skatino
skatino личный блог
29 октября 2013, 22:58

Опасносте! Банковское обслуживание, электронные деньги и смс-подтверждение.

из жж уважаемого pratrader:

Очень многие банки и платежные сервисы нынче переходят на восстановление пароля через смс.
Вроде надежно.
Но человек из ФСБ сказал моему товарищу, что нынче это главная причина лавинообразного роста воровства электроденег.
У товарища увели 300к с яндекс-кошелька.
Сделал это тот же кул-хацкер из Архангельска, который увел таким же образом десятки миллионов за последнее время.
Просто некто зашел с копией паспорта в Билайн и получил новую симку.

Я позвонил товарищу из Билайна, жить стало еще страшнее.
Нынче можно послать на смартфон емельку и он незаметно для хозяина переадресует все на нужный номер, после та же схема-восстановление пароля по смс.
Короче, надо трепетнее относиться ко всяким паролям, интеграциям всего в смартфон, а в идеале иметь отдельный телефон для всяких смс из банков и платежных систем. 


pratrader.livejournal.com/294070.html 

а этот пост в одном из комментариев к этой теме:
«Ладно вебмани тут банки под прицелом..
вот относительно недавняя история про ткс+мегафон:
http://www.banki.ru/services/responses/bank/?responseID=4871023 »
19 Комментариев
  • с черно-белых телефонов без инета смс не тащат?
    • Anton
      29 октября 2013, 23:54
      Андрей Вячеславович (Ganesh), отвечу для всех

      Никогда и никому не рассказывайте о своих деньгах, как минимум это признак плохого тона )
      1. мобильник для смс — самый простой, без всяких android и ios
      2. на все операции (в т.ч. вход в банк) — подтверждение по смс (можно выпендриться и подключить иностранную симку иностранного оператора типа vodafone)
      3. антивирус на компе обновлять постоянно
      4. никаких порносайтов, сайтов с бесплатными прогами и т.д.
      5. linux )
      6. если с вами связываются из банка, перезвоните им сами по известному вам номеру
      7. как вариант для выхода в интернет-банк использовать отдельный «чистый» комп
      • laverintos
        30 октября 2013, 00:03
        Антон Руденок, ещё при возможности можно запросить генератор одноразовых паролей, привязку по айпи адресу в случае, если у вас есть арендованный белый айпишник на серваке, и по ХВИДу железа с которого разрешены входы.

        Кстати про деньги, вы это точно тут к месту сказали, тут очень любят похвастаться прибылью, я считаю, что очень зря. О ваших финансах должны знать вы, ваш банк и ваш брокер. Смартлабик и его писькомерство могут стоить вам направленного взлома.

        Да, я параноик. :)
        • Anton
          30 октября 2013, 00:07
          laverintos, пароли еще нужно делать случайные из цифр, заглавных и прописных букв и спец символов, длиной не менее 20 символов. Хотя современные крутые процы видеокарт и сложные пароли быстро ломают
          • laverintos
            30 октября 2013, 00:17
            Антон Руденок, это в случае перехвата хэша. Обычно создаётся защищенное соединение, и по нему уже идёт хеш, причём ифрование на аутентификации стоит весьма и весьма страшное.
            Но пассы да, не меньше 14 символов, никакого смысла не должно быть, могут по слвоарю подобрать.
            • Roman Resner
              30 октября 2013, 05:23
              laverintos, Какие перехваты:) Обычный кейлоггер на компе и Ваш пароль известен.
        • Roman Resner
          30 октября 2013, 05:22
          laverintos, А Ваш банк это кто? Это куча разных людей. Так что по сути любой:)
  • супер банк тиньков? надо к апио рекламку было кинуть)
    • laverintos
      29 октября 2013, 23:26
      Андрей Вячеславович (Ganesh), косяк не со стороны тинькофа. Мегафон давал возможность тупо почитать чужие СМСки всем подряд.
  • Anton Morozov
    29 октября 2013, 23:31
    Тут слабое место не смс-авторизация, а получение какой-то дублированной симки, или чтение чужих смс.
  • Milo
    29 октября 2013, 23:32
    у меня на это деревянный телефон))) смс исходяящие отключены))) только вход ))) любите убожество, они вечно служат))
    • laverintos
      29 октября 2013, 23:34
      Milo, проблема не в телефоне. Вы уверены что вам принудительно не включили личный кабинет, дырявый как сыр?
      Тупо не трогая, ни вас, ни телефон, залезут к вам в смс, или даже отправят от вас смс подтверждение.
      • Milo
        29 октября 2013, 23:36
        laverintos, эээ пучалька((( не додумал((( поёду сам офорлю…
        да норм))) и забуду потом))
  • Sergio Fedosoni
    30 октября 2013, 00:43
    У меня род такие задачи водафоновская труба за 19 фунтов и номер +4477000ххххх
    Правда входящая СМС в России 0.07фунта :(
    И номер отдельныйстационарный российский переадресован на этот телефон. Соответственно номер самой симки известен только английскому серверу — даже я его не знаю…
  • Roman Resner
    30 октября 2013, 05:20
    Ну скажем так. После восстановления, старую сим должны отключить.
  • Гомер Симпсон
    30 октября 2013, 08:23
    респект всем параноикам! +++

    /если ты параноик — это еще не значит что за тобой не следят!/
    • Sergio Fedosoni
      30 октября 2013, 10:33
      Гомер Симпсон, иногда лучше перебз… Чем недобзде… :( тем кто не знаком ещё с абревиатурами СОРМ, БСТМ, ОТО, Поток — это ещё не значит что их нет… Ваше знакомство может неожиданно неприятно удивить…
    • Гомер Симпсон, уже из романа 1984 внедрили все что боялись

Активные форумы
Что сейчас обсуждают

Старый дизайн
Старый
дизайн