Мошенничество со стороны представителей ОСС
Здравствуйте, наткнулся сегодня на пост http://pikabu.ru/story/_3794056
И вот какие мысли.
1) Мошенники были и к сожалению будут (в ближайшее время точно).
2) Можно минимизировать риски.
Конечно 100% защиты быть не может, но стоит усложнить злоумышленникам жизнь. Надеяться на наших опсосов что они решат эту проблему не стоит. Например есть такой способ решения:
"Как справляется Deutsche Telekom (и другие немецкие операторы) с этой ситуацией. Сразу надо заметить, что ситуация с точками продаж в Германии очень похожая: точку может открыть практически любой, т.е. круг лиц, которые могут иметь доступ к данным, заранее достаточно широк. Но применяется очень трезвый технический способ защиты.
Когда клиент приходит в любой офис оператора и называет свой номер телефона, сотрудник вбивает его к себе в терминал, и клиенту тут же приходит SMS с содержанием «Для того, чтобы наш сотрудник смог получить доступ к Вашим данным сообщите ему одноразовый пароль ХХХХХХ». Только после того как сотрудник вводит пароль, у него отображается на кого зарегистрирован номер и он просит удостоверение личности, которое сверяет со своими данными. Т.е. без этого одноразового кода в офисе никто не может даже посмотреть на кого зарегистрирован номер. Поэтому никаких утечек «баз данных» никогда не было.
При этом, если клиент приходит с запросом заменить утерянную сим-карту, то его просят подождать 15-30 минут. В это время по всем контактам клиента (SMS, email) поступает уведомление, в котором сообщается о том, что будет осуществлена замена сим-карты. Там же сообщается как немедленно остановить этот процесс (как правило достаточно ответить на SMS и операция будет заблокирована).
В Германии, де-факто, значительно ниже коррупционная составляющая, однако этот подход применяется повсеместно. Удивляет, почему в Российской действительности это до сих пор не нашло применения. Было бы замечательно, если бы операторы обратили на это внимание и положили конец этому дурдому."
Но как мы пониманием во первых, ждать такого стоит не скоро, во вторых это не 100% гарантия. Что можно сделать самому ?
Как избежать подобной ситуации в условиях полной беспомощности мобильного оператора:
0. В случае обнаружения выдачи дубликата сим-карты, немедленно блокируйте такую сим-карту и все связанные с ней платежные аккаунты и банковские карты.
00. Звоните в офис банка и сотового оператора или или блокируйте через интернет, если еще есть такая возможность, не тратьте время на пеший путь.
1. Используйте отдельный телефон и телефонный номер для работы с онлайн- и теле-банкингом.
2. Если для авторизации вам достаточно sms, используйте примитивный мобильный телефон, а не смартфон.
3. Никому и нигде не сообщайте номер этого телефона.
4. Не устанавливайте абсолютно никаких лишних приложений, если используете смартфон для этих целей.
5. Не пользуйтесь браузером или почтой на данном смартфоне.
6. Не привязывайте все свои аккаунты к одной почте иили одному номеру телефона.
7. Не используйте очевидные или простые пароли для банковских или платежных приложений.
8. Отключите геолокацию во всех встроенных социальных приложениях в смартфоне.
9. Используйте отдельный аккаунт магазина приложений для смартфона, хранящего доступ к платежным и банковским аккаунтам.
10. Не покупайте «анонимные» Sim-карты для своих основных счетов. Это может быть ловушкой злоумышленников.
11. При первой возможности (и в дальнейшем регулярно) проверьте в офисе оператора, сколько на ваше имя зарегистрировано сим-карт.
12. Если распоряжаетесь крупной суммой денег через онлайн-банкинг, попросите у банка услугу "криптокалькулятора".
13. Используйте одну карту для покупок (как онлайн, так и в офлайне). А основную сумму держите на счете с которого нельзя на прямую снять денег или перевести на произвольный счет, а можно только на свою карту.
Конечно желательно изменить схему под себя сделав ее более безопасной и удобной для Вас.
Источники:
http://habrahabr.ru/post/267563/
http://habrahabr.ru/post/267447/
И вот какие мысли.
1) Мошенники были и к сожалению будут (в ближайшее время точно).
2) Можно минимизировать риски.
Конечно 100% защиты быть не может, но стоит усложнить злоумышленникам жизнь. Надеяться на наших опсосов что они решат эту проблему не стоит. Например есть такой способ решения:
"Как справляется Deutsche Telekom (и другие немецкие операторы) с этой ситуацией. Сразу надо заметить, что ситуация с точками продаж в Германии очень похожая: точку может открыть практически любой, т.е. круг лиц, которые могут иметь доступ к данным, заранее достаточно широк. Но применяется очень трезвый технический способ защиты.
Когда клиент приходит в любой офис оператора и называет свой номер телефона, сотрудник вбивает его к себе в терминал, и клиенту тут же приходит SMS с содержанием «Для того, чтобы наш сотрудник смог получить доступ к Вашим данным сообщите ему одноразовый пароль ХХХХХХ». Только после того как сотрудник вводит пароль, у него отображается на кого зарегистрирован номер и он просит удостоверение личности, которое сверяет со своими данными. Т.е. без этого одноразового кода в офисе никто не может даже посмотреть на кого зарегистрирован номер. Поэтому никаких утечек «баз данных» никогда не было.
При этом, если клиент приходит с запросом заменить утерянную сим-карту, то его просят подождать 15-30 минут. В это время по всем контактам клиента (SMS, email) поступает уведомление, в котором сообщается о том, что будет осуществлена замена сим-карты. Там же сообщается как немедленно остановить этот процесс (как правило достаточно ответить на SMS и операция будет заблокирована).
В Германии, де-факто, значительно ниже коррупционная составляющая, однако этот подход применяется повсеместно. Удивляет, почему в Российской действительности это до сих пор не нашло применения. Было бы замечательно, если бы операторы обратили на это внимание и положили конец этому дурдому."
Но как мы пониманием во первых, ждать такого стоит не скоро, во вторых это не 100% гарантия. Что можно сделать самому ?
Как избежать подобной ситуации в условиях полной беспомощности мобильного оператора:
0. В случае обнаружения выдачи дубликата сим-карты, немедленно блокируйте такую сим-карту и все связанные с ней платежные аккаунты и банковские карты.
00. Звоните в офис банка и сотового оператора или или блокируйте через интернет, если еще есть такая возможность, не тратьте время на пеший путь.
1. Используйте отдельный телефон и телефонный номер для работы с онлайн- и теле-банкингом.
2. Если для авторизации вам достаточно sms, используйте примитивный мобильный телефон, а не смартфон.
3. Никому и нигде не сообщайте номер этого телефона.
4. Не устанавливайте абсолютно никаких лишних приложений, если используете смартфон для этих целей.
5. Не пользуйтесь браузером или почтой на данном смартфоне.
6. Не привязывайте все свои аккаунты к одной почте иили одному номеру телефона.
7. Не используйте очевидные или простые пароли для банковских или платежных приложений.
8. Отключите геолокацию во всех встроенных социальных приложениях в смартфоне.
9. Используйте отдельный аккаунт магазина приложений для смартфона, хранящего доступ к платежным и банковским аккаунтам.
10. Не покупайте «анонимные» Sim-карты для своих основных счетов. Это может быть ловушкой злоумышленников.
11. При первой возможности (и в дальнейшем регулярно) проверьте в офисе оператора, сколько на ваше имя зарегистрировано сим-карт.
12. Если распоряжаетесь крупной суммой денег через онлайн-банкинг, попросите у банка услугу "криптокалькулятора".
13. Используйте одну карту для покупок (как онлайн, так и в офлайне). А основную сумму держите на счете с которого нельзя на прямую снять денег или перевести на произвольный счет, а можно только на свою карту.
Конечно желательно изменить схему под себя сделав ее более безопасной и удобной для Вас.
Источники:
http://habrahabr.ru/post/267563/
http://habrahabr.ru/post/267447/