С qiwi-кошелька украли 500 тысяч
там сказано о перехвате СМС
это очень сильно скомпрометирует использование интернет банков, т.к. физлица часто используют в качестве подписи временные смс пароли
это очень сильно скомпрометирует использование интернет банков, т.к. физлица часто используют в качестве подписи временные смс пароли
то есть там безусловно еще есть пара "логин-пароль", но все равно, смс это самое сильное подтверждение.
блять, первое же предложение
Федечки на них нет!
пол-миллиона
Федечки на них нет!
ну я такие суммы, как полмиллиона - храню в банке на счете, к которому нет доступа ни через инет банк, ни через мобильный, ни даже по банковской карте - только лично по паспорту. на остальных счетах надо хранить сколько нижалко. в принципе, они сами говорят, что полляма для них копьё
да через паспорт тоже можно довольно легко унести
там в комментах мегафон отличился, как всегда, со своим сервисгидом
У меня увели 14 тысяч рублей несколько дней назад подобным образом, но без подделки сим-карты. Киви-кошелек привязан к мегафоновскому номеру.
Технология в случае мегафона оказалась где-то даже проще:
1. Подобрали пароль от сервис-гида. Это 6 цифр, я их не знал, хранил в 1Password. Такой пароль создает сам Сервис-Гид по умолчанию. Либо узнали пароль другим способом. Но вариант того, что я сам его скомпрометировал — исключаю. Я получил единственное сообщение о том, что произведен вход в Сервис-Гид мегафона. Но вовремя отреагировать не смог, телефон был не под рукой.
2. В Сервис-Гиде отключили приём смс для моего номера (есть такая услуга)
3. Подключили услугу UMS (приём смс на сайте Мегафона)
4. Сменили пароль на киви, получив все смс через сайт, перевели деньги на другой киви-кошелек, потом вернули(!) и вывели на счёт Альфа-Банка(!)
5. Вернули услуги в Сервис-Гиде в исходное состояние.
На всё ушло 20 минут.
Поддержка Киви отправляет в правоохранительные органы, никаких ответов по существу она не даёт. Работать они намерены только по решению суда.
Поддержка Мегафона очень сожалеет, хотя проблема именно у них.
Поддержка Альфа-Банка сделала вид, что записала параметры произведенной транзакции, но по-моему им это не очень интересно, потому что моими контактами они даже не поинтересовались.
Поэтому рекомендую пока что сменить пароль в Сервис-Гиде на максимально сложный (20 цифр) и не хранить существенных сумм на киви.
Если банки думают, что взлом ПО (или социнженерия) оператора сотовой связи и регистрация номера на левую сим-карту - нечто невероятное, их явно ждет сюрприз.
это очень сильно скомпрометирует использование интернет банков, т.к. физлица часто используют в качестве подписи временные смс паролиНе знаю как другие банки (альфа точно нет но ТКС при смене сим-карты блокирует доступ. Т.е. вот я пришел в салон поменять одну карту на другу (с тем же номером пока я не позвоню к кол-центр, пока не пройду авторизацию - смс-ки мне приходить не будут.
Я так понимаю, что "скопировать" сим-кару проще всего имея оригинал. В случае росузника, скорее всего, просто поменяли симку на другую (это может сделать любой сотрудник точек продаж мегафона) и стали получать смс-ки.
Наверное, без оригинала осуществить такую схему сложнее.
Т.е. вот я пришел в салон поменять одну карту на другу (с тем же номером пока я не позвоню к кол-центр, пока не пройду авторизацию - смс-ки мне приходить не будут.Это же вроде только в случае приложения, разве нет?
Вроде бы я менял после выпуска карты, и ничего не происходило.
нет, оплата через инет лочится при смене симки, пока не позвонишь и не подтвердишь, всё верно.
У сити аналогично, был сильно удивлен, когда перестал работать интернет-банк после смены симки.
как это возможно без перевыпуска сим- карты? Или это МТС новую услугу так тестирует
там сказано о перехвате СМС
карту можно клонировать
нет, оплата через инет лочится при смене симки, пока не позвонишь и не подтвердишь, всё верно.А, ну да.
Я думал вы про СМС-нотифаи, я в инете оплаты не проводил.
Не знаю как другие банки (альфа точно нет)Это откуда такая информация? Альфа тоже блокирует.
Проверено лично в ноябре, когда сменил сим-карту на 4G.
Все операции в клике перестали быть доступны до момента активации новой симки по телефону.
А как банк определяет, что симкарта изменилась? ( с сохраненным номером)
ну очевидно, API SMS-шлюза позволяет перед отсылкой получить ID симки
По IMSI-коду, я так полагаю.
сити, юникредит, ткс все требовали авторизации заново после смены симки. авангарду было пофиг, всё работало с новой симкой
что-то ты подозрительно много банков протестировал
не ты 0,5 у узников увел?
не ты 0,5 у узников увел?
скорее по MSIN, т.к. префикс не меняется
это был рантье
сити, юникредит, ткс все требовали авторизации заново после смены симки. авангарду было пофиг, всё работало с новой симкойМенял симку у билайна - отреагировал только сбер; ткс и авангард скушали. Сбер при этом подумал-подумал и через пару дней сам подтвердил смену симки, без моего на то участия.
В Авангарде при существенных суммах смс-ка - это второстепенный фактор подтверждения транзакции.
А с qiwi ситуация проста, не храню сколько бы то ни было существенных денег там. Завожу с Авангарда по необходимости.
good news
Менял симку, альфа как работала так и продолжила работать.
http://rosuznik.org/news/495
вернули.
вернули.
неплохо киви попиарился, и всего-то за 500 килорублей.
Эти казлы за долгое непользование аккаунтом списали все мои деньги, рублей 500. Так им и надо 
Если банки думают, что взлом ПО (или социнженерия) оператора сотовой связи и регистрация номера на левую сим-карту - нечто невероятное, их явно ждет сюрприз.лол, нет конечно - банки двигают пин-пады с динамическими паролями, но поскольку в бизнес-сегментах в банках (новые продукты привет) много мудаков, то контролю навязать достойный уровень защиты удается не всегда
а киви - это вообще бездари, мало того, что у них подразделение рисков ни о чем, так еще и безопасность - детский сад, при таком раскладе, как можно там вообще больше штуки хранить?
Реально ли слить все данные, необходимые для клонирования сим-карты, удаленно - залить вирус на телефон например?
Если да, то напиши подробнее, как обороняться.
Если да, то напиши подробнее, как обороняться.
Недавно обсуждали уже симки:
kachokslava
С кошелька Росузника увели чуть менее 500 тыс.http://habrahabr.ru/post/214829/
http://rosuznik.org/news/494