Comments 101
Основная проблема в том, что за подобное людей практически не ловят и не сажают. То есть, если ты воруешь барахло в маркете или отжимаешь мобилки по парадным, то это вполне себе уголовное преступление и реальный срок. Относительно быстро и легко доказуемо. А вот если мошенник спер деньги через вк, никто даже и не подумает его искать. Даже чтоб вернуть деньги придется очень сильно постараться и с большой долей вероятности — вам их не вернут, не смотря законодательство. Все же у банка юристы явно лучше.
И пока не будет найден способ в корне изменить подход к такого рода делам — новые способы мошенничества будут появляться каждый день и 95% будут находиться в зоне риска.
И пока не будет найден способ в корне изменить подход к такого рода делам — новые способы мошенничества будут появляться каждый день и 95% будут находиться в зоне риска.
Главное что сам контакт, видимо, не заинтересован что-то менять. Когда человек заходит с левого места, и начинает вдруг всем одно и то же сообщение рассылать (ну или по паттерну) — уже можно если не банить, то хотя бы предупреждение показывать что возможно это мошенники пишут, и нужно удостовериться в чистоте его намерений сторонним способом. Но даже когда уже множество человек нажало что «Аккаунт взломан» — сразу ничего не происходит, и злоумышленник может продолжать обрабатывать людей по списку друзей.Ладно бы что-то новое, но для вот этого всего технологии у них уже имеются.
ВКонтакте? Он тут вообще выступает просто сервисом доставки сообщений. Неужели сервис сообщений должен заботиться, что б через него не рассылали мошеннические тексты? Если реально такой запрос в обществе есть, то закон-то примут. Детей от "плохой информации" уже защитили, теперь взрослых будут защищать от плохих сообщений. Точно хотите этого?
В том то и дело, что взрослых от «лишней» информации уже защищают — в этом плане терять нечего. А вот выводить предупреждение\подсказку если множество очевидных факторов указывают на факт взлома аккаунта и мошенничество — это никого кроме мошенников ни в чем не ограничит.
в этом плане терять нечего.
Да, на каждом этапе есть люди, которые считают, что хуже уже не сделают. Потом удивляются. А на самом деле терять есть что и много.
Сама по себе подсказка "это сообщение рассылали уже 20 раз" никого не ограничит, вы правы. Но она бесполезна, потому что сообщение будут менять немного.
Или может быть сообщение "он уже пишет десятому человеку за полчаса" кому-то что-то даст. Но это какие-то костыльные решения. Ну будет писать реже, напишет не сотне, а 50 человек. Вроде бы лучше, но не так, что бы сильно лучше.
А вот сообщение на смс "это вход в аккаунт смс на номер Х, никому его не сообщайте" — намного лучше. Да и настоящая двухфакторная во всех значимых сервисах — тоже намного лучше. И отслеживание денег намного лучше и возврат украденного и наказание вора.
Но это все не нравится, да? Обязательно нужно костыльное, неработающее решение, в котором ВКонтакте выступает кривым фильтром с кучей ложноположительных?
У контакта давно есть двухфакторная авторизация. Люди, видимо, сами не заинтересованы.
Грош цена такой двухфакторной аутентификации, когда нельзя отключить подтверждение по номеру телефона и от бота Администрации, а оставить только TOTP.
80% проблем это решает, это лучше чем вообще не использовать ее.
Хуже то, что она дает уверенность безопасности, хотя на самом деле никакой безопасности нет.
я бы оспорил сей момент. Было пару раз так, что приходили СМС с кодом авторизации, причем вход планировался из таких стран как Китай, Япония и Тайланд. Но благодаря тому. что стоит двухфакторная авторизация, взломать мой аккаунт не удалось. Так что теоретически и даже немного практически польза всё же есть.
С тезисом «лучше с 2FA через SMS, чем без нее» я не спорю.
С тезисом «2FA через SMS обеспечивает 100% защиту от входа в аккаунт» — спорю, потому что связка «телефонный номер — клиент», во-первых, непостоянна, во-вторых, SMS можно перехватить тем или иным способом.
Т.е., разумеется, польза от 2FA через SMS есть, но надо всегда помнить, что это не непробиваемая защита. И если я бы вдруг заработал или выиграл в лотерею охулиарды денег, то хранить их на счете, доступ к которому защищается через 2FA SMS, я бы не стал. Потому что информация о балансе счета в РФ давно перестала быть тайной.
С тезисом «2FA через SMS обеспечивает 100% защиту от входа в аккаунт» — спорю, потому что связка «телефонный номер — клиент», во-первых, непостоянна, во-вторых, SMS можно перехватить тем или иным способом.
Т.е., разумеется, польза от 2FA через SMS есть, но надо всегда помнить, что это не непробиваемая защита. И если я бы вдруг заработал или выиграл в лотерею охулиарды денег, то хранить их на счете, доступ к которому защищается через 2FA SMS, я бы не стал. Потому что информация о балансе счета в РФ давно перестала быть тайной.
Справедливости ради, контакт уже не один месяц тестит систему отлова спама, видел не раз как сообщения в личке (только в веб-версии, пока что) получали метку «подозрительно» и скрывались от меня. Приходилось лезть за телефоном чтобы прочесть, что друг зовет меня поиграть.
Чтобы поймать и посадить, надо собрать доказательства.
Чтобы собрать доказательства, надо «деанонимировать» мошенника и сохранить его «трафик».
Чтобы «деанонимировать» мошенника и сохранить его «трафик» необходима специальная «инфраструктура», не позволяющая выходить в сеть анонимно и позволяющая «прослушивать» трафик, в т.ч. и «шифрованный».
Нет уж, нет уж… Пусть меня лучше мошенники разденут до нитки и вгонят в долги, чем какой-то фсбэшник будет читать мою переписку.
Чтобы собрать доказательства, надо «деанонимировать» мошенника и сохранить его «трафик».
Чтобы «деанонимировать» мошенника и сохранить его «трафик» необходима специальная «инфраструктура», не позволяющая выходить в сеть анонимно и позволяющая «прослушивать» трафик, в т.ч. и «шифрованный».
Нет уж, нет уж… Пусть меня лучше мошенники разденут до нитки и вгонят в долги, чем какой-то фсбэшник будет читать мою переписку.
да даже хрен с ними с мошенниками — хотя не вижу проблем в том, чтоб отправить фургон омона по пеленгу телефона, с которого мошенник сидит в ВК. Благо они почти никакой защиты даже не пытаются ставить.
Проблема в том, что нельзя отменить свои платежи и вернуть все деньги, хотя-бы в течении недели. Ведь весь процесс путешествия денег можно отследить, это не какое-то сообщение в вк, и для этого ненужно чтоб ФСБшник читал ваши сообщения. Сразу будет видно где гад и обналичил, на какие номера перевел, куда положил и где/что оплатил. Можно даже бумажные деньги отслеживать, благо номер у всех уникальный. А пользование крадеными деньгами, на которые написано заявление — достаточно веский повод для задержания…
Проблема в том, что нельзя отменить свои платежи и вернуть все деньги, хотя-бы в течении недели. Ведь весь процесс путешествия денег можно отследить, это не какое-то сообщение в вк, и для этого ненужно чтоб ФСБшник читал ваши сообщения. Сразу будет видно где гад и обналичил, на какие номера перевел, куда положил и где/что оплатил. Можно даже бумажные деньги отслеживать, благо номер у всех уникальный. А пользование крадеными деньгами, на которые написано заявление — достаточно веский повод для задержания…
не вижу проблем в том, чтоб отправить фургон омона по пеленгу телефона, с которого мошенник сидит в ВК
Охрана колонии может не пустить.
Довольно много таких мошенников "работают" из мест заключения. Отдельный вопрос — откуда у них телефоны.
Нет, ну хорошо. Допустим мошенник сидит на зоне, и физически до него не добраться. Зато можно блокировать его телефон, а так же всю цепочку перевода денег, включая телефоны соседей по камере ) Человеку, получившему блок случайно (например гад ошибся и отправил деньги на левый номер, ну или специально пытался замести следы) ничего не стоит ответить на звонок оператора и подтвердить, что он понятия не имеет, откуда к нему пришли деньги и позволяет их списать, и вообще поставить вайтлист денежных переводов, чтоб не могли переводить с незнакомых номеров (услуга должна быть бесплатна у оператора)
не вижу проблем в том, чтоб отправить фургон омона по пеленгу телефона, с которого мошенник сидит в ВК. Благо они почти никакой защиты даже не пытаются ставить.
Почему вы так уверены в этом? Я как раз наоборот уверен что как минимум будет использован Tor.
Уже есть закон яровой. Чет не особо работает, да?
Зачем трафик? Если он украл деньги — есть путь прохождения денег, разве нет?
Препочитаете быть раздетым до нитки ФСБниками? Месье знает толк…
Чтобы поймать и посадить, надо собрать доказательства.
Чтобы собрать доказательства, надо «деанонимировать» мошенника и сохранить его «трафик».
Чтобы «деанонимировать» мошенника и сохранить его «трафик» необходима специальная «инфраструктура», не позволяющая выходить в сеть анонимно и позволяющая «прослушивать» трафик, в т.ч. и «шифрованный».
Ха-ха, у нас могут на два года условно осудить за картинки в закрытом альбоме (вот). Так что у кого надо есть прямой доступ и приватным альбомам, и к переписке, а на проблему мошенничества им просто наплевать.
Хинт — сидит человек в тюрьме. Пожизненно или оцень на долго. И ему передают телефон для подобных манипуляций. За курево, наркоту, что-у-них-там-ещё-в-ходу. И даже когда его «деанонимизируют» и добавят срок, в его жизни ничего не изменится, по большому счету. Так оно не работает. Вывод — будьте бдительны.
Я Вас таки прошу, 90% этих всех кидков — мамкины бандиты, школьники, из дома прямо фигнёй маются. А не трогают их ибо мелочь.
PS. Есть конечно и покрупнее дельцы, но те или скрываются хорошо или откупаются. С тюрьмы много не кинешь, без ПК — там же массовость нужна, всё таки таких идиотов не так и много.
PS. Есть конечно и покрупнее дельцы, но те или скрываются хорошо или откупаются. С тюрьмы много не кинешь, без ПК — там же массовость нужна, всё таки таких идиотов не так и много.
Счет в банке тоже открывает сидя за решеткой? По «операторам» бить смысла мало, согласен, надо бить по денежным потокам.
Электронное мошенничество вообще трудно доказуемо во всём мире. Гляньте вон на популярность так называемых «рефандеров» в США\Европе например.
Я думаю, проблема в другом. Пока есть те, кого можно легко обмануть, будут и те, кто готов этим воспользоваться. Ужесточение наказания за сие деяние — не панацея, вряд ли это как-либо повлияет на текущую ситуацию. Социальная инженерия ведь не вчера появилась, людям пора уже заботиться о какой-то базовой самообразованности в этом плане.
Основная проблема в том что операторы занимаются не своим делом и всячески упрощают сервисы чтобы простым людям было удобнее тратить больше денег через них (серые схемы с подписками и короткими номерами это только часть не своей функциональности).
Надеюсь когда-нибудь у властей хватит воли и совести остановить это и ограничить операторов только связью, а то они уже открыто заявляют что знают кто с кем и где и могут эту информацию использовать :(
Думаю, подавляющее количество таких преступлений совершают люди, уже находящиеся в местах лишения свободы, тч навряд ли их это сильно напугает
Наверное, я какой-то не такой. Но подобные нестандартные просьбы у меня вызывают резкое чувство, что что-то тут не то. И я скорее всего откажу, т.к. не понимаю, зачем это может быть нужно человеку, и не понимаю, какие могут быть риски для меня.
Старые схемы с просьбой дать в долг кажутся мне более адекватными, и по моим ощущениям больше людей должно вестись на это. А если же человек соглашается переслать кому-то СМС с кодом подтверждения, учитывая, что никому из его знакомых такое никогда не требовалось, то мне только вспоминается фраза, что лох не мамонт, он не вымрет.
UFO just landed and posted this here
Вероятность таких ситуаций достаточно мала, чтобы инициироваться более тщательную проверку ситуации — попытаться связаться по другим каналам связи, задать уточняющие вопросы и т. д.
Как вам уже написали, ваша ситуация довольно редкая.
Когда с аккаунта моей сестры просили денег вдолг, я попросил позвонить и попросить голосом. Сказали, типа на занятиях, не может говорить. Сам же я, подозревая, что что-то тут неладное, попробовал дозвониться до сестры, телефон её не отвечал — специально, что ли, подгадывали время. Тогда я ей задал такой вопрос, на который может знать ответ только она, и крайне маловероятно, что этот вопрос она могла поднимать с кем-то в переписке. Человек на этом слился, т.к. ответить правильно не смог.
И я не вижу ничего странного в том, чтобы даже тому же начальнику задать наводящие вопросы или связаться с ним как-то ещё.
А вот так с радостью, как показано в статье, пересылать кому-то какие-то СМСки, мне кажется это довольно глупо.
Когда с аккаунта моей сестры просили денег вдолг, я попросил позвонить и попросить голосом. Сказали, типа на занятиях, не может говорить. Сам же я, подозревая, что что-то тут неладное, попробовал дозвониться до сестры, телефон её не отвечал — специально, что ли, подгадывали время. Тогда я ей задал такой вопрос, на который может знать ответ только она, и крайне маловероятно, что этот вопрос она могла поднимать с кем-то в переписке. Человек на этом слился, т.к. ответить правильно не смог.
И я не вижу ничего странного в том, чтобы даже тому же начальнику задать наводящие вопросы или связаться с ним как-то ещё.
А вот так с радостью, как показано в статье, пересылать кому-то какие-то СМСки, мне кажется это довольно глупо.
Отправить кому-то уникальный код полученный на телефон?
Где здесь новый способ? Подавляющее большинство сервисов в самой смске пишут, что не надо этот код никому передавать. Повестись на такое может только совсем неискушенный пользователь, лет 50 проживший в бункере.
Где здесь новый способ? Подавляющее большинство сервисов в самой смске пишут, что не надо этот код никому передавать. Повестись на такое может только совсем неискушенный пользователь, лет 50 проживший в бункере.
Особенно странно, что на том конце переслать смс тебе может, а прочесть якобы нет.
Ничего странного. В личный кабинет можно зайти с ПК/планшета без симки.
Не переслать, а заказать получение на твой телефон — вместо своего, якобы не работающего.
Для этого нужен интернет, но не нужна сотовая связь. «Обработка» так же идет через мессенджер, а не через смс. Интернет нужен, а сотовая связь — нет.
Т.е. с этой стороны как раз ничего подозрительного — у «знакомого» есть доступ в интернет, но временно не работает мобильный телефон, а он хочет каким-то интернет сервисом воспользоваться, который отправлят смс для подтверждения.
Для этого нужен интернет, но не нужна сотовая связь. «Обработка» так же идет через мессенджер, а не через смс. Интернет нужен, а сотовая связь — нет.
Т.е. с этой стороны как раз ничего подозрительного — у «знакомого» есть доступ в интернет, но временно не работает мобильный телефон, а он хочет каким-то интернет сервисом воспользоваться, который отправлят смс для подтверждения.
Всё равно какой-то странный способ.
Обычно у сервисов уже есть твой телефон и на чужой — смс отправлять не будут.
А тут кто-то просит переслать смс — явно же тебя пытаются поиметь.
Обычно у сервисов уже есть твой телефон и на чужой — смс отправлять не будут.
А тут кто-то просит переслать смс — явно же тебя пытаются поиметь.
он хочет каким-то интернет сервисом воспользоваться, который отправлят смс для подтверждения
Именно. Т.е. где-то на каком-то интернет-сервисе указал телефон потенциальной жертвы (раз на него смс придет) — и это жертву не волнует? Я бы как минимум поинтересовался, что происходит и куда внесли мой телефонный номер.
это могут быть чьи-то бабушки-дедушки. Вам от этого легче?
Мои бабушки и дедушки мной научены как на такое реагировать.
Полагаю как и у большинства хабровчан.
Зачем на хабре статья «А! Нельзя отправлять никому коды из смс! Уязвимость! Мы все умрем!»? Кто здесь её ЦА?
Лично я ожидал гораздо более изощренного обмана под таким заголовком.
Полагаю как и у большинства хабровчан.
Зачем на хабре статья «А! Нельзя отправлять никому коды из смс! Уязвимость! Мы все умрем!»? Кто здесь её ЦА?
Лично я ожидал гораздо более изощренного обмана под таким заголовком.
Обсасывание каждой «новой» схемы обмана, отличающейся от всех предыдущих только незначительными второстепенными деталями — это идиотизм уровня мусорных чатов, где такое всегда постят (родительские группы школ, районные группы и т.п.) Аргумент про «а если это случится с бабушкой/ребенком» столь же глуп и бессмысленен. Потому что абсолютно все эти «новые» схемы основаны на единицах вариантов обмана, которые перекрываются элементарными правилами безопасности электронной коммуникации, которых тоже единицы. А потому, их куда проще понять и запомнить пресловутым детям и пожилым людям (если они, конечно, не впали еще в старческую деменцию, а тогда уже вопрос — почему у них есть полный доступ к коммуникациям, будто они дееспособны). Бесконечные же перечисления «новых» способов только рассеивают внимание и создают ощущение «всесильности» жуликов у несведущих людей.
На развлекательных сайтах статья была бы уместна, но на хабре?
В чем новизна? Способ тот же самый — просят сообщить код который приходит Вам на телефон. Прелюдия — умер хомяк, потерян доступ, получил наследство от дяди из нигерии — абсолютно монопенисуален.
В чем социалка? Вас просят сообщить код который приходит лично Вам. А завтра что назовем социалкой? Когда попросят дать 5000р или телефон? Или пароль от хабра? Это не социалка, это тупая прямая просьба приватных данных.
В чем новизна? Способ тот же самый — просят сообщить код который приходит Вам на телефон. Прелюдия — умер хомяк, потерян доступ, получил наследство от дяди из нигерии — абсолютно монопенисуален.
В чем социалка? Вас просят сообщить код который приходит лично Вам. А завтра что назовем социалкой? Когда попросят дать 5000р или телефон? Или пароль от хабра? Это не социалка, это тупая прямая просьба приватных данных.
> А завтра что назовем социалкой? Когда попросят дать 5000р или телефон? Или пароль от хабра? Это не социалка, это тупая прямая просьба приватных данных.
Не согласен. Залог успеха в том, что просит доверительный источник а не абстрактный Вася Пупкин.
Не согласен. Залог успеха в том, что просит доверительный источник а не абстрактный Вася Пупкин.
Здесь проблема в том, что не всеми такое сообщение воспринимается как опасное. Это не просьба отправить деньги, это не просьба залогиниться куда-то под своими данными, не нужно открывать данные кредитки. Логическая цепочка «отправлю код -> зайдут в мой ЛК -> настроят переадресацию -> угонят мою страницу в соцсетях, на которую мне сейчас и пишут» формируется далеко не у всех.
И более широкая проблема: мы уже привыкли к двухфакторной авторизации в банках, приучились делать сложные пароли на почте, однако сейчас именно телефон становится главным средством для авторизации и для «открывания дверей» на другие сервисы.
А как раз у сотовых операторов уровень защиты совсем не соответствует угрозам. Можно войти в ЛК просто по СМС. А в МТС ещё не так давно (а может и сейчас) при создании личного кабинета с телефона, предлагалось создать пароль для ЛК из (внимание) четырёх цифр. Если вы пароль с тех пор не меняли — по нему до сих пор можно зайти в ЛК.
И более широкая проблема: мы уже привыкли к двухфакторной авторизации в банках, приучились делать сложные пароли на почте, однако сейчас именно телефон становится главным средством для авторизации и для «открывания дверей» на другие сервисы.
А как раз у сотовых операторов уровень защиты совсем не соответствует угрозам. Можно войти в ЛК просто по СМС. А в МТС ещё не так давно (а может и сейчас) при создании личного кабинета с телефона, предлагалось создать пароль для ЛК из (внимание) четырёх цифр. Если вы пароль с тех пор не меняли — по нему до сих пор можно зайти в ЛК.
Да нет, проблема в том, что человек вообще берется оценивать опасность в принципе.
А не должен — и об этом написано в каждом соглашении с кем угодно.
Просят данные, говорят что-то сделать — просящий и говорящий идет на фиг, сразу, без лишнего базара, без попыток построение хитровыделанных логических цепочек.
А не должен — и об этом написано в каждом соглашении с кем угодно.
Просят данные, говорят что-то сделать — просящий и говорящий идет на фиг, сразу, без лишнего базара, без попыток построение хитровыделанных логических цепочек.
А как раз у сотовых операторов уровень защиты совсем не соответствует угрозам.Тут есть варианты решения в целом. Зарубежная симка для смс от банков, например. Вы погуглите как получают квал. электронную подпись если интересно.
Ну вы же понимаете, что это слишком сложно, чтобы стать массовым. Я даже в банк-клиент стараюсь лишний раз не логиниться, потому что мне влом ждать смс и вводить код.
У меня кучу раз просили деньги в долг со взломанных аккаунтов. Но также просили деньги в долг через Вконтакт и реальные люди. Я им переводил и они потом возвращали. Мне приходилось убеждаться, что тот, кто просит — это действительно мой знакомый, и тут я занимался как раз оценкой безопасности. По вашей логике я не должен был переводить деньги вообще никому никогда.
У меня кучу раз просили деньги в долг со взломанных аккаунтов. Но также просили деньги в долг через Вконтакт и реальные люди. Я им переводил и они потом возвращали. Мне приходилось убеждаться, что тот, кто просит — это действительно мой знакомый, и тут я занимался как раз оценкой безопасности. По вашей логике я не должен был переводить деньги вообще никому никогда.
Ну вы же понимаете, что это слишком сложно, чтобы стать массовым.Что именно сложно?
По вашей логике я не должен был переводить деньги вообще никому никогда.Нет. Речь идет о том, что нельзя играть пассивную роль — выполнять указания, делать как скажут.
Если Вы сыграли активную роль — сами нашли человека что бы выдать ему деньги (пусть и в результате его просьбы изначально), сами заказали код, сами его получили, сами его ввели куда нужно, то это совсем другое дело. Вы не следовали ничьим указаниям.
p.s.: Изумительно, заминусовали пост в котором по сути кроме совета не выдавать своих данных ничего и не было. Советуете выдавать? Так хоть аргументировали бы:)
Что именно сложно?
Зарубежная симка для смс от банков — это разве просто? Её надо зарегистрировать и в дальнейшем поддерживать.
Если Вы сыграли активную роль — сами нашли человека что бы выдать ему деньги (пусть и в результате его просьбы изначально), сами заказали код, сами его получили, сами его ввели куда нужно, то это совсем другое дело.
В вышеуказанном случае можно провести такой анализ: это сообщение от моего знакомого, денег он не просит, значит наверное его не взломали, данных по моим банковским карточкам у него нет, так что вряд ли это запрос о подтверждении платежа, а даже если он получит доступ к моей мобилке — максимум что может сделать — снять 100 рублей со счёта, которые там лежат. Анализ проведён, результат неверен.
Зарубежная симка для смс от банков — это разве просто? Её надо зарегистрировать и в дальнейшем поддерживать.Это пример же просто. Кому-то просто, один раз купил и раз в полгода пополняй на евро. Кому сложно — есть альтернативы.
Анализ проведён, результат неверен.Так мы же об этом и говорили «проблема в том, что человек вообще берется оценивать опасность в принципе. Просят данные, говорят что-то сделать — просящий и говорящий идет на фиг»©
Тогда мы возвращаемся к моему предыдущему ответу: всех слать нафиг не вариант, могут быть и реальные просьбы от реальных знакомых.
Так на это уже отвечали же
Речь идет о том, что нельзя играть пассивную роль — выполнять указания, делать как скажут.
Если Вы сыграли активную роль — сами нашли человека что бы выдать ему деньги (пусть и в результате его просьбы изначально), сами заказали код, сами его получили, сами его ввели куда нужно, то это совсем другое дело. Вы не следовали ничьим указаниям
У мегафона еще если вышел в интернет через мобильный — то вход в ЛК вообще без всяких паролей. Просто сопоставляют у себя в базе текущий ip адрес — номер телефона и пускают сразу так если ты с мегафоновского ip пришел.
Разница тут видимо в том, что код приходит от, в данном случае, МТС. Если смс от банка, там, как правило, написана сумма операции, что за операция, и ещё «никому не сообщайте этот код». Да ещё отправитель текстовый — название банка.
Не знаю, как выглядит код на доступ к ЛК МТС, но возможно сама СМС не так подозрительна, как банковская. Если это предварено диалогом вроде «Пытаюсь зарегаться на сервисе xyz.ru, чтобы купить телефон в интернет-магазине. Потому что мой телефон сдох. Представь, придурки, просят телефон, когда я пытаюсь купить телефон! Можно на твой номер зарегистрируюсь, и код регистрации к тебе придет?»
И приходит смс не от банка о подтверждении операции, а для входа в ЛК или регистрации. И в ней не написано «никому не сообщайте код», да даже если написано.
Человек понимает, что этот код для входа в личный кабинет, привязанный к его номеру. Но не видит в этом ничего опасного. Это же не перевод денег, а все переводы денег подтверждаются по СМС отдельно. А вот что таким образом могут подключить переадресацию смс он не думает.
Не знаю, как выглядит код на доступ к ЛК МТС, но возможно сама СМС не так подозрительна, как банковская. Если это предварено диалогом вроде «Пытаюсь зарегаться на сервисе xyz.ru, чтобы купить телефон в интернет-магазине. Потому что мой телефон сдох. Представь, придурки, просят телефон, когда я пытаюсь купить телефон! Можно на твой номер зарегистрируюсь, и код регистрации к тебе придет?»
И приходит смс не от банка о подтверждении операции, а для входа в ЛК или регистрации. И в ней не написано «никому не сообщайте код», да даже если написано.
Человек понимает, что этот код для входа в личный кабинет, привязанный к его номеру. Но не видит в этом ничего опасного. Это же не перевод денег, а все переводы денег подтверждаются по СМС отдельно. А вот что таким образом могут подключить переадресацию смс он не думает.
Спасибо за точное понимание и гениально-лучший пример фразы-зацепки!
Я бы чуть доработал и «Пытаюсь заказать телефон в официальном магазе МТС. Потому что мой телефон сдох. Представь, придурки, просят телефон, когда я пытаюсь купить телефон! Можно на твой номер зарегистрируюсь, и код регистрации к тебе придет? А потом если позвонят тебе подтвердить, ты скажи, что все в порядке и я действительно жду доставку.»
Я бы чуть доработал и «Пытаюсь заказать телефон в официальном магазе МТС. Потому что мой телефон сдох. Представь, придурки, просят телефон, когда я пытаюсь купить телефон! Можно на твой номер зарегистрируюсь, и код регистрации к тебе придет? А потом если позвонят тебе подтвердить, ты скажи, что все в порядке и я действительно жду доставку.»
Риск высокий не от того, что в МТС есть переадресация СМС и звонков, а в том, что многие другие сервисы полагаются на самостоятельную безопасность пользователя, и безопасность его телефона, и накручивают кучу функционала в надежде, что раз пользователь читает смс, значит это не мошенник.
Да, повальная привязка всего и все на телефон и СМС — вообще корень зла.
Особенно когда и сброс пароля и другие функции безопасности так же на СМС повешены, а не дополняют друг друга.
Т.е. можешь читать/перехватывать СМС-ки? (для чего существуют кучи разных способов — вирусы на телефонах, перевыпуски симок, «крыса» среди сотрудников ОПСОСа, крыса из органов с доступом к СОРМ и т.д.) = можешь сделать все что угодно.
Особенно когда и сброс пароля и другие функции безопасности так же на СМС повешены, а не дополняют друг друга.
Т.е. можешь читать/перехватывать СМС-ки? (для чего существуют кучи разных способов — вирусы на телефонах, перевыпуски симок, «крыса» среди сотрудников ОПСОСа, крыса из органов с доступом к СОРМ и т.д.) = можешь сделать все что угодно.
> Описание способа
> [skip]
Указанный способ вживую видел в действии как минимум год назад. Да, на неокрепших юзерах отлично работает (например дети). В принципе, ничего нового в нем не вижу т.к. в корне лежит та же социалка что и везде. Что впрочем не делает его менее эффективным. Вопрос в выборе жертвы.
> [skip]
Указанный способ вживую видел в действии как минимум год назад. Да, на неокрепших юзерах отлично работает (например дети). В принципе, ничего нового в нем не вижу т.к. в корне лежит та же социалка что и везде. Что впрочем не делает его менее эффективным. Вопрос в выборе жертвы.
UFO just landed and posted this here
Золотые слова! Почему бы основы информационной безопасности не ввести в курс ОБЖ и преподавать с первого класса вместе с основами ПДД? Сейчас смартфоны есть у всех практически с первого класса (мало кто покупает детям звонилку — а то лохом считать будут)) ) и аккаунт в ВК или ОК. А родители сами не всегда могут рассказать про безопасное использование технологий.
Отлично. А вести их будет Мариванна.
А что — должен вести брутальный, лохматый хакер Вася?
Достаточно грамотно написанной методички. Тем более, что надо объяснить не всю теорию ИБ, а только азы про стойкие пароли, про всякие коды по СМС, про правила общения в соц. сетях. Ведь при изучении тех же ПДД в школе не требуют досконального их знания, а только в рамках прав и обязанностей пешехода.
Достаточно грамотно написанной методички. Тем более, что надо объяснить не всю теорию ИБ, а только азы про стойкие пароли, про всякие коды по СМС, про правила общения в соц. сетях. Ведь при изучении тех же ПДД в школе не требуют досконального их знания, а только в рамках прав и обязанностей пешехода.
SMS Pro далеко не со всеми сервисами работает (даже у МТС в описании прямо сказано 'Услуга SMS Pro действует для входящих SMS с номеров абонентов международных и российских операторов мобильной связи, кроме SMS с коротких номеров (номер до 7 цифр), альфанумерик (буквенно-символьное изображение) и сообщений от сервисных услуг МТС.' )
Полноценная переадресация вообще всех SMS насколько знаю только у теле2 есть (включается через USSD и только так, и работает бесплатно(кроме стоимости исходящих SMS)).
Полноценная переадресация вообще всех SMS насколько знаю только у теле2 есть (включается через USSD и только так, и работает бесплатно(кроме стоимости исходящих SMS)).
К слову сказать, недавно пополняя сотовый МТС ошибся ноликом и положил денег больше чем нужно, после этого нашёл у них на сайте функцию перевести деньги со счёта обратно на карту, но фактически эта функция заблокирована. При попытке перевести будет ошибка и требование обратиться в офис МТС. В офисе же вам расскажут, что по-умолчанию эта функция заблокирована как раз от мошенников, и чтобы её разблокировать, надо написать заявление на бумаге, предъявить паспорт и ждать сутки на его обработку. Только после заявления удалось сделать перевод.
а в чем оптовость такого угона? это же обычный перебор, в поисках лоха, только не очень верится, что 4 из 9 поведутся, на такой детский развод, где Вы опрос проводили если не секрет? По моим прикидкам, у людей с таким уровнем доверчивости, красть уже давно нечего.
Метод не очень новый, но работающий, плюс каких-то значимых публикаций на эту тему я особо не встречал. Можно рассмотреть довольно забавное продолжение темы — создание злоумышленниками сайта с призами, кешбками или чем-то еще (даже новый мессенджер или такси/каршеринг), где при авторизации запрашивается номер телефона, затем через доступный API определяется текущий оператор для этого номера, потом запрашивается СМС-код для авторизации на сайте оператора, а пользователю показывают только форму для ввода кода на сайте. Что делать с кодом — известно из статьи. Думаю, что количество людей, которые введут код, не особо обратив внимание на то, кто его отправляет — достаточно большое.
Глобально — проблема в том, что мобильные операторы представляют из себя средство связи, а не авторизации. Количество дыр приемлемо для плохого средства связи, но не для системы авторизации. Боюсь, что завтра прочитаю статью «Найдена уязвимость, позволяющая читать переписку всех абонентов оператора *», а ведь такие дыры вполне есть.
Глобально — проблема в том, что мобильные операторы представляют из себя средство связи, а не авторизации. Количество дыр приемлемо для плохого средства связи, но не для системы авторизации. Боюсь, что завтра прочитаю статью «Найдена уязвимость, позволяющая читать переписку всех абонентов оператора *», а ведь такие дыры вполне есть.
UFO just landed and posted this here
Полиция занимается «своей работой».
В схожем случае мне надо было лично прийти с отделение с паспортом, собственноручно написать заявление, а потом получить по почте письмо о том, что раз преступникам не удалось меня «развести», то и состава преступления не было.
(На ту же тему можно оффтопить про ГИБДД, которые «не могут определить владельца транспортного средства по номеру».)
В схожем случае мне надо было лично прийти с отделение с паспортом, собственноручно написать заявление, а потом получить по почте письмо о том, что раз преступникам не удалось меня «развести», то и состава преступления не было.
(На ту же тему можно оффтопить про ГИБДД, которые «не могут определить владельца транспортного средства по номеру».)
Экстремизм ищет и за мемасики ловит — это же намного важнее
А ведь на самом деле надёжной аутентификации сейчас нет вообще. Есть более-менее сносные способы, как авторизация через тот же мобильник: предполагается что мобильник может быть только в руках у владельца и доступ к настройкам имеет только он.
Однако это уязвимо для социнжиниринга, как в этой статье. Мобильник могут отобрать, предварительно подсмотрев/выпытав пинкод. Да и просто, если вы переезжаете в другой регион или другую страну и меняете номер, вы испытаете геморрой со сменой всех привязок. А если про какую-то привязку к вашему номеру вы забудете, а сам номер уже будет недоступен? А если просто вы потеряете телефон/симку, и по какой-то причине (опять же, нахождение в другой стране) не сможете их быстро восстановить?
С почтой — похожие проблемы. Можно забыть пароль и не пройти потом тест на жирафа при попытке восстановления. Почту могут увести. С почтовым сервисом может что-то случиться (вспомним почту на qip.ru), можно оказаться забаненным (помните историю про человека, которого забанили везде на гугле включая gmail за нарушение правил пользования одного из гугловских сервисов?).
Авторизация через соцсети — аналогично. Тем более что нарваться на бан в соцсети гораздо легче, чем на Gmail (получив при попытке входа примерно вот такое).
Пока как ни странно самым надёжным способом идентификации является паспорт. По крайней мере, я знаю, что если я протеряю все пароли к моему банку — я всегда могу прийти с паспортом в отделение, и мне всё восстановят.
Посмотрим, что будет с аутентификацией по биометрическим данным, может это как-то решит проблему. Но пока вот так.
Однако это уязвимо для социнжиниринга, как в этой статье. Мобильник могут отобрать, предварительно подсмотрев/выпытав пинкод. Да и просто, если вы переезжаете в другой регион или другую страну и меняете номер, вы испытаете геморрой со сменой всех привязок. А если про какую-то привязку к вашему номеру вы забудете, а сам номер уже будет недоступен? А если просто вы потеряете телефон/симку, и по какой-то причине (опять же, нахождение в другой стране) не сможете их быстро восстановить?
С почтой — похожие проблемы. Можно забыть пароль и не пройти потом тест на жирафа при попытке восстановления. Почту могут увести. С почтовым сервисом может что-то случиться (вспомним почту на qip.ru), можно оказаться забаненным (помните историю про человека, которого забанили везде на гугле включая gmail за нарушение правил пользования одного из гугловских сервисов?).
Авторизация через соцсети — аналогично. Тем более что нарваться на бан в соцсети гораздо легче, чем на Gmail (получив при попытке входа примерно вот такое).
Пока как ни странно самым надёжным способом идентификации является паспорт. По крайней мере, я знаю, что если я протеряю все пароли к моему банку — я всегда могу прийти с паспортом в отделение, и мне всё восстановят.
Посмотрим, что будет с аутентификацией по биометрическим данным, может это как-то решит проблему. Но пока вот так.
UFO just landed and posted this here
Ключевой файл можно потерять.
Биометрия на мой взгляд единственный способ однозначного определения человека. Я не имею в виду текущий уровень технологий, но может быть в перспективе. По лицу, по отпечаткам пальца, по голосу, ещё как-то. Вы конечно можете потерять лицо и пальцы, но это на мой взгляд довольно маловероятно.
Здесь нужно решить три проблемы:
— однозначная идентификация по биометрическим данным (чтобы можно было отличить одного близнеца от другого, чтобы идентификация не терялась в случае смены внешности/возрастных изменений, чтобы невозможно было авторизоваться с фотки, с отрезанного пальца или просто используя цифровой отпечаток предыдущей авторизации)
— определение добровольности идентификации (если заставят приложить палец или посмотреть в камеру — система должна это понять и не пустить). Как это решить сходу не представляю, но думаю это решаемо.
— массовые, дешёвые и простые средства для такой идентификации
А затем можно обойтись вообще без какого-либо центра авторизации типа Гугла, сотового оператора или государства. Если биометрия будет однозначно преобразовываться в хэш — можно хранить эти хэши в децентрализованном блокчейне например и компании могут пользоваться им для авторизации. Мегаупрощённо: например, для каждого сервиса генерится собственный хэш с использованием приватного ключа сервиса. Сервис может не знать личность человека, который зарегистрировался, но привязка биоданных к логину на сервисе всегда будет однозначной. Если такое получится, то пароли, смс-коды и ключевые файлы станут не нужны.
Биометрия на мой взгляд единственный способ однозначного определения человека. Я не имею в виду текущий уровень технологий, но может быть в перспективе. По лицу, по отпечаткам пальца, по голосу, ещё как-то. Вы конечно можете потерять лицо и пальцы, но это на мой взгляд довольно маловероятно.
Здесь нужно решить три проблемы:
— однозначная идентификация по биометрическим данным (чтобы можно было отличить одного близнеца от другого, чтобы идентификация не терялась в случае смены внешности/возрастных изменений, чтобы невозможно было авторизоваться с фотки, с отрезанного пальца или просто используя цифровой отпечаток предыдущей авторизации)
— определение добровольности идентификации (если заставят приложить палец или посмотреть в камеру — система должна это понять и не пустить). Как это решить сходу не представляю, но думаю это решаемо.
— массовые, дешёвые и простые средства для такой идентификации
А затем можно обойтись вообще без какого-либо центра авторизации типа Гугла, сотового оператора или государства. Если биометрия будет однозначно преобразовываться в хэш — можно хранить эти хэши в децентрализованном блокчейне например и компании могут пользоваться им для авторизации. Мегаупрощённо: например, для каждого сервиса генерится собственный хэш с использованием приватного ключа сервиса. Сервис может не знать личность человека, который зарегистрировался, но привязка биоданных к логину на сервисе всегда будет однозначной. Если такое получится, то пароли, смс-коды и ключевые файлы станут не нужны.
Риск не в утери информации, а ее краже и дублировании. Если речь не про авторизацию с личным присутствием (хотя и тут возможны варианты — отпечатки например не особо сложно подделать имея «правильный» образец), то данные элементарно могут утечь и потом их будут использовать для проведения операций от вашего имени.
А биометрические данные в отличии от пароля не сменишь и не перевыпустишь как аппаратный ключик или сертификат ЭЦП.
А биометрические данные в отличии от пароля не сменишь и не перевыпустишь как аппаратный ключик или сертификат ЭЦП.
Думаю, это тоже решаемо. Главное, чтобы система понимала, что биоданные введены именно сейчас (а не когда-либо в прошлом) и добровольно. Тогда вы должны будете вот прямо сейчас, в момент логина, пройти биоидентификацию, чтобы залогиниться. Все предыдущие попытки идентификации просто не должны давать доступа ко входу куда-либо. Т.е. мы фактически будем каждый раз при идентификации по биоданным выпускать одноразовые ключи, второй раз по ним будет уже не зайти. Опять же, очень сильно упрощаю.
«Присядьте. Подпрыгните. Задержите дыхание на 5 секунд. Дышите. Выполните секретное действие...»
А вот как это проверить БЕЗ личного присутствия?
Пока никто хороших способов не придумал. Однако вредрять, в т.ч. для удаленной (без присутствия) авторизации уже ломятся.
Пока никто хороших способов не придумал. Однако вредрять, в т.ч. для удаленной (без присутствия) авторизации уже ломятся.
Если про добровольность, то самое банальное — вот как выше написали: «Присядьте. Подпрыгните. Задержите дыхание на 5 секунд". Какое-то действие, секретное или несекретное (подмигнуть например или кивнуть), которое распознаёт камера, и которое должно автоматически преобразовываться в цифровую сигнатуру. Если действие не было выполнено и было выполнено другое действие — код должен не собираться и не подходить. Но вообще я понятия не имею как сделать так, чтобы было и понятно и секьюрно и надёжно. Но не думаю, что такое вообще принципиально никак не решаемо.
Если про привязку ко времени (как понять что авторизация произошла именно сейчас, а не записана загодя). Самое простое, но не слишком надёжное: хранить сигнатуры предыдущих авторизаций. Если подсовывают то же самое видео — просто его не принимать. Вряд ли кто-то будет загодя записывать кучу авторизаций. Или кодирование на основе данных о текущем времени или ещё как-то. Я вообще не специалист здесь и не говорю, что это технически возможно именно сейчас. Но при решении всех технических проблем — это был бы удобный способ отказаться от паролей и подтверждений по смс.
Если про привязку ко времени (как понять что авторизация произошла именно сейчас, а не записана загодя). Самое простое, но не слишком надёжное: хранить сигнатуры предыдущих авторизаций. Если подсовывают то же самое видео — просто его не принимать. Вряд ли кто-то будет загодя записывать кучу авторизаций. Или кодирование на основе данных о текущем времени или ещё как-то. Я вообще не специалист здесь и не говорю, что это технически возможно именно сейчас. Но при решении всех технических проблем — это был бы удобный способ отказаться от паролей и подтверждений по смс.
Как вариант: 'мы вам прислали на e-mail два абзаца текста, распечатайте первый 36-м кеглем на листе формата A4, затем включите камеру, одной рукой возьмите этот лист а другой — паспорт, убедитесь а затемголосом прочитайте второй абзац'.
Биометрия может быть надежной только очно (как сейчас, например, через фото в паспорте). Любую биометрию, проводимую дистанционно можно перехватить и скомпрометировать. И в этом случае ее даже поменять нельзя, как пароль или ключевой файл.
Целую статью посвятили тому, что некоторые люди тупые и отправляют коды подтверждения хз кому?
Новый способ угона аккаунтов
Извините, но что нового в этом способе? По-моему, абсолютно ничего.
Обычная социальная инженерия.
С таким же успехом Вас могут попросить прислать копию паспорта, или скан отпечатков пальцев в любой соц. сети. В случае успеха, открывается куча способов угона ваших SIM-карт, денежных средств, и т.д. Если об этом еще не писали на Хабре, это ведь не значит, что способ новый?
Как-то пару лет назад мне в ВК пришло сообщение от одной знакомой из Питера. Главное, что странен был тот факт, что с ней я особо не общался и не общаюсь. Она просто как знакомая из Питера. И подобные сообщения в ВК были в том же стиле. Типа не могу получить смс, ща тебе перекинут, а ты скажи текст… короче, Пришло смс с текстом" Пароль от личного кабинета МТС") Ну я тут все и понял естественно !))
От любого мошенничества или вирусного заражения (через спам) мне всегда помогает одно простое правило: если ты лично сам не просил предлагаемую услугу (или действие) — то вопрошающего надо игнорировать.
Но вот как заставить это правило запомнить родителей и других «чайников» — не знаю…
Но вот как заставить это правило запомнить родителей и других «чайников» — не знаю…
Чтобы предотвратить нежелательные списания со счета номера телефона МТС, рекомендую подключить услугу «Запрет возврата части аванса». Это можно сделать только звонком в контактный центр 0890. Отключить услугу можно только в салоне связи визитом владельца номера с паспортом.
Эта услуга не позволит переводить деньги другим абонентам, а также защищает от некоторых типов подписок (zaycev.net и mp3party.net этим грешат).
Как уберечься от переадресаций СМС и звонков я не знаю.
Эта услуга не позволит переводить деньги другим абонентам, а также защищает от некоторых типов подписок (zaycev.net и mp3party.net этим грешат).
Как уберечься от переадресаций СМС и звонков я не знаю.
Хорошая заметка! Вторым эффективным методом будет сидеть в кредитном лимите, МТС не даст никому ничего отправить, пока ему самому за связь должны)
Думаю здесь работает какой-то такой юридический момент: положительный баланс на счете это аванс и средства пользователя, хочу теряю, хочу нет, МТС это не должно волновать. А вот отрицательный, это прерогатива оператора, хочу даю в долг на услуги связи, хочу не даю на сомнительные операции переводов и платежи.
Думаю здесь работает какой-то такой юридический момент: положительный баланс на счете это аванс и средства пользователя, хочу теряю, хочу нет, МТС это не должно волновать. А вот отрицательный, это прерогатива оператора, хочу даю в долг на услуги связи, хочу не даю на сомнительные операции переводов и платежи.
МТС уведомляет старый номер жертвы о:
смене пароля,
входе в сервисы МТС,
подключении SMS переадресации и услуги SMS Pro.
И, разумеется, не требует никаких подтверждений?
Как это характерно для опсосов!
У нас же интерактивность и интернет 10.0?
Тогда вот суровая критика от Экслера:
www.exler.ru/blog/#strashilka-pro-ugon-akkauntov-cherez-kabinet-sotovogo-operatora
Тогда вот суровая критика от Экслера:
www.exler.ru/blog/#strashilka-pro-ugon-akkauntov-cherez-kabinet-sotovogo-operatora
Ссылка кривая, вот правильная: www.exler.ru/blog/strashilka-pro-ugon-akkauntov-cherez-kabinet-sotovogo-operatora.htm
Спасибо, даже забавно, что до экслера долетело)
Спасибо, даже забавно, что до экслера долетело)
Sign up to leave a comment.
Cпособ угона аккаунтов «оптом» через получение доступа к сервисам оператора сотовой связи