Ключ от всех дверей

[ammo1]

Мой пост про новый вид мошенничества (http://ammo1.livejournal.com/535747.html) целый день висит в топе и за это время стали выясняться новые подробности. В течение дня я несколько раз исправлял и дополнял этот пост, поэтому хочу обратить внимание тех, кто читал его утром на несколько важных вещей.

Прежде всего выяснилось, что функцию перевода денег на свой телефон с помощью СМС на номер 900 у Сбербанка отключить нельзя. Только вместе с интернет-банком. Более того, даже если у оператора запрещены СМС на короткие номера, СМС на номер 900 всё равно отправляются и деньги переводятся.

Отключение «быстрого платежа» при отправке цифры 0 на номер 900 отключает возможность перевода денег с помощью СМС на карты и чужие номера телефонов, а на свой номер деньги всё равно переводятся.




Многие банки (в том числе и Сбербанк) отслеживают смену симки по IMSI (https://ru.wikipedia.org/wiki/IMSI), однако почему-то это работает далеко не всегда. В комментариях к утреннему посту отметилось несколько человек, у которых после смены симки потребовалось заново привязывать телефон к онлайн-банку и несколько человек, у которых после смены симки всё продолжало работать.

Проблема подмены симки оказалась намного глобальней.

Злоумышленник сможет зайти в ваш онлайн-банк Сбербанка, если просто узнает ваш логин и сбросит пароль с помощью имеющегося у него телефона с вашим номером. А там уже можно спокойно стащить все деньги, что есть на карте.

Множество систем позволяют совершать платежи, авторизуясь просто по СМС. Например, это Webmoney и QIWI.

Во многих системах достаточно просто сбрасывать пароли, имея доступ к телефону с вашим номером. Причём это не только платёжные системы. Злоумышленники могут легко увести у вас почту на известных почтовых сервисах и аккаунты в соцсетях. Да и вообще почти любые пароли доступа к любым системам в интернете, ведь восстановление пароля почти всегда построено на СМС или почте, которую можно увести с помощью СМС.

Получается, что номер мобильного телефона сейчас стал ключом ко многим важным системам, а украсть этот ключ проще простого.

Comments

[a1zeg.livejournal.com]

И какие варианты на данный момент? Отключить мобильный банк пока банки не очухаются?

[alexey_donskoy]

1) иметь два телефона - один для связи, другой только и исключительно для авторизации (и чтоб номер никто не знал).
2) второй телефон хранить в сейфе :)

[hcnas.livejournal.com]

2) как это спасет от замены sim

[alexey_donskoy]

Никак. Но мошеннику надо будет знать как минимум номер угоняемого телефона и логин пользователя.

[hcnas.livejournal.com]

В том то и дело, что достаточно ФИО

[richek-shu.livejournal.com]

интересно, а что если поставить на смартфон программу, которая будет отслеживать блокировку симкарты и если она это почует (например внезапная пропажа сети) подавать сигнал тревоги. что может успеть сделать человек, который обнаружит, что его симка заблокирована? позвонить в абонентскую службу и уточнить, что с симкартой? заблокировать ее? может быть заблокировать возможность перевыпуска симки? тогда как самому ее потом перевыпустить? где комментарии хотя бы от ангелов Билайна?

[hcnas.livejournal.com]

Позвонить в банк. И отключить всё что может отключить. Интернет-банк, смс и т.п.

[jones-bustopher.livejournal.com]

Как обычно... Хотели как удобнее - а получилась огромная дыра... Надо, пожалуй, пересмотреть свои банковские дела. Хоть я и нищеброд, очень много у меня спереть нельзя, но надо подстраховаться...

[chellove4ishe.livejournal.com]

интересно.. а какова панацея?

[tvguide-khv.livejournal.com]

счет с отключенными онлайн-смс-голосовыми услугами

Вы всё ещё пользуетесь Сбербанком?

[livejournal.livejournal.com]

Пользователь klink0v сослался на вашу запись в своей записи «Вы всё ещё пользуетесь Сбербанком?» в контексте: [...] два [...]

[sergio-vorsin.livejournal.com]

Рассказал домашним,хотя сам ещё не до конца понял.У меня нет карты сбера и основной номер не-магафон,но ведь принцип в целом общий...

[jillain.livejournal.com]

еще ни разу! ни разу не удалось перевести!

[staryihrych.livejournal.com]

Уважаемый афтор, попробуйте сами сменить симку и перевести деньги. Если вы используете телефон только для контроля платежей -- вам все смс будут приходить как всегда, а вот sms ОТ ВАС банк будет отклонять и провести платеж через сбербанк- онлайн или быстрый платеж по смс вы не сможете. есть одно исключение-- приложение сбера для айфончега или ведроида. При входе в приложение происходит автопривязка симки. Мораль: потеря симки практически опасней потери карты. При замене симки в салоне никто не сможет воспользоваться картой, если не знает вашего пароля от мобильного банка. Уже во всех банках идентификация клиента не по номеру телефона, а только по привязанной симке. Подчеркну: смена симки не влияет на смс от банка, вам все будет продолжать приходить, банк не примет смс с неавторизованной симки. Такой порядок работы по IMSI введен с середины прошлого года, когда мегафон ввел сервис переадресации смс.

[staryihrych.livejournal.com]

Автор я готов сто килобаксов поставить что без перепривязки симки мобильный банк в режиме отправки платежей работать не будет. Чтобы перепривязать симку надо либо паспорт в отделении показать либо авторизоваться по кодовому слову и паспортным данным в службе поддержки. подчеркну информация по выполненным платежам будет приходить на телефон с активной симкой с номером телефона указанным в договоре.

[amital.livejournal.com]

спасибо за информацию, а "быстрый платеж" все таки отключать или нет риска с ним?

[zn-org.livejournal.com]

менял симку в билайне, банк смс принимает по прежднему.

[staryihrych.livejournal.com]

Говорят в Рязани пироги с глазами: их ядят, они глядят. Зы опсос не имеет права заменить симку без предъявления паспорта.
Еще раз в сбере функция авторизации не по номеру телефона, а по индивидуальному номеру симки введена только в этом году.

[zn-org.livejournal.com]

это было в начале марте... симку менял на микросимку, соответственно работала она уже в новом аппарате.
ps опсос много чего прав не имеет, но делает.

[davaj-dzhazu.livejournal.com]

у меня был МТС и Альфа-клик, когда менял симки МТС онлайн банк всегда блокировался, а тут недавно перешел на Мегафон с сохранением номера, а хренак Альфа-клик работает как ни в чем не бывало...

[tvguide-khv.livejournal.com]

вот же мазафака, я думал что смска с нолем решает... суки. и все это из-за тупого массового пользователя... вроде истории с одним пином от карт платежных которым можно и за булочку заплатить и весь нал снять...

навскидку думается что нужно иметь отдельную симку для банков и всего не безопасного... с другой стороны... ее так же будет видно через ФИО в базе оператора.... чужая симка те же риски...

[dn54]

>навскидку думается

Сделать своё собственное ООО, выпустить корпоративную симку, тогда она не будет привязана к фамилии. =:)

[maratema.livejournal.com]

Мобильный телефон - зло, пользуетесь стационарным!

Ключ от всех дверей

[livejournal.livejournal.com]

Пользователь vitaly_lip сослался на вашу запись в своей записи «Ключ от всех дверей» в контексте: [...] Оригинал взят у в Ключ от всех дверей [...]

3000-ТОП

[3000top.livejournal.com]

Ваша запись появилась в рейтинге 3000-ТОП (http://www.3000top.ru). Отслеживать судьбу записи вы можете по этой ссылке (http://www.3000top.ru/search.php?search=ammo1).

[molnij.livejournal.com]

Вот примерно поэтому я и считаю любую систему имеющую привязку к сотовому номеру созданной финализированными идиотами. И если в случае какого-нибудь сервиса анонимных вопрос-ответов это еще хоть как-то можно понять и простить, то в случае мало-мальски задевающих real-life служб оправдания быть не может.

[rumin25.livejournal.com]

Р.Стандарт после смены симки не пустил в инет-банк даже с смс-кой (позвонил - затребовали проверку по кодовому слову, кодовому числу, и только потом удалось зайти), а Сбер на смену не отреагировал... Грустно однако... :-(

[ugryumy.livejournal.com]

Лучший банк - это стеклянный. :))))