оформлены на колхозы — работает сразу. а Вашу проверьте через недели три-четыре — заработает.
Вы приходите в офис оператора с паспортом и оформляете на себя 1 симку. Сотрудник офиса оформляет вас еще 10 симок, которые потом продаются у метро.
Их разве не видно потом?
Мне тут в магазине в нагрузку дали 4 бесплатных симкарты, ну я бросил их в ящик стола, а потом на сайте оператора вдруг увидел, что на моё имя записано вдруг пять таких симкарт, значит продавец кому-то сплавил пятую оформленную на моё имя симку.
Я их сразу заблокировал, звонил несколько раз опсосу, писал бумажное заявления для отказа, обещали убрать «через месяц», но всё равно так и висит 8 номеров на моё имя, хотя активны и используются только 2.
Мне тут в магазине в нагрузку дали 4 бесплатных симкарты, ну я бросил их в ящик стола, а потом на сайте оператора вдруг увидел, что на моё имя записано вдруг пять таких симкарт, значит продавец кому-то сплавил пятую оформленную на моё имя симку.
Я их сразу заблокировал, звонил несколько раз опсосу, писал бумажное заявления для отказа, обещали убрать «через месяц», но всё равно так и висит 8 номеров на моё имя, хотя активны и используются только 2.
Их разве не видно потом?
А много людей по сайтам операторов ходят?
Посмотрел в ЛК билайна, не нашел информации о других номерах. Подскажите кто-нибудь где можно глянуть эту инфу.
У меня обратная проблема — есть симка билайна, которую я не могу зарегистрировать на свои паспортные данные вот уже второй год. Ну то есть симка у меня дропнулась, её продали другому человеку (без регистрации на паспорт), а я её выкупил у него с рук, и вот уже второй год я задалбываю саппорт вопросами «как мне зарегать симку на свои паспортные данные?». Ничего ответить не могут. Один раз я написал заявление, но результата не дало вообще никакого — даже отрицательного ответа с отказом на бумаге не прислали в то отделение, где я писал заявление.
Всё веселье в том, что симка была до этого зарегистрирована на мои же паспортные данные порядка 7 лет.
Так что прекрасно они без паспорта живут.
Всё веселье в том, что симка была до этого зарегистрирована на мои же паспортные данные порядка 7 лет.
Так что прекрасно они без паспорта живут.
Год назад переоформил на себя симку родственника, которой я пользовался года два. В центральном офисе написал заявление с просьбой переоформить на моё имя, т.к. пользуюсь номером и своевременно оплачиваю… Бред какой-то… но, никаких документов кроме моего паспорта не понадобилось. Через месяц получил договор на своё имя… тихо ужаснулся, ведь так запросто можно номер отнять или получить дубль, и, наверняка, особенно просто если «свой человек» в салоне есть.
Попробуйте удачи в разных офисах.
Попробуйте удачи в разных офисах.
UFO just landed and posted this here
Ваша история, по крайней мере, выглядит гораздо законней моей. Мне в Москве дали 2 симки на улице, запакованные в пленку, и на каждой был баланс 250 рублей. Они не требовали договора, вставил@пошел. Это, пожалуй, самое странное, что со мной случалось в жизни.
Выдавали их по одной в руки, мы шли с другом.
Выдавали их по одной в руки, мы шли с другом.
UFO just landed and posted this here
Давайте честно. Никогда и никому не сообщайте — для этого есть чёрный рынок, где за смешные деньги «пробивают» по большой тройке… Сейчас придёт теле2 — и по нему будут сливать информацию — достаточно знать ФИО.
Иногда моему знакомому приходится пользоваться такими услугами для проверки контрагентов.
Буквально недавно был случай — умерла сим-карта (а у одного оператора они дохнут с завидным постоянством), привязанная к интернет-банку организации. Товарищ давно уволился и контакта с ним нет. Пришлось «узнавать» его данные и лепить доверенность от его лица и организации чтобы восстановить доступ — это был наиболее быстрый и простой способ.
Поражают сами операторы. Бывает такое что самолично не можешь получить замену своей sim потому что:
— пользуются родственники, но покупал её я, живущий в другом городе — ходил в офис, получал новую sim, отправлял курьеркой
— аналогично со своей симкой — она московская, но я был в другом городе — у полосатого оператора нет «московских симок» — езжай в Москву, меняй там (что за _московские симки_ и когда уже эта эпопея с роумингом закончится — не знаю)
— обмен только по паспорту — вот вам фото моего паспорта, мои права, военный билет… ну не ношу я с собой паспорт, вот другие документы и кодовое слово я назвать могу — нифига
Зато сотрудники офисов опсосов первому встречному готовы отдать дубликат sim за бумажку с синей печатью — какая-то обратная лояльность к клиентам
Иногда моему знакомому приходится пользоваться такими услугами для проверки контрагентов.
Буквально недавно был случай — умерла сим-карта (а у одного оператора они дохнут с завидным постоянством), привязанная к интернет-банку организации. Товарищ давно уволился и контакта с ним нет. Пришлось «узнавать» его данные и лепить доверенность от его лица и организации чтобы восстановить доступ — это был наиболее быстрый и простой способ.
Поражают сами операторы. Бывает такое что самолично не можешь получить замену своей sim потому что:
— пользуются родственники, но покупал её я, живущий в другом городе — ходил в офис, получал новую sim, отправлял курьеркой
— аналогично со своей симкой — она московская, но я был в другом городе — у полосатого оператора нет «московских симок» — езжай в Москву, меняй там (что за _московские симки_ и когда уже эта эпопея с роумингом закончится — не знаю)
— обмен только по паспорту — вот вам фото моего паспорта, мои права, военный билет… ну не ношу я с собой паспорт, вот другие документы и кодовое слово я назвать могу — нифига
Зато сотрудники офисов опсосов первому встречному готовы отдать дубликат sim за бумажку с синей печатью — какая-то обратная лояльность к клиентам
Маленькая поправка от имени Яндекс.Денег — в истории, на которую вы ссылаетесь, деньги усердно пытались украсть, но не украли.
Анна пишет, что после второго перевыпуска симки деньги всё же украли:
Позавчера в 18 часов вечера моя симкарта снова была выдана неизвестным лицам! И сразу были украдены деньги с Яндекса по одноразовому паролю.
Это было подозрение, оно не подтвердилось. Деньги не украли. Мы попросили Анну сделать апдейт к посту, чтобы неверная информация не тиражировалась в СМИ, которые не следят за ходом событий и не связывались ни с Анной, ни с Яндекс.Деньгами.
Отдельно интересно, как у вас фраза «сразу были украдены деньги с Яндекса» превратилась в «похитили с различных мобильных и банковских счетов солидную сумму денег».
Отдельно интересно, как у вас фраза «сразу были украдены деньги с Яндекса» превратилась в «похитили с различных мобильных и банковских счетов солидную сумму денег».
У меня ничего ни во что не превращалось, я цитирую пост Анны с Фейсбука.
Да, простите. Не у вас, а у Jeditobe
Я не знаю, где она делала апдейт. Но у нее черным по белому написано:
У Яндекс Денег у каждого аккаунта есть карточка (пусть и не всегда выданная) и банковский счет. Привет банку Тинькова. Я нигде не соврал.
Позавчера в 18 часов вечера моя симкарта снова была выдана неизвестным лицам! И сразу были украдены деньги с Яндекса по одноразовому паролю.
Итого: я провела выходные в офисе Билайна, два дня без телефона, все три почты взломаны — Гугл, Яндекс, Мейл, украдены деньги с кошелька.
Что у каждого из Вас, кто абонент Билайна, могут вот также просто увести телефон, а за ним — почту, кошелек и все остальное?
У Яндекс Денег у каждого аккаунта есть карточка (пусть и не всегда выданная) и банковский счет. Привет банку Тинькова. Я нигде не соврал.
«Похитили с различных мобильных и банковских счетов солидную сумму денег» — вот здесь :(
Пока Анна не сделала свой апдейт, предлагаю (уж простите за настойчивость) апдейт от Яндекс.Денег: Наша система безопасности предотвратила попытку мошенничества, деньги не были похищены и находятся на счете пользователя.
Пока Анна не сделала свой апдейт, предлагаю (уж простите за настойчивость) апдейт от Яндекс.Денег: Наша система безопасности предотвратила попытку мошенничества, деньги не были похищены и находятся на счете пользователя.
В сухом остатке: сим-карта выдана в Омске вообще без каких-либо оснований, компания Билайн это признала. Сим-карта, трижды выданная в Екате по доверенности — жду от компании скан этой доверенности. Деньги вывести не успели, запрашивали на вывод 72 тыс. Заявление в органы подано, о результатах буду сообщать.
https://www.facebook.com/annaznamenskaya/posts/10207689697860791?comment_id=10207703393043162
Если сложить ваши слова и Анны, можно угадать такую хронологию:
— Деньги-таки перевели с аккаунта Анны на левый аккаунт;
— С левого аккаунта попытались вывести деньги, но не смогли;
— Анна подняла шумиху;
— Вернули деньги с левого аккаунта на её аккаунт;
Просто с точки зрения Анны, как обычного пользователя «украли деньги» = «нет денег на счету».
А с вашей точки зрения это только «деньги перевели между счетами, но они остались внутри системы».
Поэтому, так как здесь большинство пользователи, уместнее говорить так: «деньги украли, но потом вернули».
Чтобы сохранить лицо компании, вам нужно рассказывать про другой момент.
Если ваша система стопорнула вывод денег до публикации Анны, то вы молодцы (так как разобрались бы и вернули деньги и без публикации).
А если после, то не молодцы.
Лично я предполагаю, что мошенники постарались бы сразу вывести деньги.
Поэтому можно предположить, что ваша система сработала до.
— Деньги-таки перевели с аккаунта Анны на левый аккаунт;
— С левого аккаунта попытались вывести деньги, но не смогли;
— Анна подняла шумиху;
— Вернули деньги с левого аккаунта на её аккаунт;
Просто с точки зрения Анны, как обычного пользователя «украли деньги» = «нет денег на счету».
А с вашей точки зрения это только «деньги перевели между счетами, но они остались внутри системы».
Поэтому, так как здесь большинство пользователи, уместнее говорить так: «деньги украли, но потом вернули».
Чтобы сохранить лицо компании, вам нужно рассказывать про другой момент.
Если ваша система стопорнула вывод денег до публикации Анны, то вы молодцы (так как разобрались бы и вернули деньги и без публикации).
А если после, то не молодцы.
Лично я предполагаю, что мошенники постарались бы сразу вывести деньги.
Поэтому можно предположить, что ваша система сработала до.
Повторюсь с вариациями: деньги не были похищены, не были украдены, не были переведены на другой счёт внутри системы или куда-либо ещё. События, описанные в посте, происходили и завершились до публикации — из самого поста это очевидно.
По вашей логике, Анна фразой
Зато фраза
P.S.
Хочу напомнить, что публика хабра — это очень разумчивые и вдумчивые люди, которые часто по долгу службы умеют находить логические несостыковки.
И сразу были украдены деньги с Яндекса по одноразовому паролю.имела в виду совсем не то, что она имела в виду.
Зато фраза
Деньги вывести не успеликонечно же означает «Деньги даже не сняли с моего кошелька. Они все время там оставались. И куда я только смотрела?»
P.S.
Хочу напомнить, что публика хабра — это очень разумчивые и вдумчивые люди, которые часто по долгу службы умеют находить логические несостыковки.
Вы шутите или издеваетесь?
Что там «усердно пытаться», когда это обычная операция по переводу.
Зашел на сервис, ввел данные для перевода, ввел разовый пароль полученный на украденную симку и готово.
Что там «усердно пытаться», когда это обычная операция по переводу.
Зашел на сервис, ввел данные для перевода, ввел разовый пароль полученный на украденную симку и готово.
С другой стороны это это также уязвимость со стороны банков и платежных систем, позволяющих вход в интернет-банк и перевод денег после замены сим-карты
Сбербанк и Ситибанк автоматом отключают отправку смс для авторизации и подтверждения действий в интернет-банке, когда меняешь сим-карту.
Нужно звонить в банк с кодовым словом или идти в банкомат с карточкой.
Про другие банки сообщу позже, когда пойду обычную симку на микро поменять.
Нужно звонить в банк с кодовым словом или идти в банкомат с карточкой.
Про другие банки сообщу позже, когда пойду обычную симку на микро поменять.
Сбербанк еще недавно точно не отключал ничего.
Ok, уточняю:
Сбербанк на Мегафоне отключал буквально три недели назад
Ситибанк на МТС отключал довольно давно, возможно сейчас что-то поменялось, не пользовался им давно.
Сбербанк на Мегафоне отключал буквально три недели назад
Ситибанк на МТС отключал довольно давно, возможно сейчас что-то поменялось, не пользовался им давно.
Мне теперь прям захотелось симку поменять. Регион-то тот же.
У CitiBank, точнее у его СМС-оператора, проверка IMSI пошла ещё дальше.
На примере МТС: если ставишь переадресацию СМС с одного номер на другой через SMSPro, отправка CMC прекращается (это для тех СМС, которые идут по IMSI каналам).
На примере МТС: если ставишь переадресацию СМС с одного номер на другой через SMSPro, отправка CMC прекращается (это для тех СМС, которые идут по IMSI каналам).
менял симку года полтора назад, когда говорили, что сбер отключает, но как работало так и работает до сих пор
Сбербанк (в Новосибирске) отключал мне мобильный банк еще в 2012 году когда пришлось заменить сим карту из-за ее умирания. звонил им, они просили идти к банкомату, распечатать свежий чек и по телефону сверяли какую то информацию
Год назад уже была подобная дискуссия и там я описывал момент с идентификацией по IMSI — сбербанк тогда лажал по этому пункту.
Сейчас злоумышленники работают по двум схемам — трояны на мобильных или «давай перекину тебе денег, дай код из смс», хотя может бабушек еще и до банкоматов гоняют с секретными кодами лотереи вида "+79651234567"
Сейчас злоумышленники работают по двум схемам — трояны на мобильных или «давай перекину тебе денег, дай код из смс», хотя может бабушек еще и до банкоматов гоняют с секретными кодами лотереи вида "+79651234567"
Менял симку три недели назад. МТС. Сбер не отвалился.
При переносе номера с Мегафона на Йоту Сбербанк отключил отправку, после обратного переноса с Йоты на Мегафон не отключал.
Сорри за оффтоп: Не поделитесь соображениями, по которыми вы перешли к Йоте, а потом обратно? У меня была мысль уйти на Йоту с зелёно-фиолетовых, но пока я не определился.
К «синим» уходил на посмотреть, что из себя представляют, когда у них была бесплатная акция перехода с бесплатным месяцем (или что-то типа того у них было летом)
После того как убедился, что:
1. тетеринг с айфона на айпад невозможен — именно невозможен (64 кбит/с для моего юзкейса тогда бы устроил) — после сопряжения айфон-айпад через секунд 5-10 связь просто напросто рвалась и тут же поднималась (сопряжение при этом оставалось поднятым).
2. никакая ТП по чату — утверждали, что тетеринг возможен (как и тут пишет Yota4All что оно так и есть), но в реальности всё не так.
После того как убедился, что:
1. тетеринг с айфона на айпад невозможен — именно невозможен (64 кбит/с для моего юзкейса тогда бы устроил) — после сопряжения айфон-айпад через секунд 5-10 связь просто напросто рвалась и тут же поднималась (сопряжение при этом оставалось поднятым).
2. никакая ТП по чату — утверждали, что тетеринг возможен (как и тут пишет Yota4All что оно так и есть), но в реальности всё не так.
История возврата
А вот после возврата к «зелёно-фиолетовым» в конце июня во «Всё включено» не подключились предоплаченные пакеты (смс, минуты), в начале сентября пришлось переключаться на тариф, где пакеты просто отсутствуют — «Всё просто», после чего меня обрадовали, что всё починили (чинили более 2 месяцев). Правда обещать не стали — сказали, что вы всегда можете обратиться с заявкой вновь :)
Но это уже совсем другая история :)
Но это уже совсем другая история :)
Поменял симку Мегафона (с обычной на микро) 21 сентября 2015 — сберовский мобильный банк отвалился.
Делал замену симки на МТС в Краснодаре в ноябре 2015, т.к. нужна была 4G и ничего сбербанк не отключал.
Буквально неделю назад сменил сим-карту.
Никакие сервисы Сбербанка не отвалились.
К слову, Банк Москвы, тоже продолжает присылать СМС с паролями.
Никакие сервисы Сбербанка не отвалились.
К слову, Банк Москвы, тоже продолжает присылать СМС с паролями.
Буквально неделю назад сменил сим-карту.
Наверное, тут нужно говорить о связке опсос-банк.
не совсем так. Это зависит, как банк реализует схему работы с смс. Банк может либо просто отправлять смс по smpp, либо реализовать подключение к опсосу на уровне SS7, и тогда получать чуть более расширенную информацию по номеру абонента. В том числе и номер симкарты. Вот, например, можно потестить
Да, скорей всего.
habrahabr.ru/post/267447/?reply_to=8584327#comment_8584327
habrahabr.ru/post/267447/?reply_to=8584327#comment_8584327
Позапрошлом году менял билайновскую симку. Перестали отправлять пароли, пока я не позвонил в банк.
И все-таки у сбера есть проверка IMSI.
Сегодня я попытался создать новый шаблон в онлайн-банке. Его нужно было подтвердить паролем из СМС. Однако на телефон пришло сообщение, что «В связи с заменой сим-карты смс-пароль не может быть отправлен на этот номер». Так же в сообщении указывалось, что надо позвонить на линию поддержки, чтобы перерегистрировать СИМ-карту.
Позвонил, перерегистрировал и заодно расспросил: «Как же так получилось, что я успешно делал платежи как через онлайн-банк с СМС-паролями, так и с использованием 3dSecure и банк не обращал внимания на смену сим-карты, а теперь обратил». Сказали, что есть какие-то критерии, по которым банк решает, когда надо проверять замену сим, а когда не надо. Создание шаблона — один из триггеров, по которому такая проверка срабатывает.
Удивительно, что платежи по 20т.р. не являются сигналами для банка проверить мою сим-карту, а безобидный шаблон (а это даже не подтверждение оплаты) является.
Сегодня я попытался создать новый шаблон в онлайн-банке. Его нужно было подтвердить паролем из СМС. Однако на телефон пришло сообщение, что «В связи с заменой сим-карты смс-пароль не может быть отправлен на этот номер». Так же в сообщении указывалось, что надо позвонить на линию поддержки, чтобы перерегистрировать СИМ-карту.
Позвонил, перерегистрировал и заодно расспросил: «Как же так получилось, что я успешно делал платежи как через онлайн-банк с СМС-паролями, так и с использованием 3dSecure и банк не обращал внимания на смену сим-карты, а теперь обратил». Сказали, что есть какие-то критерии, по которым банк решает, когда надо проверять замену сим, а когда не надо. Создание шаблона — один из триггеров, по которому такая проверка срабатывает.
Удивительно, что платежи по 20т.р. не являются сигналами для банка проверить мою сим-карту, а безобидный шаблон (а это даже не подтверждение оплаты) является.
Альфа моментально вырубает. Включают только после визита в офис с паспортом.
Это по вашему опыту. Я в январе поменял сим-карту и продолжал пользоваться А-Б на всю катушку еще около недели, прежде чем отключили доступ.
А какой у вас оператор? У меня билайн.
Тоже самое, я уже однажды отписывал на эту тему.
habrahabr.ru/post/256579/#comment_8394537 оператор Мегафон.
Более того, недавно взял временную симку мегафона и на следующий день на него пришла какая-то информационная рассылка от Сбера с номера 900, м.б. сам номер уже не привязан ни к чему, но все равно довольно странно.
habrahabr.ru/post/256579/#comment_8394537 оператор Мегафон.
Более того, недавно взял временную симку мегафона и на следующий день на него пришла какая-то информационная рассылка от Сбера с номера 900, м.б. сам номер уже не привязан ни к чему, но все равно довольно странно.
Там похоже был какой-то глюк, тоже это застал, но обычно сразу отключают.
а мне достаточно было позвонить, и через оператора и кодовое слово подтвердить смену SIMки. такое было проделано не единожды за пару лет. тоже Альфа, тоже Билайн
Знаете, возможно я наврал. Я точно помню, что при смене номера мне 100% пришлось идти в офис и писать заявление. И помню, что при смене симки сразу же вырубился доступ к клиент-банку, от банка пришли смс-ки по этому поводу через минуту после того, как вставил новую симку в телефон. А вот как я подтверждал замену симки, я сейчас понял, что достоверно не помню. Возможно, что тоже делал это по телефону.
Прошу прощения, если кого-то дезинформировал.
Прошу прощения, если кого-то дезинформировал.
в этом году я менял симку. Сбербанк на это никак не отреагировал.
У тинькова так же.
Неправда. Ни Сити, ни Сбер ничего такого не сделали год назад. А как мы уже как-то здесь выясняли — не во всех регионах это работает.
Альфабанк ещё сравнивает IMSI (уникальный номер подписчика), если поменялся (то есть сменилась симка), то просит авторизовать действие через банк. Насколько я понимаю, делается это элементарным HLR запросом, своеобразным «пингом» номера, который возвращает идентификаторы сети (MCC+MNC), IMSI и MSC (обслуживающий в данный момент абонента центр коммутации).
1. Используйте отдельный телефон и телефонный номер для работы с онлайн- и теле-банкингом.
3. Никому и нигде не сообщайте номер этого телефона.
Как мера security through obscurity?
Ведь на этот номер также смогут перевыпустить симкарту.
Злоумышленники действуют наверняка и целятся на наиболее состоятельных клиентов. Указанные меры на порядок снижают риск быть обворованным в условиях бездействия оператора. Плюс гораздо легче будет доказать, что это не вы сами кому-то слили доступ случайно.
На мой взгляд, злоумышленники не обязательно целятся на наиболее состоятельных.
Как вариант, можно перевыпускать симкарты и пытаться перевести деньги через мобильный банк Сбербанка.
Это сработает в большинстве случаев, так как карта Сбербанка есть у многих (статистика на 1 января 2013 года), а операционисты настойчиво предлагают подключить мобильный банк.
Как вариант, можно перевыпускать симкарты и пытаться перевести деньги через мобильный банк Сбербанка.
Это сработает в большинстве случаев, так как карта Сбербанка есть у многих (статистика на 1 января 2013 года), а операционисты настойчиво предлагают подключить мобильный банк.
А публикация своего номера телефона вместе со всеми данными о вашей платежеспособности вообще равносильна тому, что вы сами деньги ворам в карман положите.
Да, и это печально.
Мне кажется, было бы логичнее использовать аппаратные токены.
А без их использования (например, через мобильное приложение) оставлять пользователю возможность переводить деньги только между своими счетами и по уже сохраненным шаблонам (например, оплата мобильного телефона, домашнего интернета и т.д.).
Может, в каких-то банках есть уже такой функционал?
Мне кажется, было бы логичнее использовать аппаратные токены.
А без их использования (например, через мобильное приложение) оставлять пользователю возможность переводить деньги только между своими счетами и по уже сохраненным шаблонам (например, оплата мобильного телефона, домашнего интернета и т.д.).
Может, в каких-то банках есть уже такой функционал?
Раньше был — всякие типа скретч-карты, сохраненные ключи.
Но сейчас все это вытеснено паролями через SMS.
Но сейчас все это вытеснено паролями через SMS.
100 миллионов токенов? Организовать их раздачу, поддержку?
На руках у людей телефоны, даже не смартфоны. Токен надо покупать, деньги тратить, выбирать модель, учиться пользоваться…
На руках у людей телефоны, даже не смартфоны. Токен надо покупать, деньги тратить, выбирать модель, учиться пользоваться…
Вот у близов есть токены, можно приложение поставить на телефон
Гугл-аутентификатор работает для всех желающих по открытому алгоритму, не надо изобретать велосипед.
Возможно, он даже как-то защищен на случай физического доступа к смартфону.
Возможно, он даже как-то защищен на случай физического доступа к смартфону.
В альфа банке есть свой аналогичный велосипед
Как вариант, можно завести отдельный смартфон и поставить туда Альфа ключ.
Заодно нашел, что можно подключить токен к Яндекс деньгам.
Как вариант, можно завести отдельный смартфон и поставить туда Альфа ключ.
Заодно нашел, что можно подключить токен к Яндекс деньгам.
Смартфоны есть не у всех
В этом плане ЯД отличились со своим Я.Ключ. Лишь бы не брать нормальный TOTP и не иметь совместимости с google-authenticator/freeotp.
Кстати, кто беспокоится по поводу закрытости google-authenticator — freeotp от redhat открыт (Apache License v2).
Кстати, кто беспокоится по поводу закрытости google-authenticator — freeotp от redhat открыт (Apache License v2).
у Стима есть Steam-Guard для смартов.
Для тех же юридических лиц ЭЦП повсеместно используется в банк-клиентах.
Следовательно токены покупаются, поддерживаются, людей учат этим пользоваться.
Следовательно токены покупаются, поддерживаются, людей учат этим пользоваться.
Если токен интегрирован в платежную карту, то проблема дистрибуции отпадает.
на всякий случай, выглядит это как-то так
newsroom.mastercard.com/press-releases/mastercard-introduces-next-generation-display-card-technology-a-first-for-singapore
newsroom.mastercard.com/press-releases/mastercard-introduces-next-generation-display-card-technology-a-first-for-singapore
Аппаратные токены (могут называться «генераторы паролей», «криптокалькуляторы» и т.д.) в банках бывают. Из числа тех банков, с которыми я сталкивался, такую услугу предоставляли Газпромбанк и Московский Индустриальный.
Стоимость такой штуки порядка 1 тыс., но в принципе, это дешевле отдельного мобильного телефона с СМС-авторизацией.
Стоимость такой штуки порядка 1 тыс., но в принципе, это дешевле отдельного мобильного телефона с СМС-авторизацией.
Райфайзен предлагает (по крайней мере 2 года назад предлагал) кард-ридер, то есть коробочку, которая выдает пароли для интернет-банка после того, как в неё воткнешь карту и введешь пин. Но по-моему большинство авторизуется через смс.
Автобанк (впоследствии Уралсиб, а сейчас уже и не знаю) выдавал USB-ключ для подписи транзакций через ИБ. Но это было больше 10 лет назад.
Автобанк (впоследствии Уралсиб, а сейчас уже и не знаю) выдавал USB-ключ для подписи транзакций через ИБ. Но это было больше 10 лет назад.
Почему, я уверен у многих состоятельных людей узнать злоумышленникам номер не проблема, но таких кул стори слышно не много?
Миллион способов сопоставить номер телефона с повышенной вероятностью наличия денег.
Например, оставьте на авито вкусное объявление и не берите трубку.
Например, оставьте на авито вкусное объявление и не берите трубку.
А публикация своего номера телефона вместе со всеми данными о вашей платежеспособности вообще равносильна тому, что вы сами деньги ворам в карман положите.
Вы знаете, сколько такой информации можно найти, элементарно приложив мозг? Например, на специализированных форумах, не связанных с IT и прочим, где тусуются увлечённые люди (рыбаки, строители, да кто угодно). В одном посте по продаже чего-то фигурирует и карта, и телефон, и видно оборот по ней (заказчики отписываются), и 90%, что телефон привязан к карте.
Предполагаю, что и в соцсетях то же самое (предполагаю потому, что не пользуюсь последними)
Интересен комментарий представителя билайна по данному поводу: налицо уголовка двумя и более соучастниками внутри оператора связи. И предвидеть подобное невозможно, только ликвидировать виновных.
По-видимому, единая БД для всех у них, даже на регионы нет деления. Следовательно, они долго будут устранять этот косяк.
По-большому счету, оба, и пострадавшая, и оператор связи, должны были, помимо беспокойства собственной СБ, побеспокоить и ментов, простым увольнением тут не отделаешься.
По-видимому, единая БД для всех у них, даже на регионы нет деления. Следовательно, они долго будут устранять этот косяк.
По-большому счету, оба, и пострадавшая, и оператор связи, должны были, помимо беспокойства собственной СБ, побеспокоить и ментов, простым увольнением тут не отделаешься.
В начале года поменял симку в Мегафоне на 4G.
единственный, кто сократился — Ситибанк.
Туда же воткнуты Райф, Альфа, Тиньков, Авангард. Никто из них не отреагировал.
Что-то это мне не нравится…
Регион — Москва.
единственный, кто сократился — Ситибанк.
Туда же воткнуты Райф, Альфа, Тиньков, Авангард. Никто из них не отреагировал.
Что-то это мне не нравится…
Регион — Москва.
Мне нужно срочно вам позвонить, номер телефона не подскажете?
Да вот начиналось-то это все боль-мень прилично: МТС для голоса, а мегу взял исключительно как дата-терминал, чтоб никогда не звонить.
Но ведь гады же: у МТС голос все хуже и хуже, а у меги тарифы такие приятные появились…
Короче, спасибо за напоминание, надо обмозговать стратегию заново.
Но ведь гады же: у МТС голос все хуже и хуже, а у меги тарифы такие приятные появились…
Короче, спасибо за напоминание, надо обмозговать стратегию заново.
tele2 в октябре запускаются в мск. А так номер телефона должен быть как дополнительный фактор защиты, но не основной (привет двухфакторная авторизация). Тот же Сбер не даст получить доступ в переводу без знания злоумышленником логина, а логин там не может быть простым
Логина или пароля? А то логин+пароль уже двухфакторная аутентификация получится.
Я так понимаю, трояном уводятся пароли и информация о суммах, потом делаются симки, где это имеет смысл.
Сервис, который позволяет все восстановить по одной лишь смс — очень странный в плане безопасности, тем не менее некоторые банки предлагают восстановление логина по смс
Я так понимаю, трояном уводятся пароли и информация о суммах, потом делаются симки, где это имеет смысл.
Сервис, который позволяет все восстановить по одной лишь смс — очень странный в плане безопасности, тем не менее некоторые банки предлагают восстановление логина по смс
В сбере, зная логин свой и имея доступ к симке, можно получить одноразовый пароль. Но логин там сложный по дефолту
А то логин+пароль уже двухфакторная аутентификация получитсяЛажа. Это один фактор «знаю». Телефон, хоть и слабый, но второй «имею».
Менял симку на другой формат, Райф, сбер, WM, QIWI (там, правда, денег нет), авангард — живы и радостно шлют одноразовые смс.
Поменял симку сначала симку на 4G Мегафон — Тинькофф перестал работать, пришлось активировать новую симку. Через некоторое время поменял оператора (номер остался тот же) — Тинькофф перестал работать.
Года 3-4 назад на смену симку так же реагировал Альфабанк.
Года 3-4 назад на смену симку так же реагировал Альфабанк.
у Альфа-банка смена пароля альфа-клика если старый истек или забыт реализована интересно: 4 последних цифры номера любой активной карты + дата действия + капча с выбором объекта(«выберите из картинок жабу») + авторизация через СМС. (Альфа-ключ у меня не подключен потому что были с ним глюки и в офисе сами посоветовали выключить). А вот мобильное приложение не задействуется в процессе сброса никак.
Как эти советы, кроме последнего, помогут от атаки перевыпуском сим-карты?
Абсолютной защиты не существует ни от чего в мире. Но советы значительно снизят вероятность выпуска дубликата для злоумышленников.
У жертвы в описываемом случае номер был известен многим, как и ее материальное благосостояние. На один номер было привязано множество аккаунтов. «Все яйца в одной корзине».
Злоумышленники не работают по площадям, массовая замена сим-карт вызовет подозрения. Они работают точечно и целятся в состоятельных людей.
У жертвы в описываемом случае номер был известен многим, как и ее материальное благосостояние. На один номер было привязано множество аккаунтов. «Все яйца в одной корзине».
Злоумышленники не работают по площадям, массовая замена сим-карт вызовет подозрения. Они работают точечно и целятся в состоятельных людей.
Судя по количеству публикаций, в том числе от жертв, они всё-таки работают по площадям.
Состоятельный — очень растяжимое понятие в данном случае, учитывая что сбер разрешает подтверждать по смс переводы до 600 тысяч (не знаю, можно ли сделать несколько таких переводов подряд).
Почти никто не приходит с поддельной доверенностью прямо в банк. Хочется достичь примерно той же степени защиты и со стороны мобильных операторов.
Состоятельный — очень растяжимое понятие в данном случае, учитывая что сбер разрешает подтверждать по смс переводы до 600 тысяч (не знаю, можно ли сделать несколько таких переводов подряд).
Почти никто не приходит с поддельной доверенностью прямо в банк. Хочется достичь примерно той же степени защиты и со стороны мобильных операторов.
Нет, этот лимит на день.
Увы у вас неправильное представление о «площадях», вы путаете это с «веерным» эффектом. Затронуты многие, но злоумышленники не берут диапазон от «сих до сих» в 1000 или 10 000 номеров, а действуют выборочно.
Увы, у вас неправильное представление о «площадях», вы путаете это с «веерным» эффектом. Затронуты многие, но злоумышленники не берут диапазон от «сих до сих» в 1000 или 10 000 номеров, а действуют выборочно.
Официальный комментарий:
freedom.livejournal.com/2250642.html
Друзья, в нашей компании случилось ЧП. Буквально в течении суток, сразу несколько групп злоумышленников совершили спланированные действия в отношении нашего клиента Анны Знаменской. Об этом она написала на своей личной странице в Фейсбуке.
Мошенники использовали поддельные доверенности в Екатеринбурге и получили симкарту с ее номером. Мы очень оперативно отреагировали и ситуацию удалось разрешить, но уже на следующий день, в Омске другая группа преступников во главе с (!) нашим бывшим сотрудником в Омске, воспользовавшись доверием экс-коллег (раньше работали вместе в одном салоне), успешно получили очередной дубликат сим-карты Анны. Это было прямым нарушением наших должностных инструкций, эти сотрудники уже уволены. Кроме этого, мы прямо сейчас подаём заявление в правоохранительные органы с требованием возбудить в отношении этих людей уголовное дело. Я так же прошу Анну обратиться в правоохранительные органы с заявлением. Со своей стороны, мы гарантируем предоставление максимально полной информации для того, чтобы все участники этой преступной группы понесли наказание.
Мы бесконечно виноваты перед Анной. Я хочу принести извинения и от лица компании, и лично. Этот случай выявил серьезные проблемы в системе замены наших симкарт и прямо сейчас мы делаем все, чтобы в будущем такие ситуации были просто невозможны. Это неприятный урок и для нас, и, наверное, для всех, кто пользуется современными технологиями. К сожалению, в сговоре с нечестными сотрудниками такие ситуации возможны везде. Слава богу, деньги у Анны не пропали, наша команда успела оперативно сработать. Мы обязательно доведем это дело до конца. Я буду подробно рассказывать о всех этапах расследования, потому что защита интересов клиентов — это не только главный принцип работы, но и вопрос Чести.
freedom.livejournal.com/2250642.html
Друзья, в нашей компании случилось ЧП. Буквально в течении суток, сразу несколько групп злоумышленников совершили спланированные действия в отношении нашего клиента Анны Знаменской. Об этом она написала на своей личной странице в Фейсбуке.
Мошенники использовали поддельные доверенности в Екатеринбурге и получили симкарту с ее номером. Мы очень оперативно отреагировали и ситуацию удалось разрешить, но уже на следующий день, в Омске другая группа преступников во главе с (!) нашим бывшим сотрудником в Омске, воспользовавшись доверием экс-коллег (раньше работали вместе в одном салоне), успешно получили очередной дубликат сим-карты Анны. Это было прямым нарушением наших должностных инструкций, эти сотрудники уже уволены. Кроме этого, мы прямо сейчас подаём заявление в правоохранительные органы с требованием возбудить в отношении этих людей уголовное дело. Я так же прошу Анну обратиться в правоохранительные органы с заявлением. Со своей стороны, мы гарантируем предоставление максимально полной информации для того, чтобы все участники этой преступной группы понесли наказание.
Мы бесконечно виноваты перед Анной. Я хочу принести извинения и от лица компании, и лично. Этот случай выявил серьезные проблемы в системе замены наших симкарт и прямо сейчас мы делаем все, чтобы в будущем такие ситуации были просто невозможны. Это неприятный урок и для нас, и, наверное, для всех, кто пользуется современными технологиями. К сожалению, в сговоре с нечестными сотрудниками такие ситуации возможны везде. Слава богу, деньги у Анны не пропали, наша команда успела оперативно сработать. Мы обязательно доведем это дело до конца. Я буду подробно рассказывать о всех этапах расследования, потому что защита интересов клиентов — это не только главный принцип работы, но и вопрос Чести.
— Здравствуйте я хочу поменять симку номера 89009991111 вот доверенность
— Хорошо сейчас позвоню и уточню.
Сотрудний билайна забирает паспорт у того кто принёс доверенность и набирает 89009991111 и по телефону спрашивает (звонок записывается):
Добрый день это вас беспокоят из Билайна у нас доверенность от Иванова П.З. на смену вашего номера. Вы подтверждаете что вы ему выдавали?
Вариант 1 (Из трубки звучит да)
Подтвердите ваше ключевое слово которое вы заполнили при оформлении сим. Если вы его не помните сбростье его в личном кабинете.
Вариант 2(Из трубки звучит нет)
Вариант 3(Трубку не берут)
Отказ
Вариант 4(Телефон не доступен)
Отказ
Разрешаю меня нанять в СБ Билайна :))))
Вызывается наряд — подозрение в мошенничистве и так далее
— Хорошо сейчас позвоню и уточню.
Сотрудний билайна забирает паспорт у того кто принёс доверенность и набирает 89009991111 и по телефону спрашивает (звонок записывается):
Добрый день это вас беспокоят из Билайна у нас доверенность от Иванова П.З. на смену вашего номера. Вы подтверждаете что вы ему выдавали?
Вариант 1 (Из трубки звучит да)
Подтвердите ваше ключевое слово которое вы заполнили при оформлении сим. Если вы его не помните сбростье его в личном кабинете.
Вариант 2(Из трубки звучит нет)
Вариант 3(Трубку не берут)
Отказ
Вариант 4(Телефон не доступен)
Отказ
Разрешаю меня нанять в СБ Билайна :))))
Вызывается наряд — подозрение в мошенничистве и так далее
Симку могут менять, если она, например, неисправна или потерялась. Как быть тогда?
Варианты 3 и 4 из вполне легальных становятся основанием для вызова наряда полиции?
Варианты 3 и 4 из вполне легальных становятся основанием для вызова наряда полиции?
Пусть приходит владелец, если потерялась.
Есть случаи, когда владелец не может прийти самостоятельно (травмы, некоторые заболевания, нахождение за границей). Для этого и существуют нотариальные доверенности.
А ещё может прийти похожий на владельца человек с его паспортом (настоящим, украденным, поддельным). Было бы желание получить SIM-ку, способы придумают.
В офисе не сидят люди, как на таможне, которые обладают необходимыми навыками по идентификации гражданина по одной фотографии в паспорте.
Вряд ли придумают что-то, что сильно усложнит данный процесс, кроме как полного запрета выдачи дубликатов без специального механизма подтверждения.
Кстати, обратите внимание на эту статью:
ЦБ РФ потребует от банков в обязательном порядке получать подтверждение от держателей карт на проведение CNP-операций
http://www.plusworld.ru/daily/cb-rf-potrebuet-ot-bankov-v-obyazatelnom-poryadke-poluchat-podtverjdenie-ot-derjateley-kart-na-provedenie-cnp-operaciy/
Хороший вариант, как дополнение, это генератор кодов в мобильном приложении, читай в телефоне, который мог бы помогать (усложнять) процесс прохождение проверки в офисе.
В офисе не сидят люди, как на таможне, которые обладают необходимыми навыками по идентификации гражданина по одной фотографии в паспорте.
Вряд ли придумают что-то, что сильно усложнит данный процесс, кроме как полного запрета выдачи дубликатов без специального механизма подтверждения.
Кстати, обратите внимание на эту статью:
ЦБ РФ потребует от банков в обязательном порядке получать подтверждение от держателей карт на проведение CNP-операций
http://www.plusworld.ru/daily/cb-rf-potrebuet-ot-bankov-v-obyazatelnom-poryadke-poluchat-podtverjdenie-ot-derjateley-kart-na-provedenie-cnp-operaciy/
Хороший вариант, как дополнение, это генератор кодов в мобильном приложении, читай в телефоне, который мог бы помогать (усложнять) процесс прохождение проверки в офисе.
Я думаю вариант 4 будет в 99% случаев легитимных замен. Не? Симку разве обычно меняют не тогда, когда она сломалась/недоступна?
Вариант 4(Телефон не доступен)
ну так симку обычно и меняют, когда телефон недоступен
А всего то надо после выдачи новой симки блокировать на ней смс услугу на сутки.
И тогда у настоящего владельца будет время среагировать.
А если этого не делают то похоже операторы в доле :)
И тогда у настоящего владельца будет время среагировать.
А если этого не делают то похоже операторы в доле :)
а у кого-нибудь есть опыт привязки симок иностранных операторов к нашим платежным сервисам-банкам? приходят ли смски?
советы местами напоминают старый анекдот о предохранении: обмотать конец гипсовым бинтом, накатать 2 презерватива и, главное, никаких женщин!
Ну в итоге, чтобы клиент не делал, оператор все равно может выдать сим-карту другому.
И пол лимона денег куда-то уйдут.
Ну и в итоге оператора немного поругают.
Как например в этом судебном решении про МТС от 12.09.2014
http://docs.cntd.ru/document/414595242
«замену сим-карты при отсутствии заявления абонента»
«Как следует из материалов дела, Михайлюк П.С. своего согласия на замену сим-карты не давал. Оператор связи не обращался к владельцу сим-карты путем выяснения его волеизъявления относительно данных действий.»
«МТС в объяснениях ссылается на то, что замена сим-карты была совершена вследствие заявления представителя Михайлюка П.С. по доверенности. Однако каких-либо доказательств данного факта не представлено»
«Привлечь открытое акционерное общество „Мобильные ТелеСистемы“ к административной ответственности и назначить административное наказание в виде предупреждения.»
И пол лимона денег куда-то уйдут.
Ну и в итоге оператора немного поругают.
Как например в этом судебном решении про МТС от 12.09.2014
http://docs.cntd.ru/document/414595242
«замену сим-карты при отсутствии заявления абонента»
«Как следует из материалов дела, Михайлюк П.С. своего согласия на замену сим-карты не давал. Оператор связи не обращался к владельцу сим-карты путем выяснения его волеизъявления относительно данных действий.»
«МТС в объяснениях ссылается на то, что замена сим-карты была совершена вследствие заявления представителя Михайлюка П.С. по доверенности. Однако каких-либо доказательств данного факта не представлено»
«Привлечь открытое акционерное общество „Мобильные ТелеСистемы“ к административной ответственности и назначить административное наказание в виде предупреждения.»
Вот это и есть реальная причина бардака. Отсутствие ответственности. Реальные штрафы — и все заинтересованные быстро придумают как наладить безопасность.
+1000
Приложимо к любой сфере.
Приложимо к любой сфере.
Честно говоря, я с Вами не совсем согласен.
Если бы можно было бы запретить замену карты по доверенности (такую функциональность требует закон), то с безопасностью было бы лучше.
Вообще — различные права на наследство, доверенности и создают бесчисленные лазейки.
Бывают и обратные ситуации, когда деньги нельзя получить из-за отсутствия доверенности или права на наследство.
Типа «В Шереметьево уже 6 лет стоит самолет с 20 млрд евро на борту»
Если бы можно было бы запретить замену карты по доверенности (такую функциональность требует закон), то с безопасностью было бы лучше.
Вообще — различные права на наследство, доверенности и создают бесчисленные лазейки.
Бывают и обратные ситуации, когда деньги нельзя получить из-за отсутствия доверенности или права на наследство.
Типа «В Шереметьево уже 6 лет стоит самолет с 20 млрд евро на борту»
Предположение.
Мне всегда было не понятно, почему все эти услуги привязываются к телефонному номеру, который всецело контролировать абонент ЛИЧНО не может. Значит привязывать услуги нужно к какой-либо личной информации. Ну, например, делать hmac(secret, message).
Но уж если это не катит, то:
(Эти решения мне кажутся очевидными, но вполне вероятно, что %s.)
1. IMSI при перевыпуске сим-карты меняется?
2. Получает ли банк вместе с СМС от абонента IMSI или другую информацию?
Если 1&&2 вопросы имеют утвердительный ответ, то, имхо, все просто: реципиент не будет рассматривать сообщения от неизвестного IMSI.
В противном случае нужно, чтобы все операторы бродкастили банкам о перевыпуске сим-карты, пусть отвязывает от нее все услуги.
Мне всегда было не понятно, почему все эти услуги привязываются к телефонному номеру, который всецело контролировать абонент ЛИЧНО не может. Значит привязывать услуги нужно к какой-либо личной информации. Ну, например, делать hmac(secret, message).
Но уж если это не катит, то:
(Эти решения мне кажутся очевидными, но вполне вероятно, что %s.)
1. IMSI при перевыпуске сим-карты меняется?
2. Получает ли банк вместе с СМС от абонента IMSI или другую информацию?
Если 1&&2 вопросы имеют утвердительный ответ, то, имхо, все просто: реципиент не будет рассматривать сообщения от неизвестного IMSI.
В противном случае нужно, чтобы все операторы бродкастили банкам о перевыпуске сим-карты, пусть отвязывает от нее все услуги.
Сразу бы сменила номер телефона в яндексе на другой и всё. А потом спокойно разбираться. А то и вообще уйти с номером к другому опсосу, благо сейчас такая возможность есть. Вроде прошаренная мадам должна быть, с такими-то должностями в послужном списке, а столько косяков.
beeinfo, сегодня у нас произошел аналогичный случай.
Мы иногда используем QIWI кошелек для расчета с партнерами. Утром перестали приходить SMS с кодами подтверждений, SIM-карта перестала регистрироваться в сети. Затем пришло письмо на почту от QIWI с информацией для восстановления пароля (кто-то пытался получить доступ к кошельку). Сразу поехали в офис Билайна и там узнали, что кто-то сегодня утром в Челябинске получил дубликат (оригинальная SIM-карта получена и используется в Москве). Заблокировали дубликат и получили новый. Самое интересное в том, что человек, на которого была оформлена карта, не является публичным, информацию о нем нельзя было найти где-либо в интернете. Имя и фамилию мог узнать только сотрудник Билайна по номеру телефона. В итоге, чуть не потеряли около 100 тысяч рублей, которые лежали на балансе в QIWI.
Возникает вопрос, действительно ли дело в доверенностях? Почему за последние несколько дней ситуация настолько ухудшилась? Сколько же должно быть «приближенных» мошенников, чтобы они вдруг могли заинтересоваться нами? Повторюсь, номер использовался исключительно для внутренних операций с QIWI и был зарегистрирован на человека, информацию о котором можно найти исключительно в базе Билайна.
Мы иногда используем QIWI кошелек для расчета с партнерами. Утром перестали приходить SMS с кодами подтверждений, SIM-карта перестала регистрироваться в сети. Затем пришло письмо на почту от QIWI с информацией для восстановления пароля (кто-то пытался получить доступ к кошельку). Сразу поехали в офис Билайна и там узнали, что кто-то сегодня утром в Челябинске получил дубликат (оригинальная SIM-карта получена и используется в Москве). Заблокировали дубликат и получили новый. Самое интересное в том, что человек, на которого была оформлена карта, не является публичным, информацию о нем нельзя было найти где-либо в интернете. Имя и фамилию мог узнать только сотрудник Билайна по номеру телефона. В итоге, чуть не потеряли около 100 тысяч рублей, которые лежали на балансе в QIWI.
Возникает вопрос, действительно ли дело в доверенностях? Почему за последние несколько дней ситуация настолько ухудшилась? Сколько же должно быть «приближенных» мошенников, чтобы они вдруг могли заинтересоваться нами? Повторюсь, номер использовался исключительно для внутренних операций с QIWI и был зарегистрирован на человека, информацию о котором можно найти исключительно в базе Билайна.
Где то год назад поменял симку. Альфаклик даже не дернулся. Все работало как и прежде. Вчера захожу — опа, не пускает, пишет вы симку изменили. Ну зашибись. Видать им задницу тоже петух жареный клюнул. Теперь палят.
Тут 100500 комментов о способах безопасной авторизации, а у меня вопрос про доверенности. На каком основании оператор сотовой связи будет отказывать предъявителю доверенности в выполнении действий, на которые онный уполномочен этой доверенностью?
Если такой отказ будет иметь место, то предъявитель доверенности (поверенный) имеет полное право обратиться в суд с требованием его поручение исполнить. И суд удовлетворит это требование, т.к. доверенность — закреплённый законодательством РФ документ, а внутренние правила оператора связи никого волновать не должны.
С одной стороны, конечно, злоумышленник не будет требовать через суд перевыпуск симки, с другой стороны, как пользователю корпоративного договора Билайна, мне часто приходится совершать какие-то действия по доверенности.
Хотя, в данном случае вина сотрудников оператора установлена, во-первых нужно привлекать к ответственности тех, кто удостоверяет доверенности без участия доверителя. И ещё, стоило бы оператору проверять доверенность в реестре отменённых (http://reestr-dover.ru) и сохранять скан доверенности, при её предъявлении.
Если такой отказ будет иметь место, то предъявитель доверенности (поверенный) имеет полное право обратиться в суд с требованием его поручение исполнить. И суд удовлетворит это требование, т.к. доверенность — закреплённый законодательством РФ документ, а внутренние правила оператора связи никого волновать не должны.
С одной стороны, конечно, злоумышленник не будет требовать через суд перевыпуск симки, с другой стороны, как пользователю корпоративного договора Билайна, мне часто приходится совершать какие-то действия по доверенности.
Хотя, в данном случае вина сотрудников оператора установлена, во-первых нужно привлекать к ответственности тех, кто удостоверяет доверенности без участия доверителя. И ещё, стоило бы оператору проверять доверенность в реестре отменённых (http://reestr-dover.ru) и сохранять скан доверенности, при её предъявлении.
Добавлю: и фотографировать предъявителя доверенности.
Фотографировать предъявителя не нужно, достаточно его скана паспорта. Фото предъявителя будет на записи видеонаблюдения в офисе оператора.
Очень недолго и не факт что будет.
Сам факт предложения сделать фото должен отпугнуть злоумышленника.
Если во всех офисах есть камеры достаточного разрешения, то возможно, фото не обязательно.
Скан паспорта в принципе тоже не нужен. Ведь данные паспорта есть в доверенности и они сверяются при предъявлении доверенности.
Если во всех офисах есть камеры достаточного разрешения, то возможно, фото не обязательно.
Скан паспорта в принципе тоже не нужен. Ведь данные паспорта есть в доверенности и они сверяются при предъявлении доверенности.
про фото в паспорте
Я когда продавал машину был крайне удивлен несоответствием фотографии в паспорте и внешности покупателя. Засомневавшись я попросил предъявить еще какой-либо документ. И только увидев более свежее водительское удостоверение с той же фамилией и более похожей на покупателя фотографией, успокоился. И вообще я несколько раз сталкивался с тем, что не узнаю человека по фотографии в паспорте.
У жены в паспорте фотка другого человека. Ну и вообще, если ты стал похож на фотку в паспорте, то тебе пора в отпуск.
Согласен, но это не защищает от совершения мошеннических действий сотрудниками компании.
Да, с фото в паспорте бывают проблемы. Я, например, на фото в паспорте и в реальности — разные люди)) Но специально обученные люди (паспортный контроль, например) не испытывают затруднений со сличением моей физиономии с фото в паспорте, т.к. есть специальные алгоритмы. Но, в общем, да, скан паспорта не особо нужен, при условии сличения паспортных данных с указанными в доверенности, его можно оставить только для проверки менеждером качества работы самого оператора, осуществляющего работу с клиентами.
Да, с фото в паспорте бывают проблемы. Я, например, на фото в паспорте и в реальности — разные люди)) Но специально обученные люди (паспортный контроль, например) не испытывают затруднений со сличением моей физиономии с фото в паспорте, т.к. есть специальные алгоритмы. Но, в общем, да, скан паспорта не особо нужен, при условии сличения паспортных данных с указанными в доверенности, его можно оставить только для проверки менеждером качества работы самого оператора, осуществляющего работу с клиентами.
Поворошу старую тему. Менял на прошлой неделе сим карту мегафон. Мне сообщили, что сутки не будут работать СМС. Через сутки СМС начали работать. По-моему, очень простое решение, хоть и немного неудобное (не смог получить одноразовый код, который понадобился именно в эти первые сутки).
Sign up to leave a comment.
Оператор мобильной связи не в силах предотвратить выдачу дубликатов сим-карт злоумышленникам