Замена imsi по вашему номеру телефона

От перевыпуска симки есть простая защита, правда требуется некоторое взаимодействие оператора с банками: при изменении ICCID идет уведомление в единую систему, после чего надо заглянуть в банк лично и подтвердить, что симка была перевыпущена на настоящего владельца.

Что, в прочем, не снимает фундаментальных вопросов о безопасности смс.

Что значит «дубликат симкарты»? IMSI тоже дублируется? Если нет, то увы. Не получится.

Попробуйте просто поменять симку на другую с тем же номером — придется идти в банк и там с документом говорить девочке что вы поменяли карту. И через сутки после этого сможете пользоваться инетбанком и мобильным приложением.

Практически все разводы с деньгами сейчас построены на том, что человека забалтывают и он сам сообщает все коды.

YubiKey хорошо, но гопники могут и его отжать точно также как и все остальное.

И никто так и не привел пример, когда у него перехватили смс и сдернули все деньги с карты. Одни теоретические рассуждения на тему что это возможно.

Как оказалось всего две вещи: номер любой Вашей карты и код из одной СМС. То есть если у Вас банально выхватят из руки телефон с вложенной в обложку картой Альфа-Банка (либо бумажник с телефоном отожмут гопники) то Вы вполне можете помахать всем своим сбережениям белым платочком а заодно получить уникальную возможность ближайшие несколько лет оплачивать долги другого человека.

Объясните как банк может Вас защитить от того что у Вас вырвут телефон из рук? Как физическая безопасность Вашего устройства связана с механизмами аутентификации?

Смс-давно не панацея даже OWASP и NIST два года назад рекомендовали не использовать как второй фактор, многие банки предлагают push уведомления, но я понимаю почему они не делают это поголовно для всех. Потому что в потенциальном селедеревне X нет нормального мобильного интернета, а вот gsm связь с смс есть.

Менять пароль путем физического прихода в банк? Ну сомнительный шаг, это не удобно для пользователя, а очереди какие будут в отделениях? Ведь пароли меняют очень часто просто потому что их забывают.

SpiderEkb

Попробуйте просто поменять симку на другую с тем же номером — придется идти в банк и там с документом говорить девочке что вы поменяли карту. И через сутки после этого сможете пользоваться инетбанком и мобильным приложением.

Меняли как-то. Ни в одном банке не понадобилось идти в банк с документами.
В нескольких (да, у нас коллекция банков) не заметили смену вообще, в некоторых заблокировался вход по смс но подтверждения операций по смс работали (т.е. если зайти в ИБ или приложение по паролю, то делай что хочешь), в некоторых позвонили на телефон и попросили подтвердить смену симки назвав паспортные данны (З — защита), в некоторых на сутки вырубился ИБ и включился через сутки автоматом, в паре банков потребовали назвать кодовое слово (тоже так себе секрет).

И никто так и не привел пример, когда у него перехватили смс и сдернули все деньги с карты. Одни теоретические рассуждения на тему что это возможно.

Потому что как доказывать это? Банк будет утверждать «сам дурак», попробуй опровергни и докажи что у тебя симку увели:) В даркнете есть услуги по предоставлению смс сообщений по номеру, в том числе и в реалтайме.

Xapu3ma-NN

Менять пароль путем физического прихода в банк? Ну сомнительный шаг, это не удобно для пользователя, а очереди какие будут в отделениях? Ведь пароли меняют очень часто просто потому что их забывают.

Проблема не в том что есть легкий способ сменить пароль через СМС. Проблема в том, что его нельзя отключить. Нет возможности отказаться от этого способа.
Дали бы возможность получать пароли только в банке для тех кому это надо — вопроса бы не было, не включил эту возможность — увели деньги — ССЗБ.

Это все только в теории. На деле процент кражи денег именно из-за подмены симки ничтожно мал. Гораздо проще и массовее заболтать клиента и выудить код из смс и прочие данные.

А раз проблему особо не видно, то и банкам пофиг.

Ну и все основные банки замечают смену симки и требуют подтверждение. Хотя тот же Тинькофф у меня только кодовое слово спрашивал, остальные данные не имеют смысла, т.к. давно утекли.

Пользуйтесь для входа одноразовыми паролями. И много проблем исчезнет.

Если у Вас есть идеи как еще можно обезопасить свои счета — то пишите об этом в комментариях.

Пластиковая карта с дисплеем и клавиатурой для генерации одноразовых ключей. Даже если вы ее упустили вместе с телефоном, генерация ключей выполняется только через пароль, который надо ввести на карте.

То есть если у Вас банально выхватят из руки телефон с вложенной в обложку картой Альфа-Банка

Если у вас выхватят из рук карточку, где деньги лежат, первое, что вам необходимо сделать — это её заблокировать.

Осознав это и вздрогнув от того что тщательно продуманные и оберегаемые пароли меня на самом деле ни от чего не защищают.

Всё верно. Как и в любом другом онлайн сервисе, пароль уже практически стал просто защитой от подглядывания в монитор. На любом критическом сервисе помимо пароля необходимо использовать 2Fa.

во-первых отключите прямо сейчас показ уведомлений на экране блокировки

Еще необходимо поставить пин на разблокировку, а также как-то более ответственно за своей техникой следить. Вы же за ключами от квартиры следите?

Зайдите в офис своего мобильного оператора и заблокируйте переоформление сим-карты по доверенности

Да, это стоит сделать, но это не панацея. Если ОПСоС заменил сим-ку по липовой доверке (он уже доказал свою несостоятельность), неужели вы думаете, что по какому-то иному липовому документу не получится перевыпустить вашу СИМ? Вы уверены, что злоумышленник не был в сговоре с сотрудником ОПСоСа? Принесут свидетельство о смерти.

СМС — это единственная защита которую предлагает банк.

Это не так, поинтересуйтесь в своём банке, есть ли возможность приобрести токен для генерации одноразовых паролей. Скорей всего есть, берите! Исключите слабое звено из цепочки.

Текущий уровень безопасности онлайн-банков — это полное днище

Днище — это не безопасность онлайн-банков, а уровень осведомленности конечных пользователей. Банки лавируют между удобством эксплуатации КБ, его безопасностью и гонкой за новомодными фичами, а конечные юзеры в 99% случаев не читают и откровенно игнорируют правила безопасности эксплуатации КБ, как следствие, они же оказываются крайними.

СМС — это единственная защита которую предлагает банк

при подключенной опции онлайн-банка. Впрочем, это зависит от банка, в ВТБ24 вон был вариант сначала карта с кодами, потом железячный генератор паролей. Вряд ли это только у них.

Не так давно я задумался над безопасности.
И рассматривал такие сценарии.
1) Украдут только карту.
2) Украдут карту с телефоном
3) Украдут карту с разблокированным телефоном.

В общем:
1) Номер карты лучше не светить. Стараться платить Apple Pay и аналогами.
2) На сим карту пароль.
3) На телефон пароль.
4) Не показывать текст смс/банковских уведомлений на заблокированном экране
5) Не показывать текст почты на заблокированном экране. Удивительно, но был кейс. Когда при определённых обстоятельствах хватало номеры карты одного банка и заблокировано телефона с уведомлениями от почты. Очень редко, но было.
6) решить с оператором вопрос о перевыпусках симки.
7) Поставить пароль на банк приложения и почтовый клиент (у меня стоит Spark, там такая функция есть). Есть риск, что украдут разблокированный телефон.

А вообще если есть деньги или желания, то можно посмотреть как ваш банк восстанавливает пароли и шокироваться. Ибо у всех по разному.

Я поступаю маргинально: не имею счёта ни в одном банке.

Но если бы возникла такая необходимость, я бы завязал банк на отдельный номер телефона, сим-карту вставил бы в GSM-шлюз, подключенный к домашней сети и сам озаботился бы безопасностью / удобством использования по своему пониманию процессов.

Схожий подход я уже использую для некоторых чувствительных к безопасности систем. Иногда таргетировано атакуют. Пока что безуспешно.

Явные минусы подхода:

• Нужно быть технически грамотным в вопросах безопасности систем и вложить некоторое количество времени в разработку.

• Часть такой системы всё равно полагается на «security through obscurity», что плохо по определению.

1. Кто сейчас носит с собой карты в обложке телефона, если есть NFС?

2. Не хотите, чтобы гопники могли разблокировать ваш телефон и банковское приложение по отпечатку пальца или лицу? Используйте PIN код для входа, а не вот эти «простые и надежные» вещи

3. Опять же, в ходу до сих пор карточки с одноразовыми паролями, можно юзать их вместо СМС

   Мы в компании разрабатывали около банковские приложения и вопрос подтверждения действий всегда стоял особо. С одной стороны нужно сделать максимально простой для пользователя сценарий, иначе он вообще не будет пользоваться сервисом. С другой стороны безопасный для него и для банка в т.ч., т.к. репутационные и юридические риски ни кто не отменял. СМС и уникальная подпись МП сейчас самые распространенные вещи. А если вы потеряли телефон, то надо быстрее бежать и звонить в банк, а не ждать сутки другие

Проблема давным-давно решена в США.

Просто в России клиент отдаёт деньги на хранение, и вся ответственность лежит на нём:

— Где мои деньги?
— Ничего не знаем, вот у нас запись: Вы зашли на сайт и приказали нам перевести деньги в ООО «Копыта и Рога». Мы и перевели.
— Это был не я!
— Пароль ваш? Ваш. Значит, вы. Идите лесом.

А в США ответственность лежит на банке, который распоряжается вашими деньгами, и несёт ответственность за выполнение ваших указаний:

— Где мои деньги?
— Вот у нас запись: Вы зашли на сайт и приказали нам перевести деньги в Hooves & Horns Ltd. Мы и перевели.
— Это был не я. Вам отдал приказ мошенник. Вероятно, он узнал пароль через дырку в вашей системе безопасности. Почему ВЫ отдали ему МОИ деньги?
— Хорошо, вот Вам Ваши деньги. Мы проведём внутренне расследование и сообщим Вам о результатах. Также мы свяжемся с банком, который обслуживает Hooves & Horns Ltd., и скажем ему заблокировать на счёте спорную сумму до завершения расследования. Мы Вам доверяем, но хотим напомнить, что заведомо ложное сообщение о финансовом преступлении наказывается крупным тюремным сроком.

Честно говоря, появление таких статей на хабре немного удивляет. Вроде как люди работают с данными и должны понимать базовые основы безопасности. Но в любом случае спасибо автору, что еще раз поднимает эту тему.

Проблема, о которой идет речь в статье, была очевидна еще лет 10 назад, когда эта свистопляска с смс только начала появляться. Как тогда, так и сейчас, основной вектор атак это человеческий фактор (соц. инженерия). Использование в качестве авторизации механизма, в котором потенциально задействованы тысячи и тысячи сотрудников салонов связи, это очень плохая идея. Тем более, что салоны и опсосы не связаны с банками вообще никак и не несут в случае чего никакой юридической ответственности (на самом деле несут, но это отдельная сложная тема).

сейчас установите на сим-карту пароль

Бесполезно, восстанавливается очень легко.

зайдите в офис своего мобильного оператора и заблокируйте переоформление сим-карты по доверенности

Полезно, но эффективность неопределенная. Юридически никаких последствий это действие не несет, бумагу вам, что такой запрет стоит никто не даст. Если попытаются поменять симку по левым документам (доверенность или справка 2п), могут просто «не заметить», что у вас там какой-то запрет стоит.

В целом согласен с автором, что защита совсем беда. Я бы даже сказал, что ее вообще нет. Ну, для сумм, которые жалко потерять. А если терять нечего, то сойдет и так.

На фоне фактов, описанных в статье, хуже всего новый «дизайн» банков. Вчера пытался дозвониться до Сбера. — Совсем недавно это удавлось сделать минут за 10. Теперь слышу: «я ваш голосовой помощник, если нужно заблокировать карту — скажите «блокировка карты», если стали жертвой мошенничества — скажите «мошенничество», если у вас другой вопрос — задайте его, я попытаюсь вам помочь.» Говорю: «мне нужен оператор-человек» — Ответ: «к сожалению, все операторы заняты, попробуйте позвонить позже». Говорю: «я подожду». Но обрыв связи, короткие гудки. Так несколько раз.

В моем случае Альфа-Банк, когда я обновил SIM-карту, заблокировал Альфа-Клик. Узнал я об этом через несколько дней, когда мне потребовались операции со счетами. После моего звонка в банк все заработало. Наверное в такой блокировке есть смысл…

А как застраховаться от ситуации, когда Альфа-Банк блокирует доступ в Альфа-Клик по заявлению неизвестного мне физического лица, которое просит исключить мобильный номер телефона из базы банка?

А у меня на этот номер завязан Альфа-Клик и другие сервисы. Этим номером я пользуюсь несколько лет, на него приходят СМС, с него звоню в банк и т.п.

Теперь мне нужно доказать, что я имею договор с оператором на этот номер, который достаточно отправить им на E-mail, чтобы актуализировать данные. Безопасно?

Получается, любой может прийти в банк, написать заявление, указать чужой номер и его удалят из базы, как минимум заблокируют доступы к сервисам.

Важный момент, этот номер был указан в банке как дополнительный, хотя я просил сделать его основным и его «делали основным»… но что-то пошло не так..

Мы никогда не будем чувствовать что наши деньги в безопасности. Можно закрутить гайки до безобразия и тогда появятся статьи «захотел сменить номер — потерял все деньги: оказалось что у меня поменялся рисунок пальца, тембр голоса, шрам на лице и т.п.»

Безопасность это всегда баланс между удобством и защитой. Это как закапывать деньги на глубину 5м (очень безопасно), но каждый раз их откапывать когда идешь за хлебом — очень неудобно. Пример глупый, но сойдет.

Дубликат СИМ-карты — если Вы потеряли контроль над картой и кто-то сумел его сделать — Ваша ошибка. Зачем винить банк? Мне неизвестны случаи изготовления дубликатов «на расстоянии». Но не сильно и изучал этот вопрос. Это единственное за что надо переживать.

В любом случае у Вас всегда будет ключ к деньгам, который всегда могут «отобрать» грабители — СИМкарта, глаз, палец, голос, паспорт, телефон. Абсолютной защиты нет, но Вы можете себя перенести из категории «ща мы этого сделаем» в категорию «не, тут все сложно». Достаточно просто быть не как все. Заведите себе для СМС-банкинга старый кнопочный телефон и не светитие его всюду подряд, максимально усложните перевыпуск СИМ-карты даже для Вас самих. У меня знакомый даже для таких нужд СИМ-карту оформил за рубежом, где часто бывает. Это вообще топ, наверное. Тут даже не подберешься. Самому перевыпустить сложно (заблокировать легко) — думаю номер телефона который начинается не на +7 сразу отбрасывает Ваш аккаунт как «стрёмный сложняк».

Основная проблема безопасности денег в самом их владельце, клиенте банка — можно накрутить 100500 степеней защиты, но если он сам сообщает код и/или переводит мошеннику деньги, то уже ничего не поможет

Вот тут подробно про это описано:

https://habr.com/ru/post/538794/

Даже СМС сообщать не нужно.

https://money.onliner.by/2021/10/28/moshenniki-oformili-kredit-na-dekretnicu

Мне сказали, что сотрудница банка заподозрила что-то, выхватила доверенность у мужчины, и тот убежал. Дабы предотвратить оформление кредита, я должна, как сказал «работник» по телефону, в личном кабинете в интернет-банкинге ввести номер своего паспорта. Мне все время повторяли: не беспокойтесь, вы же не предоставляете никакие данные, мы сейчас все проверим и предотвратим. Действительно, по телефону я не сообщала никакую личную информацию — ни карточные данные, ни паспортные.

На карточку Анастасии после этого пришли 3000 рублей. «Работник» по телефону сказал, что это пришли кредитные деньги и переживать не нужно, поскольку договор сейчас аннулируют. После этого деньги пропали — их перевели на неизвестный счет.

я попробовал повторить тот же фокус со Сбербанком. И Вы знаете что? Оказалось что эта же схема прекрасно работает и со Сбербанком тоже. Последовательность необходимых шагов для этого оказалась чуть-чуть длиннее чем в Альфе

А подробнее? Восстановление пароля через сайт отсылает новый пароль на привязанную почту, что как бы второй фактор помимо СМС.

а если отключить смс для входа в альфа-клик, то все-равно можно будет восстановить пароль по смс?

Знакомая живет не в России, у неё украли телефон к которому были привязаны российские банки. Она передала свой паспорт через человека прилетавшего в России, я вооружился девушкой похожей внешности, мы зашли в салон связи и восстановили сим-карту.
Это я к чему — паспорт многие носят с собой и он может быть «утерян» вместе с телефоном. Впрочем пауза в сутки на смски от такого защищает.

У клиентки и ее сына ломали карты в один день, Тиньков и Сбер. Начали приходить СМСки с кодами. В обоих случаях им позвонили банки и сообщили о блокировке карт в этой связи. Карты перевыпущены, но вопросы остались. Предположу, что у обоих на телефонах завелся крот. Подтверждает мое правило: Никаких мобильных банковских приложений.

Господа банкиры, я все понимаю, удобство клиента — это очень важно, но Вам не кажется что безопасность клиента — это все-таки немного важнее?

Спасибо за статью! Мотивирует задуматься о безопастности своих счетов.
История от меня, про ВТБ:

Заказал дебетовую карту с доставкой: курьер привёз в незапечатанном конверте = мог видеть/сфотографировать карту. Плюс не именная.
Заказывают новую, именную. Но это только в физическом отделении. И по телефону сразу сказали, что в отделении смогут закрыт и уничтожить первую карту.

Прихожу получать: девушка из обычного шкафа достаёт стопку карт без каких-то конвертов, ищет мою и отдаёт мне. Без взяких кодов. Ничего.
На вопросы в стиле «Как же так?! Теоретически любой работник офиса может сфотографировать любую карту. А если мои миллионы утекут?» получаю ответ: «Да что вы! Мы же — Работники банка! Зачем нам так рисковать своей работой?» Первую закрыли и разрезали там же.

Вот сижу и думаю: может и вторую туда же? В топку?

Я думал над этим. И сделал проще.
вариантов было немного:
украдут карту — потратят максимум тысячи 2 (там больше нет) и выбор магазинов не очень большой где не нужен пин
к ней украдут телефон — потратят максимум тысячи 2 (там больше нет)
телефон будет незаблокирован — потратят максимум тысячи 2 (там больше нет).
а схему использую следующую — есть счёт, к нему доступ только через интернет банк, есть второй счёт к нему привязана карта. Если что-то внезапное там лежит 2 тысячи. Остальное предварительно перевести с «закрытого» счёта. Приложениями от банка не пользуюсь — лишняя дырка. Интернет банк логин и пароль я и сам не знаю — они записаны в спец. программе.
Путь по которому меня можно лишить средств — только если я подхвачу какой-то специфичный вирус, но я сижу за сильным фаерволом со всякими no-script и adblock.
Если у меня стукнет совсем паранойя, я банковские данные выведу в отдельный файл и буду туда заходить только со специально сделанной виртуалки на каких-либо никсах.