Google и аутентифиция в сторонних приложениях
Возможно кому-то будет полезно.
С 30 мая гугл нас обрадовала такой новостью:
У нас было 2 пакета травы 75 таблеток мескалина 10 телефонов с симкартами, на которым висела авторизация в разные сервисы с последующим редиректом смс на почту. Собственно почта была Gmail.
Для возобновления возможности авторизации в приложухах идет в личный кабинет и заходим в безопасность.
Включаем двухэтапную аутентификацию.
После чего появится "Пароли приложений"
После чего выбираем "Приложение" (насколько я понял, это исключительно имя для учетки пароля).
И мы получаем пароль, который вы можете использовать для внешней авторизации.
Собственно, вводите свой email и вместо пароля от email'а вводите именно данный пароль.
Авито анти-поддержка
Здравствуйте, пикабушники. Привет, @Avito.help
Так получилось, что мой первый пост будет про негатив. Надеюсь, в оформлении много ошибок не допущено.
Итак, 29 апреля 2022 года мне пришло в голову продать на Авито старые советские весы с картинкой на циферблате "С праздником 1 Мая!". Уже сейчас понятно, что Авито считает, что лучше бы не приходило!
Потому что сразу же, после размещения, объявление улетело в бан с формулировкой: "Это объявление отклонено модератором по причине «Нужно подтвердить, что номер не используется для спама»".
Ну, думаю, ладно. Три года всё хорошо шло, а сейчас решили меня проверить - не бот ли я. Вопросов нет, времена сейчас такие. Вот варианты, которые предлагает Авито:
"Выберите один из способов:1. Позвоните на 88006007664 с того номера, который был указан в объявлении перед тем, как его отклонили. Это бесплатно, вызов автоматически сбросится. Подробнее о том, как это работает
2. Подтвердите профиль в настройках. Для этого нужно фото паспорта или водительских прав и видео с вашим лицом.
Если вы владелец этого объявления, пожалуйста, отредактируйте объявление и устраните причину отклонения в течение 7 дней. После редактирования объявление снова появится на сайте."
Я, конечно, звоню, куда просят. Там сброс звонка - всё, как и предупреждали. Потом жму на кнопочку "Изменить", перезаливаю объявление и иду заниматься своими делами. Вопрос, наверно, решён - думается мне.
Не тут-то было! Всё равно, пишет Авито, не собираете ли вы номера для последующего спам-обзвона? Но постойте, у меня в объявлении указано, что вся связь - через сообщения! А ещё есть какая-то фишка у Авито про секретные звонки с подставных номеров (которые предоставлены самим Авито, если что), чтобы все общались, но реальные номера вражинам не утекли, если что. Типа, современная компания, заботится о сохранности персональных данных.
Так что я, если всё, что говорит Авито - правда, НИКАК не могу насобирать телефонов и заняться телефонным хулиганством. А вот поди ж ты...
Пишу в поддержку, прошу проверить ещё раз. Мол, три года мы вместе, всё хорошо было, а утром, через смс при входе в аккаунт - всё работало, всё подтвердилось. Смс-то на тот же номер приходит.
Ну да, ну да...
Скрипт поддержки твердит, что: "Я всё проверила, ваш звонок с номера ХХХ не прошёл, так бывает, например, когда звонят с помощью сервиса подменного номера или из-за сбоев в сети. Попробуйте позвонить ещё раз." Звонки на другие номера, конечно, проходят.
Или же прилетает скрипт: "Мы просим прислать фото паспорта, чтобы убедиться, что вы реальный человек. Ведь если профиль был создан для незаконных целей, у него не будет владельца — тот, кто создал этот аккаунт, не пришлёт свои данные."
Самое смешное, что ещё утром того дня (29 апреля) мне думалось, что почему бы не пройти такое подтверждение своей личности на Авито. Хорошо, что подумалось и перестало. :)))
Ну и всё по кругу: Звоните! - Звонок не проходит! - Шлите паспорт! - Через смс подтвердить номер нельзя! - Звоните! - Звонок не...
Короче, сегодня 5 мая 2022 года - объявление всё ещё заблокировано, и в такой же бан начинают улетать объявления с стекающим сроком размещения. То есть, в течении двух недель мой аккаунт весь окажется забаненым.
Ах да, тут же стали сыпаться сверхзаманчивые предложения: "Доставка за 0 рублей с кодом таким-то!" или "У объявления «ХХХ» мало просмотров. Сегодня продвигайте его со скидкой 60%" Угу, уже бегу! Буквально, лечу навстречу удивительным возможностям!
В общем, вопрос, конечно, риторический, но не взяло ли Авито, после известных событий, на работу всех, кто сумел разбежаться из "службы безопасности" известного банка? А то видится за этим уже такая тяжёлая ненависть к клиентам (которые в основном-то, граждане РФ), такой высококачественный саботаж, что прям не знаю, что ещё думать-то?! :)))
Вопрос к Пикабу только один: когда будете составлять коллективный иск, позовите и меня, пожалуйста. Спасибо за внимание. )))
«Авито» пробивает очередное дно
Сайт либо зажрался, либо имеет какие-то свои крутые цели, неведомые простым смертным.
Коротко по сути: Был аккаунт, на котором продавал по мелочи. Рейтинг высокий, куча отзывов. Вчера общался с покупателем, тот оплатил мне на карту за товар и вдруг "бац" - "ваш аккаунт заблокирован", пройдите идентификацию. Ну ладно, не приятно, но что же делать, выходные - техподдержка по факту отсутствует, придется пройти. Делаю фото паспорта, фотографирую свою моську, жду и получаю ответ: "Профиль заблокирован. Восстановить его не получится. Фотографии паспорта, которые вы загрузили, не прошли проверку. Так бывает, например, если снимки отредактированы или их уже присылал другой пользователь.".
Вот это поворот! Ранее у меня был другой аккаунт, там я уже пытался пройти проверку, но точно так же "не прошел проверку" и он заброшен, на нем ничего не публикуется.
Получается если я раз по какой-то неизвестной мне причине не прошел проверку, то навсегда забанен на сервисе?! И кроме того, не могу больше использовать свой личный номер телефона.
Вот так вот авито по какой-то своей дурости делает из честных людей мошенников и навсегда удаляет возможность пользоваться их сервисом, где они монополисты! Может это у них такие санкции против жителей РФ? Может написать в соответствующие органы? Пусть проверят иностранного агента?
UPD: История продолжается:
Ночью пришло письмо от техподдержки:
Авито: В виде исключения мы открыли вам доступ к профилю, чтобы вы могли — получить доступ к контактам в сообщениях. Вы можете зайти в него до 25.04.2022 2:51:00 по московскому времени, после этого мы заблокируем профиль окончательно. В следующий раз мы не сможем восстановить ваш профиль.
Получается доступ они открыть могут, но делают это неохотно. При этом профиль вроде и открыт, то объявления заблокированы, толком ничего сделать нельзя. Выглядит как специальный режим для таких вот случаев. Скорее всего у них действительно какой-то есть тайный смысл в телодвижениях.
В общем немного подумав я решил воспользоваться их пунктом "идентификация через госуслуги". Прошел авторизацию успешно, но никакие функции не активировались. Отсюда в последствиях будут снова два варианта развития событий:
1. они всё равно заблокируют профиль и найдут какую-нибудь очередную нелепую причину. Но при этом я опять же не смогу никогда подтвердить другой профиль в будущем, потому что уже был авторизован в этом.
2. мало вероятно, но они активируют аккаунт и осознают абсурдность ситуации.
UPD2: Снова заблокировали, при этом не было ни одного опубликованного объявления, был доступ только к переписке.
Авито: Профиль заблокирован. Вы использовали несколько аккаунтов для размещения в одной категории. На Авито запрещено публиковать объявления в одной категории с нескольких аккаунтов. Даже если вы продаёте разные товары, но в одном разделе, используйте для этого один профиль. Так пользователям будет легче ориентироваться в ваших объявлениях и принимать решение о покупке. Например, если вы хотите выставить на продажу несколько автомобилей или объектов недвижимости, не размещайте объявления в аккаунтах членов семьи или сотрудников. А если у вас есть личный профиль и аккаунт компании, не публикуйте в них похожие предложения.
Там хоть кто-нибудь адекватный среди программистов, тимлидов, руководства, техподдержки есть?
UPD3: Дно не достигнуто, техподдержка авито стучит клавишами где-то внизу при этом телефон всё так же "на профилактике".
Написали они мне, что заблокировали потому, что вышло время и им наплевать на идентификацию этого аккаунта через госуслуги. Второй аккаунт, тот, который собирался стать юридическим лицом (перерегистрироваться на фирму) тоже теперь заблокирован. И знаете какая причина?
Авито: Наши системы посчитали, что профиль был зарегистрирован при помощи робота. Таким обычно занимаются спамеры, поэтому мы временно сняли ваши объявления с публикации. Чтобы восстановить объявления, пройдите проверку по видео: нужно будет посмотреть в камеру и покрутить головой.
При этом авито упорно доказывало мне, что это по их мнению мой основной аккаунт (пустой), а тот, что имеет кучу положительных отзывов и продаж с доставкой является фейковым и по этому заблокирован.
Дозвониться до сих пор не получается, на письма техподдержка отвечать перестала. Бьюсь как ДонКихот с ветряной мельницей (
UPD4: Копаем глубже. Звук клавиш техподдержки удаляется.
Техподдержка отчаянно ссылается на какой-то аккаунт, созданный мною, но при этом отвечают, что "по другому профилю мы не можем вам предоставить информацию.". Как так то? По их словам: данные мои, аккаунт мой, но они мне эти данные сказать не могут!
UPD5: В общем информации толком нет, упираются, что не могут восстановить профиль и я должен идти лесом в пешее эротическое с просьбой о восстановлении.
Задал вполне резонный вопрос:
И как мне быть, если на свой телефон я больше не могу зарегистрироваться, не смогу подтвердить любой другой новый профиль? Получается вы меня как человека забанили пожизненно?
Получил ответ:
Авито: Мы уже занимаемся вашим вопросом и ответим, как только всё выясним.
И всё! Тишина на два дня.
Сегодня ночью пришло ещё одно письмо от робота:
Авито: Профиль заблокирован. Ваши объявления вводили покупателей в заблуждение.
Вообще ничего не понимаю. Блокируют даже заблокированные профили.
UPD6: Небеса разверзлись и добился я всё-таки аудиенции менеджера по персональным вопросам (представился как Михаил), расписал ему всё пошагово и... Он пропал. Ответ получил снова от шаблонного работника:
Авито: Понимаю, что вам важно убедиться, что при проверке не возникло ошибки. Мы используем разные методы проверки. Вы уже прошли проверку в другом профиле. Поэтому пройти ее еще раз не получится. Пройти проверку можно только 1 раз.
Блин, это уже какой-то цирк с конями. Всё по кругу. На каком профиле я прошел проверку они мне не говорят, мотивируя персональной информацией, но при этом утверждают, что это я!
ИТОГ: Замкнутый круг, в котором что-либо доказать не возможно. Я больше не могу пользоваться своим номером телефона на авито, потому, что он привязан к заблокированному профилю, а так же не смогу идентифицировать любой новый профиль, т.к. якобы я этим правом уже воспользовался. Вот так авито пожизненно банит пользователей, обрекая искать обход в нарушение их же правил.
Кстати, забыл написать. С адреса sales мне официально ответили по поводу горячей линии:
Sales: Линия специалистов Поддержки работает в ограниченном режиме, потому в течение дня её работа приостановлена.
Резюме:
Получил официальный ответ от техподдержки, кратко суть такая: Tсли ты попытался идентифицировать аккаунт и даже если у тебя это НЕ ПОЛУЧИЛОСЬ по какой-то причине, они уже не разрешают пытаться снова или создавать другие аккаунты. Т.е. в любом случае, даже если их алгоритмы ошиблись (а они считают, что это невозможно в принципе) или профиль был удалён пользователем/заблокирован авито, то вы больше НИКОГДА не сможете воспользоваться услугами этой шаражки, чтобы зарегистрировать аккаунт и что-то продать.
Мы заменили Вам аккумулятор, а теперь нужно менять весь телефон. Авторизованный сервис apple brobrolab
Или как официально авторизованный сервис послал пикабушника на "49.5".
Как же мне нравятся такие истории, когда можно очередной раз почесать свое чсв)
Итак.
Суть истории такова:
Клиент обращается в авторизованный сервис по своему продукту, в данном случае iphone X, для качественной замены аккумулятора. Да, подороже, чем в китайских сервисах, да поставят оригинал запчасть, всё сделают красиво и хорошо.
И это кажется правильным, тут не поспоришь.
Спустя 2 недели телефон перестаёт брать заряд и клиент в первое попавшееся свободное время идёт обратно к официалам. Там телефон проверяют и выдают со словами:
"Мы протестировали с нашей тестовой батареей и проблема в плате, а значит нужно менять телефон на новый."
Понятное дело, если проблема в плате, то авторизованные сервисы яблока не занимаются компонентным ремонтом, им просто не разрешают это делать по регламенту, поэтому такой ответ часто слышат клиенты, чьи телефоны либо разбиты в круг, либо чуть утонули в тарелке с самогоном, либо просто "сгорела плата", как любят так же сказать большинство сервисов, которые не занимаются компонентным ремонтом, а только динамики за 1200р меняют при своём 20-летнем стаже ремонта.
Соответственно теперь телефон у меня.
Как только мне начали рассказывать эту историю, я уже видел, как сползает ещё тёплая лапша с ушей клиента и моя жена тут же озвучила, что огромная вероятность в бракованном аккумуляторе.
А я что, я с ней согласен xD
В глазах клиента непонимание и грусть, ведь как так, он то думал дело в контроллере и настаивает оставить посмотреть.
А я и не против. Диагностика то у меня платная и на iphone x и выше стоит 2000р.
Да. За посмотреть я беру деньги, так как знаю, что правильная диагностика - 90% ремонта. Это озвучивается сразу и не является какой то тайной, всплывающей уже после ремонта.
Максимальная цена за ремонт контроллера на iphone X у меня 7 тысяч рублей.
Итак, поiхали диагностировать:
Как видно на фотокарточке, телефон показывает молнию. Для клиента это значит заряжается, а для мастеров это вообще ни о чем не говорит, пока не посмотришь на тестер usb:
Красным показывает текущее потребление тока 0.05А. Это мало. Вернее не так, это вообще никак)
Тут должна быть цифра 1.00А, а её нет.
Ладно, посмотрим как работает авторизованный сервис. Вскрываю жестянку:
Ну красиво. 100% новые защитки и винтики, идущие в комплекте с аккумом, яблочко, качественная авторизованная проклейка. Не доипаться)
Беру свой неоригинальный аккумулятор самого лучшего качества, что удалось найти на данный момент
И к тестеру
Ах)
Ну как и думал.
Пора времени согласовать данный ремонт:
1. Аккуратно закрыть без следов вскрытия и пойти ругать сервис за брак, вернее за отказ в гарантии на запчасть, предварительно заплатив мне 2к за посмотреть.
2. Отремонтировать оригинальный аккумулятор за 3 тысячи.
3. Всунуть свой за 4к и не париться.
Было решено начать с ремонта оригинального.
Если не получится, то ставлю свой и хорошо.
Для начала проверю, всё ли так хорошо на софтовом уровне
Вот и косяк официала.
Аккумулятор не прописан в системе.
Я вижу историю такую:
После второго прихода клиента, телефон взяли на диагностику. Покрутили в руках и не стали заморачиваться открывать, сказав, что дело в плате, ведь по заверениям самой apple, брака у неё быть не может.
Это лень и кидалово.
Хорошо. Я сделаю за них качественную работу.
Для начала проверю, сколько же циклов прослужил ихний оригинальный акб за 6500р
7. 7 циклов. 2 недели. 6500р и ещё замена телефона за овер прайс в 51 тысячу рублей)
Взрываю оригинальный аккум
И возьму парочку дохлых оригов
Это тоже ориги.
Отседова контроллер поедет на 100% оригинальную авторизованную банку
Паять буду паяльником и припоем с минимальной температурой
И запаковываю по "заводскому" первую банку
А потом и вторую
Вот он рабочий оригинал
Далее нужно его активировать, т.е подать чуть питания, что бы вывести его из защиты
Остаётся только запрограммировать его.
Из памяти телефона достаю серийник аккумулятора и прописываю его в только что установленный контроллер, сбросив при этом старые циклы
Теперь это выглядит вот так:
Именно это и должны были сделать официалы, а не вот это вот всё.
Точечная сварка валялась где то в стороне и не потребовалась.
P.s: на самом деле это не обязательно, ведь акб на iphone X не привязан к плате и такой метод прописи не несёт никакого технического ущерба. Просто красиво и для педантичных людей самое то.
Я иногда и сам такое не делаю, что скрывать то. А вот официалам непростительно.
Далее кривая проклейка, вырезанная от руки из аккумулятора от шестого плюс айфона
И окончательная сборка с новой неавторизованной проклейкой.
Гарантия год месяц от меня.
А вот и мусор от такого банального ремонта.
А мог бы сказать контроллер и взять 7 тысяч, как это бы сделали в большинстве контор. И клиент был бы доволен, ведь сделали же.
А мне не жалко незаработанных 4х тысяч. Я работаю прозрачно.
Задать вопрос по аккумулятору или контроллеру в Вашем телефоне можно моей жене в инстаграмм, там же есть разные видосики таких форматов.
Если нет инсты не беда, есть почта, которую можно найти через internet Explorer))
Увидимся))
Почему банки не спешат покончить с мошенничеством?
Количество случаев мошенничества просто зашкаливает. Статьи о фактах мошенничества появляются чуть ли не каждый день. Происходит это при полном попустительстве государства и полиции, которая занята оппозицией. А вполне вероятно, что мафии это выгодно, погружать народ в кредиты.
Банки сообразили, что в большинстве случаев это проблема клиента, а им прибыль с процентов по украденным кредитам, поэтому у них и нет заинтересованности реально прекратить этот беспредел, под видом защиты они хотят только глубже залезть к клиентам в штаны. Банки позволяют легко деньги украсть, но не позволяют закрыть счёт даже когда уже в суде много раз воля клиента закрыть счёт была озвучена.
Двухфакторная защита банков на самом деле однофакторная раз мошенникам удаётся менять телефонные номера клиентов и угонять доступ в приложения и ЛК банков.
Попытаемся разобраться так ли бессильно государство, полиция, банки, люди перед жуликами. В Европейском Союзе такого почти нет, во всяком случае в таких масштабах как в России, там значит вопрос решён. Приведём схемы взломов аккаунтов пользователей и возможные варианты защиты.
Как мошенники крадут деньги
Очень много статей из серии N способов как мошенники крадут деньги с банковских карт описывают как разные варианты схемы звонков телефонных мошенников. На самом деле это ровно один вариант, который называется “социальная инженерия” или проще телефонный развод.
Если позвонили из банка, ГосУслуг, службы безопасности, следственного комитета, прокуратуры, полиции, ФСБ, суда, то самое правильное сразу повесить трубку, а номер внести в чёрный список. В идеале вообще не брать трубку с незнакомых номеров. Всё что нужно органам, они сообщат повесткой, сами вас доставят на допрос, и там самое лучшее пользоваться 51 статьёй и никогда не разговаривайте с силовиками. Банк всё что нужно сообщит в письменной форме в своём приложении или личном кабинете банка. Важно помнить, что вы не можете доверять ни входящим звонкам, ни СМС. Номер отправителя легко подделать, см. как Навальный развёл своего отравителя.
Не лишним будет повторить, что не надо:
- открывать все письма с загрузкой всего контента, тем самым та сторона знает, что письмо открыли;
- открывать прикреплённые файлы, если вы не ждали их получения;
- переходить по ссылке в письме, смс, соцсетях, на разных левых сайтах, если вы не ожидали эту - ссылку от банка, например, регистрируясь или восстанавливая пароль;
- не устанавливайте лишнее ПО.
Есть более банальные способы потери денег — утеря контроля над:
- телефонным номером;
- адресом электронной почты;
- аккаунтом ГосУслуг;
- смартфоном, компьютером.
Теперь мы рассмотрим всё это с других точек зрения.
Ключи и алгоритмы защиты
Вход в информационную систему подобен входу в жилище или открытию автомобиля. Хорошо если у вас один ключ. Лучше когда два. Совсем хорошо, когда открыв дверь нужно ещё знать, где отключить сигнализацию, которую если не отключить, то приедет охрана. На автомобили ставили просто тумблер, который пока не переключишь электрическая цепь не включится.
Перечислим какие типы ключей есть в нашем распоряжении:
1. Логин как правило это: email или телефон или номер карты.
2. Пароль.
3. Второй пароль — кодовое слово.
4. Таблица одноразовых паролей, данные о последней операции, персональные данные.
5. Аккаунт электронной почты, ГосУслуг или ещё какой.
6. SMS, телефонный звонок (см. Как мы боролись с фейковыми аккаунтами на сайте знакомств).
7. Приложение на смартфоне, генератор одноразовых паролей, Яндекс-Google-аутентификация, сумма блокировки текущей операции.
8. Аппаратные генератор одноразовых паролей, аппаратный токен.
9. Статический IP-адрес, подсеть, геолокация.
10. Общение в Telegram, WhatsApp.
11. Тумблер разрешающий операции сверх заданного лимита. Это может быть последовательность определённых действий.
Типы ключей расположены в порядке сложности их взлома.
Пароль можно потерять, его может украсть вирус, его можно ввести на фишинговом сайте. Кодовое слово, паспортные данные клиенты часто называют при звонке в банк, а записи телефонных разговоров пишутся не только в банке, но и у операторов связи. Данные об операциях по счёту могут украсть через социальную инженерию, через ментов в даркнете, да и просто проследить, что вот клиент только что заправился. Прочие типы требуют уже завладения смартфоном физически или путём заражения вирусом. Аппаратным генератором кодов можно завладеть только физически. Вирусы ему не страшны. Статический IP можно получить взломав WiFi сеть клиента, но следов много, надо приблизиться к жилищу и засветиться на камерах. А если для входа в банк вы используете VPN, то даже взлом WiFi не поможет.
К алгоритмам защиты относится порядок аутентификации. Информационная система может предложить пользователю на выбор как подтвердить отправку платежа. И только пользователь знает, что по понедельникам он подтверждает кодом Яндекс-аутентификатора, во вторник Google, в среду аппаратным токеном и т.д. Для перевода крупной суммы может быть последовательность действий в виде перевод суммы на вновь открытый счёт или виртуальную карту или вклад, и только уже оттуда перевод дальше. Может быть назначено второе лицо, которое в ЛК своего банка должно ввести будет код для подтверждения платежа. Тем самым, даже если бандиты получат физический доступ ко всем девайсам и ключам клиента, самому клиенту, заставят его самого ввести все коды и даже голосом позвонить в банк и подтвердить, что он это он, то на уровне даже не оператора банка, а службы безопасности банка сработает сигнал, что по локации клиента надо полицию присылать.
Главная причина успеха мошенников — однофакторная аутентификация
— Дайте мне в аренду метр государственной границы.
— Почему метр?
— Чтобы чемодан проходил.
Множество ключей не имеют смысла, если есть один суперключ или завладев одним ключом можно перевыпустить или сменить другие ключи.
Банковские информационные системы должны использовать многофакторную аутентификацию по независимым ключам доступа. На деле же у них есть один суперключ — сим-карта телефона или персональные данные клиента. На Тинькофф Банк, Альфа-банк и другие банки стабильный поток жалоб, когда мошенники меняют номер телефона клиента, затем устанавливают приложение, получают все требуемые смс-коды, воруют те деньги, которые есть, дополнительно открывают кредиты и воруют ещё деньги, которых нет.
Все данные, которые банки спрашивают по телефону не являются фактором аутентификации клиента. Мошенники могут позвонить и выяснить их от имени банка, может запись разговора утечь.
Истории как подделывали сим-карты в каких-нибудь Мухосрансках тоже были.
Что должно сделать государство
Перестать блокировать РосКомПозором оппозиционные сайты и заняться прямыми своими обязанностями операторами связи, которые без должной авторизации продают услуги телефонной связи мошенникам да ещё позволяют подменять телефонный номер.
Следить за call-центрами мошенников. Они же по ключевым словам выявляются. Распознавание голоса работает хорошо.
Суды должны наказывать банки за случаи, когда мошенники получили кредит по откровенно липовым документам, а сотрудники банка не проявили должной осмотрительности. Налоговая ведь доначисляет дикие налоги и штрафы за непроявление должной осмотрительности при выборе поставщиков услуг.
В УК РФ есть статья 293 Халатность. Тут именно она и есть: “Халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе либо обязанностей по должности, если это повлекло причинение крупного ущерба или существенное нарушение прав и законных интересов граждан”.
Что должны сделать банки
Внедрить как можно больше вариантов аутентификации клиента и подтверждения платежа. Если клиент хочет иметь 10 независимых ключей, то пусть имеет. Если хоть один потеряет, то дальше ногами топает в банк. Позор банкам, которые позволяют поставить приложение и получить доступ к деньгам мошенникам, которые предварительно сменили телефон клиента в банке.
Сделать их реально независимыми. Или часть из них. Должно быть по желанию клиента хотя бы три независимых ключа. Потерял любой из трёх — топай в банк.
Запретить удалённо менять номер телефона или авторизовывать перевыпущенную сим-карту. Можно не всем. Но хотя бы дать клиентам такую возможность повышенной безопасности.
Внедрить системы уведомлений не только через СМС, а HTTP-уведомлений и писем на email, которые уже хоть на ту же умную колонку можно завернуть. Если сим-карту или смартфон увели, то клиент уже не получит уведомление.
Пока же в каждой статье на VC.ru и на banki.ru пиарслужбы банков в лучших традициях учеников доктора Геббельса врут как они заботятся о безопасности.
Что стоит сделать клиентам банков
1. Послушать звонки мошенников в Youtube и далее уже сами будете чувствовать развод.
2. Лучше вообще не разговаривать по входящим звонкам. Повесьте трубку будто связь разъединилась и сами перезвоните в банк по номеру на сайте. В идеале не использовать телефонную связь, а иметь своего менеджера в Telegram, WhatsApp или приложении банка и постоянно удалять переписку в мессенджерах, и в имени менеджера не писать, что это такой-то банк.
3. Ещё лучше завести для каждого банка отдельный секретный телефонный номер, который нигде больше не используется. Некоторые операторы предлагают виртуальные (дополнительные) мобильные номера. Главное не потерять контроль над таким номером.
4. Заводить для каждого банка отдельный email, который нигде не светится. Например, в Google это делается так mailbox+bankname@gmail.com. Но всё равно это по сути один email и защита так себе. Вы можете взять в аренду VDS, купить собственный домен и регистрировать на нём уже любые адреса и алиасы электронной почты. Алиас вида shortbankname4901@yourdomain.ru существеннее безопаснее. И если на такой адрес придёт персональное рекламное предложение, то вы будете знать с высокой долей вероятности, откуда утекли ваши персональные данные. Следовательно это повод поменять в банке email и телефон.
5. Отправить ссылку на эту статью в поддержку своего банка и потребовать дополнительных типов защиты и запрета удалённого смены номера и авторизации новой сим-карты.
6. Не ставить на смартфон и компьютер постороннее ПО, игры. Если же они вам жизненно необходимы, то не ставьте тогда туда банковские приложения. Купите VDS и заходите в ЛК банков из чистой операционной системы, где нет ничего постороннего. Вредоносное ПО может получить доступ к вашей VDS, но это уже несколько сложнее, особенно, если настроить firewall c двухфакторной авторизацией.
7. Не открывать ссылки и файлы, которых не запрашивали. Просмотр заголовков письма часто говорит о том, что оно левое. Но ряд заголовков можно подделать.
8. Не давать доступ к своим контактам никаким приложениям.
9. Написать своим депутатам с требованием внести законодательную инициативу обязывающие банки по требованию клиента использовать аппаратный токен и запрет на дистанционное изменение телефона. Понятно, что это скорее всего мера бесполезная, но вдруг.
10. Если вы арендуете или размещаете сервер для своей бухгалтерии и работы с банками — вот небольшой список базовых вещей, который помогут спать спокойнее:
- ОС и ПО нужно регулярно обновлять, зачастую, обновления закрывают уязвимости, про которые уже узнали мошенники.
- Обязательно настройте firewall и разрешите ограниченный круг IP-адресов.
- Установите антивирус, убедитесь что его вирусные базы обновляются.
- Установите утилиту fail2ban, чтобы исключить ситуацию с перебором паролей.
- Настройте или закажите мониторинг, это поможет своевременно отреагировать в случае возникновения проблем.
- Даже если у вас есть системный администратор — закажите минимальное администрирование на стороне хостера. Как говорится, одна голова хорошо, а две — лучше!
- Если на вашем сайте собираются персональные данные — закажите аудит, обратитесь в поддержку и убедитесь, что все соответствует 152-ФЗ, потому что потерять деньги можно и налетев на штраф от государства.
Заключение
В этой статье должна была быть таблица с данными о поддерживаемых механизмах защиты российскими банками, но PR-службы банков дважды выморозились. Сначала попросили направить им запросы на почту, а потом видя, что заполнять таблицу нечем просто прислали хамские отписки. Если вы знаете банк, который использует дополнительные степени защиты, то пишите в комментарии, желательно со ссылкой на страницу банка, где указана данная информация.